====== Klientské Mikrotiky - Instalační checklist ======
===== Nastavení DHCP =====
Pokud neplanujeme pridelovat IP adresu na WANu Mikrotiku dynamicky, je nutne vypnout DHCP klienta. Pokud DHCP klienta nechame zapnutyho, je nutne zaevidovat jeho MAC adresu do hosts = viz. nasledujici Harviho mail.
Pokud nekam davate novyho mikrotiku, tak prosim udelejte 2 nasledujici veci:
* 1.) Nastavte mu spravne hostname (identity)
* 2.) Vypnete mu DHCP klienta!!!
Mikrotiky maj defaultne zaplyho DHCP klienta a ted, kdy jsem nasadil DHCP do cely site, to muze bejt problem jak pro ten MikroTik (pokud neni vas zamer, aby mel adresu z DHCP - treba na zaklade macovky co napisete do hosts), tak pro centralni DHCP server. Obzvlast v pripade, kdy takovej mikrotik pripojite do subnetu, kterej nema DHCP pool.
Pak nam zadelavate na problemy s pretizenim DHCP serveru, protoze MikroTikovskej DHCP klient je pomerne agresivni a kdyz nedostane IP adresu, tak je dost neodbytnej. Mam vyzkouseny, ze kdyz je takovejch zarizeni v siti 20, tak DHCP server ve skrini proste prestava fungovat pod naporem MikroTiku, ktery chtej adresy i kdyz jim je nemuze dat, protoze jsou v subnetu, ve kterym neni v hosts zanesenej DHCP pool.
==== Vypnuti DHCP ====
Zakazat vsechny DHCP klienty:
/ip dhcp-client disable [/ip dhcp-client find]
===== Nastavení IP =====
* Rozsah s maskou /31 ze zadava jako maska /32, akorat do "network" uvedete IP protistrany !
add address=10.11.10.42 interface=ether1 network=10.11.10.43
===== Nastavení routingu =====
Pokud ma mikrotik vice nez 1 uplink - napr. u zakaznika s SLA, je nutne nakonfigurovat OSPF nasledujicim zpusobem:
Nastavení instance OSPF
[[admin@ros10]] > routing ospf instance print
Flags: X - disabled, * - default
0 * name="ros10" router-id=10.11.82.249 distribute-default=never
redistribute-connected=as-type-1 redistribute-static=as-type-1
redistribute-rip=no redistribute-bgp=no redistribute-other-ospf=no
metric-default=1 metric-connected=20 metric-static=20 metric-rip=20
metric-bgp=auto metric-other-ospf=auto in-filter=ospf-in out-filter=ospf-out
* **router-id** - nastavujeme vzdy IP adresu routeru v ethernetovem rozsahu zakaznika. Nikdy NE IP adresu nektereho z uplinku !
* **redistribute-static, redistribute-connected** - nunto nastavit na as-type-1 (defaultne vypnuto). Toto zpusobi, ze jakykoliv dalsi pripojeny rozsah se do site naroutuje pouze pridanim ip adresy na interface, pokud je primo pripojen k routeru (connected) nebo pridanim rozsahu do routovaci tabulky s uvedenim IP adresy brany, kudy ma byt smerovan (static).
Nastavení interfacu, na kterých má OSPF poslouchat a vysílat pakety
[[admin@ros10]] > routing ospf interface print
Flags: X - disabled, I - inactive, D - dynamic, P - passive
# INTERFACE COST PRIORITY NETWORK-TYPE AUTHENTICATION AUTHENTICATION-KEY
0 wlan2 500 1 broadcast none abcd1234
1 wlan1 2000 1 broadcast none abcd1234
* **INTERFACE** - rozhrani uplinku na mikrotiku
* **COST** - cena linky - cim mensi cena, tim ma vetsi prioritu. Na obou stranach spoje musi byt cena stejna !
