Deel dit onderwerp alstublieft!

Mikrotik firewall mangle

Mikrotik firewall mangle rules: zo haal je het meeste uit je netwerk

Wil je eindelijk snappen wat je nu met Mikrotik mangle rules kunt? Je bent niet alleen. In deze blog leggen we uit wat mangle is, wanneer we het inzetten en hoe we het zelf gebruiken in ons netwerk.

Mikrotik firewall mangle

Wat zijn Mikrotik Mangle rules?

Kort gezegd: Met mangle geven we bepaalde netwerk pakketten of verbindingen een markering (“label”). Dat label gebruiken we vervolgens om verkeer anders te behandelen in de firewall, NAT, routing of queues.

⚠️Opgelet

Gebruik mangle alleen als het echt nodig is. Zonder duidelijk doel wordt je netwerk nodeloos complex. En te veel mangle rules kunnen de router vertragen. Begin klein, test, en breid stap voor stap uit.

Waarom gebruiken we mangle rules?

Standaard firewall regels zijn soms te beperkt. Met mangle gaan we een stap verder:

  • We bepalen zelf welk verkeer prioriteit krijgt.
  • We maken uitzonderingen mogelijk voor bijvoorbeeld IoT, gastennetwerken of camera’s.
  • We richten logging en monitoring precies in zoals we willen.
  • Met mangle rules kunnen we bepaalde services, ip-ranges enz. omleiden via andere routes enz.

Wil je precies weten hoe firewall NAT werkt? Bekijk dan de blogpost over MikroTik firewall NAT.

Hoe maken we een simpele mangle rule?

Stel: we willen al het verkeer van het domotica netwerk (192.168.10.0/24) apart labelen:

/ip firewall mangle
add chain=prerouting src-address=192.168.10.0/24 action=mark-packet new-packet-mark=domotica passthrough=yes
🛈 Uitgevoerd met RouterOS 7.19.2
Alle voorbeelden, CLI-codes en screenshots in deze blog zijn getest en uitgevoerd op MikroTik RouterOS versie 7.19.2.
Let op: bij andere RouterOS-versies kunnen commando’s, menu’s of foutmeldingen licht afwijken.

Wat kunnen we allemaal doen met mangle rules?

  • Verkeer markeren op basis van IP, poort of protocol: We kunnen elk pakket labelen: op bron/destination IP, op poort (bijvoorbeeld alleen HTTP of VoIP), op interface, protocoltype (TCP/UDP), enzovoort.
  • Connection tracking en marks koppelen: We kunnen niet alleen losse pakketten markeren, maar ook volledige connecties (handig bij stateful verkeer zoals VoIP, VPN, …).
  • QoS en traffic shaping: Door bepaalde types verkeer te markeren (bijvoorbeeld YouTube of Teams), kunnen we deze prioriteit geven of juist limiteren met queues.
  • Policy-based routing: We kunnen op basis van markeringen verkeer via een andere WAN verbinding sturen, bijvoorbeeld alle gastverkeer via een aparte internetlijn.
  • Uitzonderingen of bypasses instellen: We laten bepaald verkeer uitzonderen van firewall regels of NAT (bijvoorbeeld monitoring, back-ups, management).
  • Logging en monitoring verfijnen: Door verkeer te markeren, kunnen we het later makkelijk apart loggen, grafieken maken of analyseren hoeveel verkeer een dienst of toestel genereert.
  • Specifiek verkeer blokkeren of toelaten: We kunnen bijvoorbeeld al het verkeer van IP-camera’s markeren en alleen lokaal verkeer toestaan, nooit naar buiten.
  • Geavanceerde NAT toepassingen: Markeringen gebruiken om speciale NAT regels toe te passen voor bepaald verkeer.
  • VPN en failover optimaliseren: Specifiek verkeer via VPN sturen, of bij uitval automatisch over andere lijnen verdelen — alles op basis van onze marks.
  • Dubbele checks: Verkeer eerst grof markeren en daarna verfijnen met extra regels. Zo houden we grip op grote en kleine stromen.

