MikroTiks RouterOS ist die Firmware die auf allen MikroTik RouterBOARDs bereits installiert ist. RouterOS kann auch auf einem PC installiert werden und macht aus diesem in kürzester Zeit einen Router mit allen erforderlichen Funktionen - Routing, Firewall, Bandbreiten - Management, Wireless Access Point, Backbone-Link, Hotspot Gateway, VPN-Server und vieles weitere mehr.

RouterOS ist eine Stand-alone-Firmware auf der Grundlage des Linux-Kernels 2.6. Das Ziel bei der Entwicklung von RouterOS ist es, all diese Funktionen mit einer einfachen und schnellen Installation sowie einer intuitiven Benutzerschnittstelle zur Verfügung zu stellen.

Im Folgenden finden Sie einige Beispiele der wichtigsten Funktionen von RouterOS.

RouterOS unterstützt verschiedenste Methoden zur Konfiguration - lokaler Zugang mit Monitor und Tastatur, serielle Konsole mit einem Terminal-Programm, Telnet- und verschlüsselterr SSH-Zugang über das Netzwerk, eine benutzerfreundliche GUI-Konfiguration mit der Winbox, eine einfache Web-basierte Konfiguration und eine API Programmier-Schnittstelle für die Integration in Ihre eigenen Anwendungen.

Für den Fall, dass es kein lokaler Zugang zum System möglich ist und es Probleme mit der IP-Kommunikation gibt, steht Ihnen in RouterOS mit dem MAC-Telnet eine MAC-basierte Verbindungstechnik auf Layer2 zur Verfügung.

RouterOS verfügt über eine leistungsstarke und dennoch einfach zu erlernende Kommandozeile mit integrierter Scripting-Fähigkeiten.

* Winbox GUI über IP und MAC

• CLI mit Telnet, SSH, lokaler und serieller Konsole
• API für die Programmierung Ihrer eigenen Anwendungen
• Web-Schnittstelle

Neu in RouterOS v4 ist die Skriptsprache Lua, mit der eine Vielzahl von Ansätzen in der Automatisierung und Programmierung Ihres Routers ermöglicht wird.

Die Firewall beherrscht umfangreiche Mechanismen zur Paketfilterung und bietet somit die notwendgen Sicherheits-Funktionen um den gesamten Datenverkehr zu, von und durch den Router zu verwalten. Zusammen mit den Network Address Translation (NAT) Funktionen schützt sie so den Zugang zu den direkt angeschlossenen Netzen, zu dem Router selbst und auch den ausgehenden Datenverkehr vor unberechtigtem Zugriff.

RouterOS verfügt über eine Stateful-Inspection-Firewall, was soviel bedeutet, dass RouterOS eine Stateful-Packet-Inspection durchführt und den Zustand aller Netzwerkverbindungen im Auge behält die durch die Firewall laufen und entsprechend der Regeln behandelt.

Zusätzlich unterstützt RouterOS auch Quell- und Ziel-NAT (Network Address Translation), NAT-Helfer für gängige Anwendungen und UPnP.

Die Firewall bietet Funktionen zur Nutzung interner Verbindungen, Routing- und Paket-Markierungen.

Die Filterung kann nach IP-Adressen, IP-Adressbereichen, Ports, Port-Bereichen, Protokollen, DSCP und anderen Parametern erfolgen. Zusätzlich werden statische und dynamische Adresslisten sowie das Erkennen von Inhaltsmustern mit regulären Ausdrücken (Layer7 matching) unterstützt.

Die RouterOS Firewall unterstützt auch IPv6.

RouterOS unterstützt statisches Routing und eine Vielzahl von dynamischen Routing-Protokollen.

• Bei IPv4 wird RIP v1 und v2, OSPF v2 und BGP v4 unterstützt.
• Bei IPv6 wird RIPng, OSPFv3 und BGP unterstützt.

RouterOS unterstützt zusätzlich auch Virtual Routing and Forwarding (VRF), Policy-based Routing, Interface-based Routing und ECMP Routing. Sie können die Firewall-Filter verwenden, um bestimmte Verbindungen mit Routing-Marken zu versehen, und die so markierten Datenpakete gesondert zu behandeln.

Mit der Einführung von MPLS (Multi Protocol Label Switching) in RouterOS wird auch VRF (Virtual Routing and Forwarding) unterstützt. Virtual Routing and Forwarding ist eine Technik die es erlaubt, dass mehrere Instanzen einer Routing-Tabelle gleichzeitig auf einem Router koexistieren können. Da die Routing-Instanzen voneinander unabhängig sind, können in diesen die gleichen oder sich überschneidende IP-Adressbereiche konfliktfrei miteinander verwendet werden. VRF erhöht auch die Netzwerk-Sicherheit. Es wird häufig verwendet in - aber nicht beschränkt auf - MPLS-Netzwerke.

