Přeskočit na obsah Přeskočit na hlavní navigaci Přeskočit na zápatí (patičku)

MikroTik

Podrobné nastavení pro zařízení MikroTik.

KlíčPopis
Výchozí nastavení Address Listu pro routery MIkroTik
Zobrazení a nastavení klíče je závislé na aktivním submodulu – Simple Queues.

Nastavení výchozího typu fronty u routerů typu MikroTik:

0 – default
1 – default-small
2 – ethernet-default
4 – synchronous-default
5 – wireless-default
Zobrazení a nastavení klíče je závislé na aktivním submodulu – Simple Queues.

Nastavení výchozího typu shapingu u routerů typu MikroTik:

1 – queue tree
2 – simple-queue
Nastavení pravidel firewallu mikrotiku:
0 – Omezovat na firewallu SRC i DST
1 – Omezovat pouze SRC
2 – Omezovat pouze DST
3 – Nepoužívat firewall
0 – Neaplikují se pravidla do ipv6/firewall/filter
1 – Aplikují se pravidla do ipv6/firewall/filter.
Nastavení rychlostního limitu v Access listu dle tarifu
Maximální velikost jednoho bloku IP adres používaných při zpracování mangle pravidel. Hodnota udává síťovou masku a určuje po jak velkých blocích se rozdělí routovaný rozsah na routeru používaný pro queue tree. Každý takový rozsah se rozdělí na X bloků určených touto hodnotou. Rozsah možných hodnot 24 až 30.
Synchronizovat manuálně přidané atributy ke službě Radius
Vyčítání dynamických route:

0 – Statické routy
1 – Lokální + statické + PPP + PPPoE
2 – Kompletní routovací tabulka (ad 2 + ospf, bgp, …)
3 – Vypnutí vyčítání routovací tabulky

mikrotik_default_address_list

Vytvoří se na všech spravovaných zařízeních MikroTik, systémem ISPadmin, nadefinovaný address list.

Příklad nastavení:

/ip firewall address-list add list=mikrotik_default_address_list address=4.3.2.1/32 comment="vychozi_mikrotik_default_address_list"
Vytvořený defaultní address list na zařízení MikroTik
Vytvořený defaultní address list na zařízení MikroTik

mikrotik_default_queue_type

Zobrazení a nastavení klíče je závislé na aktivním submodulu – Simple Queues.

Nastavení výchozího typu fronty u routerů typu MikroTik:

  • 0 = default
  • 1 = default-small
  • 2 = ethernet-default
  • 4 = synchronous-default
  • 5 = wireless-default

Provedená změna se aplikuje na všechny routery, které nemají nastavený konkrétní typ fronty, a to při hromadném updatu routerů o půlnoci. Pokud chcete, aby se změna projevila hned, je možné provést update požadovaných routerů v přehledu routerů v (Hardware –> Routery –> Všechny).

mikrotik_default_shaping_type

Zobrazení a nastavení klíče je závislé na aktivním submodulu – Simple Queues.

Nastavení výchozího typu shapingu u routerů typu MikroTik:

  • 1 = queue tree
  • 2 = simple-queue

Provedená změna se aplikuje na všechny routery, které nemají nastavený konkrétní typ shapingu, a to při hromadném updatu routerů o půlnoci. Pokud chcete, aby se změna projevila hned, je možné provést update požadovaných routerů v přehledu routerů v (Hardware –> Routery –> Všechny).

mikrotik_fw_drop

Tímto klíčem je možné nastavit chování firewallu na routeru MikroTik.

Nastavení pravidel firewallu mikrotiku:

  • 0 = Omezovat na firewallu SRC i DST
  • 1 = Omezovat pouze SRC
  • 2 = Omezovat pouze DST
  • 3 = Nepoužívat firewall

Pokud je hodnota nastavena na 0, tak se provádí DROP jak zdrojové adresy (SRC), tak i cílové adresy (DST) klienta (tzn. klient nemůže odesílat ani přijímat žádné pakety). Toto nastavení však vytváří dvě pravidla firewallu pro každého klienta, což více zatěžuje méně výkonné RouterBoardy.

Nastavením klíče na hodnotu 1 nebo 2 se provádí DROP SRC nebo DST adresy a tím se snižuje počet pravidel na firewallu. V praxi stačí blokovat pouze SRC pakety (tzn. ty které jsou odesílány od klienta).