Kort samengevat:

Met MikroTik mangle rules kunnen we het verkeer herkennen, markeren én op basis daarvan gericht sturen, prioriteren, blokkeren of loggen. Het is de tool voor wie echt controle wil over zijn netwerk.

ℹ️ Wat is prerouting bij mangle rules?

Prerouting is de allereerste stap wanneer verkeer je router binnenkomt. We gebruiken prerouting om pakketten te markeren voordat de router beslist waar ze naartoe moeten. Met andere woorden: prerouting gebeurt voordat de router het pakket in het routing proces opneemt.
Dit geeft ons de kans om direct bij binnenkomst van het verkeer slimme keuzes te maken.

Waarvoor gebruiken we prerouting?

  • Verkeer direct bij binnenkomst labelen.
  • Policy-based routing: bijvoorbeeld verkeer van één apparaat meteen via een andere WAN sturen.
  • Prioritering (QoS) of logging vanaf het begin toepassen.

Voorbeeld:

Wil je dat alles uit een bepaald subnet altijd apart wordt behandeld? Gebruik dan prerouting voor je mangle rule.

/ip firewall mangle
add chain=prerouting src-address=192.168.50.0/24 action=mark-packet new-packet-mark=SUBNET50 passthrough=yes

Uitleg:

  • chain=prerouting: De regel geldt direct bij het binnenkomen op de MikroTik router.
  • src-address=192.168.50.0/24: Het bronadres is jouw subnet die je wil markeren.
  • action=mark-packet: We geven elk pakket van dit subnet een markering.
  • new-packet-mark=SUBNET50: De markering krijgt de naam SUBNET50.
  • passthrough=yes: Het pakket mag doorschuiven naar de volgende mangle rule.

ℹ️ Wat is postrouting?

Postrouting is de allerlaatste stap in het verwerkingsproces van je router. We gebruiken postrouting om pakketten te markeren vlak voordat ze de router verlaten, dus nadat alle firewall  en routing beslissingen al genomen zijn. Met andere woorden: Postrouting gebeurt nadat het pakket volledig door de router is verwerkt en klaar is om te vertrekken naar de volgende bestemming (bijvoorbeeld het internet of een ander netwerk). Dit wordt vaak gebruikt bij NAT toepassingen, zoals masquerade, of als we outgoing verkeer nog willen markeren of loggen net voor het vertrekt. Wil je meer weten over NAT? Lees mijn blog MikroTik firewall NAT configuraties.

Voorbeeld:

Stel, we willen al het verkeer dat vertrekt vanaf 192.168.50.0/24 markeren in postrouting. Dit kan bijvoorbeeld handig zijn voor logging of speciale NAT regels.

/ip firewall mangle
add chain=postrouting src-address=192.168.50.0/24 action=mark-packet new-packet-mark=SUBNET50-OUT passthrough=yes

Uitleg:

  • chain=postrouting: De regel wordt toegepast vlak voordat het pakket de router verlaat.
  • action=mark-packet: We geven elk pakket een markering.
  • new-packet-mark=SUBNET50-OUT: De markering heet SUBNET50-OUT.
  • passthrough=yes: Het pakket wordt nog verder verwerkt door andere mangle rules als die er zijn.

ℹ️ Prerouting vs. Postrouting: wat is het verschil?

Prerouting is de allereerste halte voor pakketten die je router binnenkomen. We gebruiken prerouting om verkeer te markeren of te filteren nog vóór de router beslist waar het naartoe moet. Ideaal als je bijvoorbeeld verkeer uit een bepaald subnet direct apart wilt behandelen, of als je policy-based routing wilt instellen.

Postrouting is de allerlaatste halte. Hier markeren we pakketten vlak voordat ze de router verlaten. Alles wat de router moest beslissen (routing, NAT, firewall) is dan al gebeurd. Dit is handig als je uitgaand verkeer wilt loggen, of bepaalde NAT-acties alleen op specifiek gemarkeerd verkeer wilt toepassen.