MPLS steht für Multi Protocol Label Switching. Es kann dazu benutzt werden das klassische IP-Routing zu ersetzen - die Entscheidung, wie und wohin ein Paket weitergeleitet wird, basiert hierbei nicht mehr auf Feldern im IP-Header und der Routing-Tabelle, sondern erfolgt auf Grund von Labeln, die den Paketen vorangestellt werden. Diese Vorgehensweise beschleunigt den Weiterleitungs-Prozess, weil das Herausfinden des nächsten Hops (next Hop-Lookup) wird so sehr einfach, im Vergleich zum klassischen IP-Routing.

Eine erhöhte Effizienz in der Weiterleitung der Pakete ist der größte Vorteil von MPLS. MPLS macht es einfach „virtuelle Beziehungen“ zwischen den Knoten im Netzwerk zu realisieren, unabhängig von dem Protokoll ihrer gekapselten Daten.

MPLS ist ein hoch skalierbarer, nicht wahrnehmbarer Mechanismus um Daten zu übertragen. In einem MPLS-Netzwerk werden den Datenpakete Etiketten - die Labels - zugewiesen. Die Entscheidungen zur Paket-Weiterleitung werden ausschließlich aufgrund dieser Label getroffen, ohne die Notwendigkeit bei jedem Paket den IP-Header hierfür zu prüfen. Dies erlaubt eine Ende-zu-Ende-Verbindung über beliebige Transportmedien, unter der Verwendung beliebiger Protokolle.

Einige der in RouterOS unterstützten MPLS-Features:

• Statische Label für IPv4
• Label Distribution Protocol für IPv4
• RSVP Traffic Engineering Tunnel
• VPLS MP-BGP auf die automatische Erkennung und Signalisierung
• MP-BGP basierte MPLS IP VPN

Um sichere Verbindungen über offene Netze oder das Internet herzustellen oder um entfernte Standorte mit verschlüsselten Links zu verbinden unterstützt RouterOS verschiedene VPN-Methoden und Tunnel-Protokolle:

• IPSec - Tunnel- und Transport-Modus, Zertifikat oder PSK, AH und ESP Sicherheitsprotokolle
• Punkt-zu-Punkt Tunneling (OpenVPN, PPTP, PPPoE, L2TP)
• Erweiterte PPP-Funktionen (MLPPP, BCP)
• Einfache Tunnel (IPIP, EoIP)
• 6to4-Tunnel-Unterstützung (IPv6 über IPv4)
• VLAN - IEEE802.1q Virtual-LAN-Unterstützung, Q-in-Q-Unterstützung
• MPLS-basierten VPNs

Dies bedeutet, dass Sie sicher Netzwerke von Banken verbinden können, auf Ihre Ressourcen am Arbeitsplatz während einer Reise zugreifen können, eine Verbindung zu Ihrem lokalen Netzwerk zu Hause herstellen können, oder die Sicherheit Ihres Wireless-Backbone-Link erhöhen können. Sie können zwei oder auch mehr Büro-Netzwerke miteinander verbinden und sind in der Lage die Ressourcen aller Standorte zu verwenden, so als ob diese bei ihnen lokal stehen würden. Alles sicher und verschlüsselt.

Eine Vielzahl von Wireless-Technologien werden von RouterOS unterstützt. Die grundlegendsten sind sicherlich die Betriebsmodi Access Point und Client. Mit all seinen WLAN-Möglichkeiten unterstützt Sie RouterOS vom einfachen Access Point über HotSpot-Netze bis hin zu stadtweiten ISP-Netzen.

Eine kleine Übersicht der von RouterOS unterstützten Features:

• IEEE802.11a/b/g/n wireless Client und Access Point
• Nstreme and Nstreme2, herstellereigene Polling-Protokolle
• Client polling
• RTS/CTS
• Wireless Distribution System (WDS)
• Virtuelle Access Points
• WEP, WPA, WPA2 Verschlüsselung
• Access Control Listen
• Wireless Client roaming
• WMM
• HWMP+ Wireless MESH Protokoll
• MME wireless routing Protokoll

RouterOS unterstützt mit dem herstellereigenen Nstreme-Protokoll eine Polling-Technologie um im Außeneinsatz die Verbindungsqualität und den Datendurchsatz zu erhöhen und das Hidden-Station-Problem zu umgehen, was gerade in Punkt-zu-Multipunkt-Installationen auftreten kann. Die Verwendung von Nstreme setzt eine reine RouterOS-Umgebung vorraus. Nstreme2 (auch Dual-NStreme genannt) ist in ETSI regulierten Ländern mit 5GHz nicht einsetzbar, da hier mit festen Frequenzen gearbeitet wird.