Nastavením klíče na hodnotu 3 se neprovádí žádné blokování pravidel a firewall je vypnut.

mikrotik_Ipv6_Fw_Enable

  • 0 = Neaplikují se pravidla do ipv6/firewall/filter
  • 1 = Aplikují se pravidla do ipv6/firewall/filter

Možnost aplikovat pravidla firewallu IPv6 je podmíněno:

  • zapnutí globálního IPv6 klíče ipv6Enabled (Nastavení -> Syst. nastavení -> Obecné)
  • na MikroTik routeru přítomný/nainstalovaný balíček ipv6 (v ROS 6.x)
  • tento klíč mikrotik_Ipv6_Fw_Enable byl nastaven na hodnotu 1 (aplikovat pravidla)

Aplikace pravidel mangle důležitých pro QoS IPv6 se řídí stejnými pravidly jako pro IPv4. Pravidla pro přesměrování provozu na informační stránky s důvodem pozastavení se u IPv6 vůbec nepoužívají, jelikož tato sekce není na MikroTiku pro IPv6 přítomna. Dochází pouze k zákazu provozu přímo v sekci filter.

mikrotik_limit_on_wifi

Nastavení rychlostního limitu v Access listu dle tarifu.

Pokud je tento klíč zapnutý, tak se při aktivním Wireless MAC Filteru (Používat wireless MAC filter u vybraného routeru MikroTik), propisuje i hodnota AP Tx Limit a Client Tx Limit z nastavení tarifu do Wireless / Access List na MikroTiku.

Prioritní hodnotou je hodnota nastavení burstu – Download, Upload (burst x rate_exponent), pokud není definován burst, tak se bere max. rychlost (Download, Upload x rate_exponent) z nastaveného tarifu u služby klienta (+ rezerva 200kBit = 204 800 bitu).

Tímto nastavením se omezí rychlost klienta přímo na AP a v případě například zavirovaného počítače, tak klient nezahltí celé AP.

Možnost používat wireless MAC filter v nastavení vybraného routeru (MikroTik)
Možnost používat wireless MAC filter v nastavení vybraného routeru (MikroTik)

mikrotik_mangle_net_block

Je možné nastavit dělení IP adres do podskupin (FW i mangle) dle nastavené velikosti rozsahu/masky (default= /26). Nastavit je možné rozsah od 26–30.

Dle tohoto nastavení masky dělení se zefektivní procházení a sníží se zátěž zařízení (nemusí se procházet celý strom FW pravidel (např. tisíce pravidel), ale packet se vyřeší max. pár skoky dle rozdělení maskou sítě (jump). Dle Src. Address rozsahu ze kterého packet příchází, tak prochází méně pravidly.

Příklad rozdělení adres do bloků dle masky /30
Příklad rozdělení adres do bloků dle masky /30

radius_sync_manually_added_attributs

Ke službám internet typu RADIUS je možné přidávat speciální atributy. Pokud je tento klíč zapnut, tak se v kartě klienta v menu Radius u každé služby internet typu Radius objeví položka – Ručně přidané atributy. V tomto menu je možné přidat speciální atribut. Atributy jsou zobrazeny u odpovídajících služeb internet.

V případě pozastavení klienta u těchto typů služeb se do atributů přidá Auth-Type:=Reject a tímto se zamezí přihlášení klienta.

reading_dynamic_routes

  • 0 – Pouze statické routy. Některé lokální routy nebudou vyčteny. Ve výpisu routovaných sítí se objeví upozornění („Tato síť není na routeru nakonfigurována“). Upozornění nemají vliv na funkčnost systému. V případě potřeby prosím vyzkoušejte změnit nastavení na možnost 1, případně 2.
  • 1 – Lokální + statické + PPP + PPPoE.
  • 2 – Kompletní routovací tabulka – z routeru se načítají kompletně všechny routy včetně dynamických rout (OSFP, BGP …). Nastavení klíče na tuto hodnotu může v případě velkého množství záznamů v routovacích tabulkách na routeru zvýšit zatížení serveru.
  • 3 – Vypnutí vyčítání routovací tabulky. Tato možnost je určena pro speciální případy, kdy je například zapnutý BGP protokol a tabulka obsahuje 360 000 záznamů. ISPadmin provádí dotaz na výběr jen statických a lokálních rout, avšak délka zpracování dotazu trvá MikroTiku neúměrně dlouho. Vyprší čas pro zpracování skriptu na daném zařízení, a proces se ukončí. Následkem toho nedojde k vyčtení dat ze zařízení ani k požadovanému updatu.