Kort samengevat:

  • Prerouting = eerste halte, vóór het routingproces.
  • Postrouting = laatste halte, net voor vertrek.

ℹ️ Forward chain

De forward chain bij de MikroTik mangle rules wordt gebruikt voor al het verkeer dat door de router wordt doorgestuurd, dus van het ene netwerk naar het andere, zonder dat de router zelf de bestemming is of de bron. Dit is typisch voor routers die verkeer tussen LAN en WAN, of tussen verschillende VLAN’s, moeten afhandelen.

  • Voorbeeld: Een pc op je LAN surft naar een website op het internet. Het verkeer komt binnen via prerouting, gaat dan via de forward-chain, en verlaat de router via postrouting.

Waarvoor gebruiken we forward in mangle?

  • Als we alleen transit verkeer willen markeren of beïnvloeden.
  • Bijvoorbeeld voor uitgebreide traffic shaping (QoS) tussen netwerken.
  • Ook handig voor logging of specifieke monitoring van “doorgaand” verkeer.

CLI-voorbeeld:

/ip firewall mangle
add chain=forward src-address=192.168.10.0/24 action=mark-packet new-packet-mark=LANtoWAN passthrough=yes

Kort samengevat:

Gebruik forward als je alleen verkeer dat door de router moet (en dus niet van/naar de router zelf) wilt markeren.

Wat is input bij de MikroTik mangle rules

De input-chain verwerkt verkeer dat bedoeld is voor de router zelf. Denk aan Winbox, SSH, web interface of NTP-verzoeken. Dus: alles wat als eind- bestemming de router heeft. Dus geen toestel achter de router. 

  • Voorbeeld: Een beheerder logt via Winbox in op het IP-adres van de router. Dit verkeer gaat door de input-chain.

ℹ️ Wat is Output bij de mangle rules

De output-chain verwerkt verkeer dat vertrekt van de router zelf. Bijvoorbeeld als de router zelf DNS verzoeken doet, updates downloadt of pings uitvoert.

  • Voorbeeld: De router doet een DNS-query, update-check, of je start een traceroute vanaf de router. Dit verkeer loopt door de output-chain.

Waar gebruiken we dit?

  • Input: Als we beheer of toegang tot de router zelf willen beperken of markeren (bijvoorbeeld alleen management vanaf bepaalde IP’s toestaan).
  • Output: Als we willen controleren of beperken welke services of adressen de router zelf mag contacteren.

💡Let op:

Gewoon intern netwerkverkeer (van client naar client, of van client naar internet) gaat via prerouting, forward en postrouting, niet via input/output. Input en output zijn dus écht alleen voor verkeer naar of van de router zelf.

📝 Samenvatting beschikbare chains

💡 Prerouting

Verkeer wordt gemarkeerd zodra het de router binnenkomt, vóór het routingproces. Voorbeeld: We markeren al het verkeer uit subnet 192.168.50.0/24 direct bij binnenkomst.

🚪 Input

Voor verkeer dat bestemd is voor de router zelf (beheer, updates, NTP, enzovoort). Voorbeeld: Alleen management verkeer naar de router krijgt een markering.

🔀 Forward

Voor al het verkeer dat door de router wordt doorgestuurd, dus van het ene netwerk naar het andere. Voorbeeld: We markeren al het LAN-verkeer dat naar het internet gaat.

🡺 Output

Voor verkeer dat vertrekt van de router zelf (router als bron). Voorbeeld: DNS-verzoeken, updates of pings die de router zelf uitvoert.

⚡ Postrouting

Voor verkeer vlak voordat het de router verlaat. Laatste kans om een pakket te markeren of NAT toe te passen. Voorbeeld: We markeren uitgaand verkeer uit een bepaald subnet, net voor het vertrekt richting internet.

