Přeskočit na obsah Přeskočit na hlavní navigaci Přeskočit na zápatí (patičku)

MikroTik

Podrobné nastavení pro zařízení MikroTik.

KlíčPopis
Výchozí nastavení address-listu pro všechny routery MikroTik
Výchozí nastavení úvodního firewallu pro všechny routery MikroTik
Výchozí nastavení závěrečného firewallu pro všechny routery MikroTik
Zobrazení a nastavení klíče je závislé na aktivním submodulu – Simple Queues.

Nastavení výchozího typu fronty u routerů typu MikroTik:

0 – default
1 – default-small
2 – ethernet-default
4 – synchronous-default
5 – wireless-default
Zobrazení a nastavení klíče je závislé na aktivním submodulu – Simple Queues.

Nastavení výchozího typu shapingu u routerů typu MikroTik:

1 – queue tree
2 – simple-queue
Přidání MAC filtru do firewallu pro zařízení a switche na routeru.
Info pages:
0 – Skript se nezapisuje do MikroTiků, resp. se maže původní skript.
1 – Skript se zapisuje do MikroTiků
Nastavení pravidel firewallu mikrotiku:
0 – Omezovat na firewallu SRC i DST
1 – Omezovat pouze SRC
2 – Omezovat pouze DST
3 – Nepoužívat firewall
0 – Neaplikují se pravidla do ipv6/firewall/filter
1 – Aplikují se pravidla do ipv6/firewall/filter.
Nastavení rychlostního limitu v Access listu dle tarifu
Maximální velikost jednoho bloku IP adres používaných při zpracování mangle pravidel. Hodnota udává síťovou masku a určuje po jak velkých blocích se rozdělí routovaný rozsah na routeru používaný pro queue tree. Každý takový rozsah se rozdělí na X bloků určených touto hodnotou. Rozsah možných hodnot 24 až 30.
Pozastavené klienty přesměrovávat přes NAT na informační stránky ISPadmin:

0 – Vypnuto
1 – Sada NAT pravidel bez address-listu
2 – Sada NAT pravidel s address-listem
3 – Vytvoření pouze address-list
Preferovaná queue, do které se řadí queue tree klientů
Aktivuje logování zapisovaných pravidel do logu
Synchronizovat manuálně přidané atributy ke službě Radius
Vyčítání dynamických route:

0 – Statické routy
1 – Lokální + statické + PPP + PPPoE
2 – Kompletní routovací tabulka (ad 2 + ospf, bgp, …)
3 – Vypnutí vyčítání routovací tabulky
Povolit přihlašování techniků do MikroTiků přes RADIUS

mikrotik_default_address_list

Vytvoří se na všech spravovaných zařízeních MikroTik systémem ISPadmin, nadefinovaný address list.

Příklad nastavení:

/ip firewall address-list add list=mikrotik_default_address_list address=4.3.2.1/32 comment="vychozi_mikrotik_default_address_list"
Vytvořený defaultní address list na zařízení MikroTik
Vytvořený defaultní address list na zařízení MikroTik

mikrotik_default_fw

Zapíší se na všech spravovaných zařízeních MikroTik systémem ISPadmin, zde nadefinovaná úvodní pravidla pro FW.

mikrotik_default_fw_last

Zapíší se na všech spravovaných zařízeních MikroTik systémem ISPadmin, zde nadefinovaná závěrečná pravidla pro FW.

mikrotik_default_queue_type

Zobrazení a nastavení klíče je závislé na aktivním submodulu – Simple Queues.

Nastavení výchozího typu fronty u routerů typu MikroTik:

  • 0 = default
  • 1 = default-small
  • 2 = ethernet-default
  • 4 = synchronous-default
  • 5 = wireless-default

Provedená změna se aplikuje na všechny routery, které nemají nastavený konkrétní typ fronty, a to při hromadném updatu routerů o půlnoci. Pokud chcete, aby se změna projevila hned, je možné provést update požadovaných routerů v přehledu routerů v (Hardware –> Routery –> Všechny).

mikrotik_default_shaping_type

Zobrazení a nastavení klíče je závislé na aktivním submodulu – Simple Queues.

Nastavení výchozího typu shapingu u routerů typu MikroTik:

  • 1 = queue tree
  • 2 = simple-queue

Provedená změna se aplikuje na všechny routery, které nemají nastavený konkrétní typ shapingu, a to při hromadném updatu routerů o půlnoci. Pokud chcete, aby se změna projevila hned, je možné provést update požadovaných routerů v přehledu routerů v (Hardware –> Routery –> Všechny).

mikrotik_device_mac_firewall

Pokud se má použít MAC filtr (Src. MAC Address), v pravidlech firewallu pro zařízení připojené k routeru a switche je potřeba tento klíč zapnout.

mikrotik_Enable_InfoPage

Mikrotik (System / Scripts).

mikrotik_fw_drop

Tímto klíčem je možné nastavit chování firewallu na routeru MikroTik.