* **AUTHENTICATION-KEY** - libovovolny klic pro zabezpeceni spoje - musi byt na obouch stranach spoje stejny !
Nastaveni propojovacích subnetů, na kterých beží OSPF - nastavují se rozsahy na příslušném interfacu (bez nastaveni networku OSPF nepoběží)
[[admin@ros10]] > routing ospf network print
Flags: X - disabled, I - invalid
# NETWORK AREA
0 10.11.42.128/26 backbone
1 10.11.104.0/26 backbone
* **NETWORK** - pridavame rozsahy, ktere jsou na rozhranich, definovanych v zalozce interfaces - timto se finalne zapina OSPF proces
POZOR: Pri zapnuti ospf je nutne pridat jeste ospf filter, aby se nepropagovali jine nez nase routy, napr. 192.168. atp.
Upravujeme podle toho, jestli je routerborad v siti 10.11, 10.34 nebo 10.18
Nastavení filtru, aby se do sítě nešířili lokální rozsahy, např. natované subnety, tunelované IP adresy atp.
[[admin@ros10]] > routing filter print
Flags: X - disabled
0 chain=ospf-out prefix=10.11.0.0/16 prefix-length=16-32 invert-match=no action=accept set-bgp-prepend-path=""
1 chain=ospf-out prefix=77.87.240.0/21 prefix-length=21-32 invert-match=no action=accept set-bgp-prepend-path=""
2 chain=ospf-out invert-match=no action=reject set-bgp-prepend-path=""
==== Pokud zakaznik na routeru s OSPF chce mit NAT ====
* nutno pridelit nejaky maly rozsah napr. /29 na ethernet rozsah mikotiku, kde je i natovana sit
* nastavit rychlost na jednu z pidelene desitkove adresy
* nastavit nat na tuto IP adresu
[[admin@ros10]] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 X **192.168.88.1/24** 192.168.88.0 bridge1
1 10.11.104.30/26 10.11.104.0 wlan2
2 10.11.42.130/26 10.11.42.128 wlan1
3 10.11.82.249/29 10.11.82.248 bridge1
4 **10.11.82.250/29** 10.11.82.248 bridge1
5 X 10.11.82.251/29 10.11.82.248 bridge1
6 10.11.106.1/27 10.11.106.0 wlan3
7 10.11.106.33/28 10.11.106.32 vlan2
[[admin@ros10]] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=src-nat to-addresses=10.11.82.250 src-address=192.168.88.0/24
POZOR: NIKDY nenastavujte nat za IP adresu jednoho z uplinku. V pripade vypadku tohoto spoje a preroutovani na druhy spoj by ten nat nefungoval !!!
Uvedena nastaveni OSPF plati i pro mensi AP, kde vse routuje take Mikrotik !
==== Pokud potřebujeme BGP ====
[[http://www.isp-servis.cz/config_mikrotik.html]]
==== Statické nastavení IPv6 ====
* Nejprve zapnout baliček ipv6, pokud ještě neni:''%%system package enable ipv6%%'' a potom reboot
Typický setup IPv6 na klientskym mikrotiku vypadá takhle:
* Na uplink (wan) interfacu nastavíme propojovací adresu včetně délky prefixu a bez advertise!
* Přidáme adresu výchozí brány (defaultní routa je označována jako ::/0)
* Na interface/bridge s pracovníma stanicema (lan) nastavíme přidělený prefix (typicky /64) a zaškrtneme "advertise"
=== Příklad ===
Od správce jsme dostali tyto informace:
^ Propojovací adresa | 2001:67c:2190:3b00:10:11:104:13/64 |
^ Defaultní brána | 2001:67c:2190:3b00::1 |
^ Vnitřní rozsah | 2001:67c:2190:3b01::/64 |
ipv6 address add address=2001:67c:2190:3b00:10:11:104:13/64 interface=wlan advertise=no
ipv6 address add address=2001:67c:2190:3b01::/64 interface=ether advertise=yes
ipv6 route dst-address=::/0 gateway=2001:67c:2190:3b00::1
* Nezapomente vyjmenovat vsechny interfacy na routeru v ospf3 s parametrem passive=yes, pouze interfacy, kde ma bezet dynamicky routing vyjmenujeme bez passive !