Dies hat dazu beigetragen, den derzeit längsten, nicht verstärkten WiFi-Link in Italien von über 300 Kilometern zu realisieren. Nstreme2 erlaubt den Einsatz von zwei Antennen auf jeder Seite, eine zum Senden, eine zum Empfangen.

Das MikroTik HotSpot-Gateway ermöglicht die Bereitstellung eines öffentlichen Netzwerk-Zugang für Clients über Funk- oder Kabelverbindungen. Der Benutzer bekommt eine Login-MAske präsentiert, wenn er seinen Web-Browser zum ersten Mal öffnet und Online gehen will. Wenn der Benutzer sich erfolgreich anmelden kann, bekommt er Zugang zum Internet.

Dies ist eine ideale Technik für Hotels, Schulen, Flughäfen, Internetcafés, Campingplätze und jeden anderen öffentlichen Platz, wo Administratoren keine Kontrolle über die Computer der Benutzer haben. Es wird keinerlei Software-Installation oder spezielle Netzwerk-Konfiguration auf den Clients benötigt, der HotSpot leitet jeden Verbindungsversuch zunächst an die Login-Seite weiter und nach dem erfolgreichen Login des jeweiligen Benutzers ins Internet. Ganz unabhängig von den IP-Einstellungen des Client-Computers.

Eine umfangreiche Benutzerverwaltung ist durch verschiedene Benutzer-Profile möglich, so dass unterschiedliche Zugänge in Abhängigkeit der Onlinezeit und des Datenvolumens realisierbar sind. Des Weiteren können diese auch noch über unterschiedliche Up- und Downstream-Geschwindigkeiten verfügen.

Der Hotspot unterstützt auch die Authentifizierung gegen eine Standard-RADIUS-Server und den MikroTik eigenen Benutzer-Manager, was dem Betreiber eine zentrale Verwaltung aller Benutzer in allen Netzwerken ermöglicht.

• Plug-n-Play Access zum Netzwerk
• Authentifizierung lokaler Netzwerk-Clients
• Benutzer-Accounting
• Unterstützung von RADIUS für Authentifizierung und Accounting
• Konfigurierbarer Bypass für Geräte, die keine interaktive Anmeldung erlauben (z. B. WLAN-VoIP-Telefone)
• Walled Garden für frei zugängliche Ziele ohne Anmeldung
• Modi für Testzugänge und Werbung

Unter Bandbreiten-Management versteht man Mechanismen um Bandbreite zu reservieren, auf Schwankungen der Verzögerung (Latenz) und Übertragungszeit zu reagieren und die Zustellungszeit zu optimieren.

Quality of Service (QoS) bedeutet, dass der Router den Netzwerkverkehr priorisieren (bevorzugen) und shapen (auf eine bestimmte Datenrate festlegen) kann. Einige der von MikroTiks RouterOS unterstützen Funktionen zur Kontrolle des Netzwerkverkehrs:

• Begrenzung der Datenrate für bestimmte IP-Adressen, Subnetze, Protokolle, Ports und andere Parameter
• Begrenzung von Peer-to-Peer-Verkehr
• Priorisierung von Datenpaketen vor anderen
• Verwendung von Queues mit Burst-Modus für bestimmte Applikationen
• Verwendung von Queues mit festen Zeitabständen
• Verteilung des Datenverkehrs für alle Benutzer gleich, oder in Abhängigkeit von dem Datenaufkommen eines Kanals

RouterOS unterstützt Hierarchical Token Bucket (HTB) QoS mit CIR, MIR, Burst und Priorität, und bietet für sowohl erweiterte queuing Möglichkeiten, als auch einfache Queues für eine schnelle und simple QoS-Implementation.

RouterOS verfügt über einen eigenen Proxy-Server für das Caching von Web-Ressourcen und dadurch eine Beschleunigung von Internet-Daten durch die Auslieferung im Cache gespeicherter Kopien der angeforderten Dateien mit der Geschwindigkeit des lokalen Netzwerks. MikroTiks RouterOS hat die folgenden Proxy-Server Features implementiert:

• Regulärer HTTP-Proxy
• Transparenter Proxy
• Access-Liste über Quelle, Ziel, URL und angeforderte Methode (HTTP-Firewall)
• Cache-Access-Liste um anzugeben, welche Objekte gecached werden sollen und welche nicht
• Direkte-Access-Liste um zu definieren, auf welche Ressourcen direkt zugegriffen werden darf, und auf welche durch einen anderen Proxy-Server
• Protokollierungsmöglichkeit
• Unterstützung für SOCKS-Proxy
• Unterstützung für Eltern-Proxy (Parent)
• Cache-Speicher auf externen Laufwerken

RouterOS kann auch als ein transparenter Caching-Server agieren, so dass keinerlei Konfiguration auf den Kunden-PCs erforderlich ist. Alle HTTP-Anfragen werden hierbei von RouterOS abgefangen und an den lokalen lokalen Proxy-Dienst weitergeleitet. Dieser Vorgang ist gänzlich transparent für den Anwender, und der einzige Unterschied für diesen ist die erhöhte Geschwindigkeit.