Nastavení pravidel firewallu mikrotiku:

  • 0 = Omezovat na firewallu SRC i DST
  • 1 = Omezovat pouze SRC
  • 2 = Omezovat pouze DST
  • 3 = Nepoužívat firewall

Pokud je hodnota nastavena na 0, tak se provádí DROP jak zdrojové adresy (SRC), tak i cílové adresy (DST) klienta (tzn. klient nemůže odesílat ani přijímat žádné pakety). Toto nastavení však vytváří dvě pravidla firewallu pro každého klienta, což více zatěžuje méně výkonné RouterBoardy.

Nastavením klíče na hodnotu 1 nebo 2 se provádí DROP SRC nebo DST adresy a tím se snižuje počet pravidel na firewallu. V praxi stačí blokovat pouze SRC pakety (tzn. ty které jsou odesílány od klienta).

Nastavením klíče na hodnotu 3 se neprovádí žádné blokování pravidel a firewall je vypnut.

mikrotik_Ipv6_Fw_Enable

  • 0 = Neaplikují se pravidla do ipv6/firewall/filter
  • 1 = Aplikují se pravidla do ipv6/firewall/filter

Možnost aplikovat pravidla firewallu IPv6 je podmíněno:

  • zapnutí globálního IPv6 klíče ipv6Enabled (Nastavení -> Syst. nastavení -> Obecné)
  • na MikroTik routeru přítomný/nainstalovaný balíček ipv6 (v ROS 6.x)
  • tento klíč mikrotik_Ipv6_Fw_Enable byl nastaven na hodnotu 1 (aplikovat pravidla)

Aplikace pravidel mangle důležitých pro QoS IPv6 se řídí stejnými pravidly jako pro IPv4. Pravidla pro přesměrování provozu na informační stránky s důvodem pozastavení se u IPv6 vůbec nepoužívají, jelikož tato sekce není na MikroTiku pro IPv6 přítomna. Dochází pouze k zákazu provozu přímo v sekci filter.

mikrotik_limit_on_wifi

Nastavení rychlostního limitu v Access listu dle tarifu.

Pokud je tento klíč zapnutý, tak se při aktivním Wireless MAC Filteru (Používat wireless MAC filter u vybraného routeru MikroTik), propisuje i hodnota AP Tx Limit (Download) a Client Tx Limit (Upload) z nastavení tarifu do Wireless / Access List na MikroTiku.

Prioritní hodnotou je hodnota nastavení Burst limit – Download, Upload (burst x rate_exponent), pokud není definován Burst limit, tak se pro zápis hodnot použije hodnota max. rychlosti (Download, Upload x rate_exponent) z nastaveného tarifu (nebo indiv. rychlosti) u služby klienta (+ pevná syst. rezerva 200kBit = 204 800 bitu).

Tímto nastavením se omezí rychlost klienta přímo na AP (v případě například zavirovaného počítače, tak klient nezahltí celé AP).

Možnost používat wireless MAC filter v nastavení vybraného routeru (MikroTik)
Možnost používat wireless MAC filter v nastavení vybraného routeru (MikroTik)

Příklad

Pokud je hodnota Burst limit v nastavení tarifu zadána (viz obrázek), tak se výpočet provede následovně (pokud Burst limit není zadán, použije se hodnota def. rychlosti Download/Upload):

Příklad nastavené hodnoty Burst limit
Příklad nastavené hodnoty Burst limit
  • Hodnota Burst limit: 0,95 Mbit/s = 950 000 bit/s
  • Systémová rezerva: 200 Kbit/s (bin) = 204 800 bit/s
  • Hodnota z klíče rate_exponent (Nastavení -> Syst. nastavení -> Obecné) = × 1,2
  • Výsledek = 1 344 800 bit/s
Propsané hodnoty v pravidlu pro AP v MikroTiku
Propsané hodnoty v pravidlu pro AP v MikroTiku

mikrotik_mangle_net_block

Je možné nastavit dělení IP adres do podskupin (FW i mangle) dle nastavené velikosti rozsahu/masky (default= /26). Nastavit je možné rozsah od 26–30.