/routing ospf-v3 interface add area=backbone interface=vlan1451
FIXME screenshoty
===== Řešení s více konektivitou od různých poskytovatelů =====
* Pro další konektivitu musím vytvořit novou routovací tabulku, kterou označíme např. BACKUP
/ip route rule add src-address=100.90.0.2/28 table=to_BACKUP
/ip route rule add routing-mark=to_BACKUP table=to_BACKUP
//Prvni pravidlo obsahuje verejnou IP adresu, pridelenou od druheho ISP (za tuto adresu je potreba nastavit NAT, pro pakety co budou odchazet na interface druheho ISP)//
* pridame default routu do nove tabulky
ip route add check-gateway=ping distance=1 gateway=100.90.0.1 routing-mark=to_BACKUP
ip route add distance=1 dst-address=10.0.0.0/8 gateway=10.34.1.65 routing-mark=to_BACKUP
//Druhe pravidlo zadame v pripade, ze chceme privatni adresy routovat vzdy pres primarni uplink//
* A nyni definujeme samotne rozsahy, ktere chceme primarne smerovat pres zalozniho ISP. Je mozne naspat skript, ktery zadana pravidal zapne nebo vypne v pripade nedostupnosti primarni konektivity nebo preroutuje vsechny site na zalozni konektivitu, to uz zalezi na konkretni uprave
/ip firewall mangle add action=mark-routing chain=prerouting dst-address=!10.0.0.0/8 log=yes new-routing-mark=to_BACKUP src-address=10.34.10.0/24
/ip firewall mangle add action=mark-routing chain=prerouting dst-address=!10.0.0.0/8 log=yes new-routing-mark=to_BACKUP src-address=10.34.11.0/24
===== Zálohovani konfigurace =====
Nezapomente nahrat ssh klic pro zalohovani. Tento system bude dale v budoucnosti vyuzivat i pro hromadne zmeny nastaveni v mikrotiku apod., proto prosim provadejte nahravani klice na kazdy mikrotik !
Podrobnosti o zálohování konfigurace naleznete v následujícím dokumentu
[[howto:network:zalohovani|Zalohovani siti Spoje.Net]]
===== Reinstalace RouterOS na havarovanem mikrotiku pres NetInstall =====
V případě,mže se nepodaří zavést RouterOS, snaží se Mikrotik bootovat ze sítě. To lze využít pro reinstalaci firmwaru přes netboot pomocí nástroje **NetInstall**. Na sítovce, kterou si propojíme se sitovkou na mikoritku nastavíme IP např. 192.168.88.100/24, stáhneme balíček příslušné verze RouterOS a můžeme začít:
netinstall# ./netinstall -r -i enp60s0 -a 192.168.88.3 routeros-7.18.2-arm.npk
bash: ./netinstall: Adresář nebo soubor neexistuje
root@regulus:/home/gandalf/winapp/netinstall# ./netinstall-cli -r -i enp60s0 -a 192.168.88.3 routeros-7.18.2-arm.npk
Version: 7.18.2(2025-03-11 13:07:03)
Will reset to default config
Waiting for Link-UP on enp60s0
Waiting for RouterBOARD...
Assigned 192.168.88.3 to F4:1E:57:CD:50:CA
Booting device F4:1E:57:CD:50:CA into setup mode
Formatting device F4:1E:57:CD:50:CA
Sending packages to device F4:1E:57:CD:50:CA
Packages sent to device F4:1E:57:CD:50:CA
Rebooting device F4:1E:57:CD:50:CA
Successfully finished installing the device with MAC address F4:1E:57:CD:50:CA