Um die Administration Ihres Netzwerks zu vereinfachen, bietet RouterOS eine große Zahl von kleinen Netzwerk-Tools zur Optimierung Ihrer täglichen Aufgaben. Hier sind einige davon:

• Ping und Traceroute
• Bandbreitentester, Flood-Ping
• Packet-Sniffer, Torch
• Telnet, SSH
• E-Mail-Client und Tools um SMS zu versenden
• Werkzeuge für die automatische Ausführung von Skripten
• CALEA Datenspiegelung
• Fetch-Tool für Dateien
• Tabelle aller aktiven Verbindungen
• NTP-Client und Server
• TFTP-Server
• Unterstützung für dynamischen DNS
• VRRP-Unterstützung für Redundanz
• SNMP für die Bereitstellung von Grafiken und Statistiken
• RADIUS-Client und Server (Benutzer-Manager)

Der Netzwerk-Monitor 'The Dude' ist eine Anwendung von MikroTik welche Ihnen hilft, Ihr Netzwerk leiter zu verwalten. So kann dieser automatisch alle Geräte in einem angegebenen Subnetz scannen und auf Basis dieser Daten ein komplette Grafik mit Ihrem Netzwerklayout erstellen, Dienste der Geräte überwachen und Warnungen versenden, wenn er Probleme mit einem Dienst oder Gerät gefunden hat.

Sie können nicht nur Ihre RouterOS basierten Geräte überwachen, sondern jedes System, das per Ping oder SNMP erreichbar ist.

Sie sind in der Lage Grafiken über den Datenverkehr und die Verfügbarkeit sowie Ausfallberichte zu erstellen, zusätzlich stellt Ihnen 'The Dude' auch einen Syslog-Server z. B. für die Log-Dateien Ihrer RouterOS-Systeme zur Verfügung.

The Dude kann auch die Konfigurationen Ihrer RouterOS-Geräte verwalten, das Updaten der Firmware automatisieren und ein Massen-Rollout ermöglichen. Es steht somit ein mächtiges Tool für das Konfigurationsmanagement von RouterOS basierten Systemen zur Verfügung.

Und das Beste - 'The Dude' ist kostenfrei.

Nach der Installation der kostenlosen Testversion von RouterOS auf einem PC, werden Sie es sicherlich weiterhin verwenden wollen. Um dies zu tun, benötigen Sie einen Lizenzschlüssel. Es sind vier Arten von RouterOS Lizenzschlüssel verfügbar, angezeigt durch eine „Level-Nummer“. Der niedrigste Level ist 3, der die WLAN-Client-Funktionalität und eine begrenzte Anzahl von aktiven Nutzer unterstützt und die höchste Stufe ist Level 6, die über keinerlei Einschränkungen verfügt.

Es ist wichtig zu wissen, dass unabhängig von dem gewählt Lizenz-Level alle RouterOS-Systeme es ermöglichen, eine unbegrenzte Anzahl von Schnittstellen in dem Gerät zu verwenden und nie aufhören zu arbeiten. Sie können Ihre Installation mit allen von MikroTik bereitgestellten Firmware-Releases updaten, bis der Update-Zeitraum (bei Level 3 und Level 4 die aktuelle und die nächste Major-Release-Nummer; bei Level 5 und Level 6 die aktuelle, die nächste und übernächste Major-Release-Nummer) abgelaufen ist. Wenn dieser Zeitraum abgelaufen ist, können Sie das System auf dem dann aktuellen Stand weiterbetreiben, es hört nie auf zu arbeiten, lediglich neuere Versionen können dann nicht mehr installiert werden, es sei denn, Sie kaufen einen neuen Lizenzschlüssel.

Es ist sehr wichtig zu beachten, dass jede Lizenz an das Laufwerk gebunden ist, auf dem diese installiert wurde, was bedeutet, dass jeder Router eine separate Lizenz benötigt.

Alle MikroTik RouterBOARD Systeme haben RouterOS bereits vorinstalliert und sind fertig lizensiert. Diese benötigen also keinen zusätzlichen Lizenzschlüssel mehr.