Dle tohoto nastavení masky dělení se zefektivní procházení a sníží se zátěž zařízení (nemusí se procházet celý strom FW pravidel (např. tisíce pravidel), ale packet se vyřeší max. pár skoky dle rozdělení maskou sítě (jump). Dle Src. Address rozsahu ze kterého packet příchází, tak prochází méně pravidly.

Příklad rozdělení adres do bloků dle masky /30
Příklad rozdělení adres do bloků dle masky /30

mikrotik_nat_disable_users

Vytvoří se pravidla na MikroTiku v IP / Firewall záložka NAT.

  • 0 – Vypnuto – nepoužívá se přesměrování na informační stránky pro pozastavené služby klientů
  • 1 – Sada NAT pravidel bez address listu – pravidla se zdrojovou adresou pozastaveného klienta a portem odpovídající info page (kam přesměrovat = port).
  • 2 – Sada NAT pravidel s address listem – pro každou info page (port) se vytvoří pravidla pro přesměrování klientů, kde není uvedena konkrétní zdrojová IP adresa, ale IP jsou součástí address-listu (ispadmin_disabled_user_[port]). Přesměrování nepovolených služeb (mimo web – 80, 443) se provádí na IP adresu (127.0.0.1).
  • 3 – Vytvoření pouze address listu – pro každou pozastavenou službu se vytvoří pouze záznam v address-listu odpovídající portu info page (ispadmin_disabled_user_[port]). Tento systémem vytvořený address-list se může dále využít ve vlastním řešení NAT pravidel (NAT pravidla se na MikroTiku nevytváří).

UPOZORNĚNÍ
Pro pravidla a správu pravidel v MikroTiku systém ispadmin využívá pojmenování pravidel se slovem „ispadmin“, pro vlastní pravidla tedy nepoužívejte komentář s využitím slova „ispadmin“. Došlo by při správě (updatu konfigurace) k jejich automatickému vymazání.

mikrotik_preffered_queue

UPOZORNĚNÍ
Pokud nastavená speciální queue v tomto klíči (název), na MikroTiku neexistuje, systém služby internet klientů zařadí do výchozí queue – global.

Pokud je potřeba zařadit všechny klienty do konkrétní queue (např. je potřeba nastavit určitou rychlost pro download a upload pro celý router), je možné tuto queue v tomto klíči nastavit.

Důležité je nastavenou queue (název) vytvořit přímo v queue tree na vybraném MikroTiku a poté tento název queue nastavit v tomto klíči.

Nastavení preferované queue
Nastavení preferované queue

mikrotik_qt_debug

Možnost zapnout/vypnout logování propisovaných pravidel do MikroTiků (firewall, mangle, queues, wireless access list, NAT).

Log s těmito informacemi je uložen na serveru v /var/log/ispadmin_YYYY_MM_DD.log (Y=rok, M=měsíc, D=den).

Příklad zapsaných údajů konfigurace v logu
Příklad zapsaných údajů konfigurace v logu

radius_sync_manually_added_attributs

Ke službám internet typu RADIUS je možné přidávat speciální atributy. Pokud je tento klíč zapnut, tak se v kartě klienta v menu Radius u každé služby internet typu Radius objeví položka – Ručně přidané atributy. V tomto menu je možné přidat speciální atribut. Atributy jsou zobrazeny u odpovídajících služeb internet.

V případě pozastavení klienta u těchto typů služeb se do atributů přidá Auth-Type:=Reject a tímto se zamezí přihlášení klienta.

reading_dynamic_routes

  • 0 – Pouze statické routy. Některé lokální routy nebudou vyčteny. Ve výpisu routovaných sítí se objeví upozornění („Tato síť není na routeru nakonfigurována“). Upozornění nemají vliv na funkčnost systému. V případě potřeby prosím vyzkoušejte změnit nastavení na možnost 1, případně 2.
  • 1 – Lokální + statické + PPP + PPPoE.
  • 2 – Kompletní routovací tabulka – z routeru se načítají kompletně všechny routy včetně dynamických rout (OSFP, BGP …). Nastavení klíče na tuto hodnotu může v případě velkého množství záznamů v routovacích tabulkách na routeru zvýšit zatížení serveru.
  • 3 – Vypnutí vyčítání routovací tabulky. Tato možnost je určena pro speciální případy, kdy je například zapnutý BGP protokol a tabulka obsahuje 360 000 záznamů. ISPadmin provádí dotaz na výběr jen statických a lokálních rout, avšak délka zpracování dotazu trvá MikroTiku neúměrně dlouho. Vyprší čas pro zpracování skriptu na daném zařízení, a proces se ukončí. Následkem toho nedojde k vyčtení dat ze zařízení ani k požadovanému updatu.