ℹ️ Wat is het verschil tussen packet-mark, connection-mark en routing-mark?

🟦 Packet-mark

Een packet-mark is een etiket dat op één los pakket wordt geplakt. Gebruik je als je verkeer heel fijnmazig wilt behandelen, bijvoorbeeld om HTTP-pakketten apart te prioriteren. 
Voorbeeld: We geven elk pakket van 192.168.50.0/24 het label SUBNET50 met een packet-mark.

🟨 Connection-mark

Een connection-mark labelt een hele verbinding (bijvoorbeeld een volledige sessie tussen een pc en een server). Alle pakketten die bij die verbinding horen, krijgen dezelfde markering. Handig voor dingen als VoIP, VPN of downloads, waar je alles binnen één “gesprek” hetzelfde wilt behandelen.
Voorbeeld: We geven alle verbindingen van onze IP-camera’s het label CAMERA-conn. Nu kunnen we al dat camera verkeer als één geheel regelen, ongeacht het aantal pakketten.

🟧 Routing-mark

Met een routing-mark bepalen we de route van het verkeer. Pakketten met deze markering kun je bijvoorbeeld over een andere WAN verbinding sturen (policy-based routing).
Voorbeeld: Verkeer uit het gastennetwerk krijgt de routing-mark GUEST-route. Daarmee sturen we alles van gasten via een aparte internetlijn.

Kort samengevat:

  • Packet-mark = label per pakket
  • Connection-mark = label per verbinding
  • Routing-mark = label voor routering keuze

💡Tip: Combineer connection-mark en packet-mark voor betere performance

We kunnen markeringen slim combineren: Eerst geven we een verbinding één keer een connection-mark. Daarna geven we alle pakketten binnen die verbinding automatisch dezelfde packet-mark mee.

Waarom is dit beter?

Door eerst op connection-mark te filteren, hoeft de router niet elk los pakket steeds opnieuw te beoordelen. Dat scheelt rekenwerk en zorgt voor betere performance, zeker bij veel verkeer of langdurige verbindingen zoals VoIP, VPN of downloads.

Hoe werkt het?

  • Eerst een connection-mark toevoegen: Hiermee labelen we de hele sessie (bijvoorbeeld alles van een bepaalde bron naar een bepaalde bestemming).
  • Daarna een packet-mark: Hiermee zorgen we dat elk pakket binnen die sessie automatisch het juiste label krijgt.

Voorbeeld in CLI:

/ip firewall mangle
add chain=prerouting src-address=192.168.50.0/24 action=mark-connection new-connection-mark=SUBNET50-conn passthrough=yes
add chain=prerouting connection-mark=SUBNET50-conn action=mark-packet new-packet-mark=SUBNET50-packet passthrough=yes
  • De eerste regel markeert de hele verbinding.
  • De tweede regel geeft elk pakket in die verbinding het juiste label.

Samengevat:

Eerst een connection-mark zetten, daarna pas een packet-mark, is efficiënter. Zo laat je de router zo weinig mogelijk werk doen. Zodat het data verkeer vlotter door de router kan. Dit is mooi meegenomen niet?

❓ FAQ – Veelgestelde vragen over mangle marks

1️⃣ Blijven markeringen zichtbaar als pakketten de router verlaten?

Nee, markeringen zoals packet-mark, connection-mark en routing-mark zijn alleen zichtbaar binnen de router zelf. Zodra een pakket de router verlaat, verdwijnt de markering.

2️⃣ Kunnen we dezelfde markeringen gebruiken in NAT, firewall en queues?

Ja, dat is juist de kracht van mangle. We markeren verkeer en gebruiken diezelfde markering verderop in NAT regels, firewall regels of queues.

3️⃣ Zijn marks zichtbaar voor apparaten voor of achter de router?

Nee, alleen de MikroTik zelf ziet de markering. Apparaten op je netwerk of op het internet zien deze marks nooit.

4️⃣ Moet ik elke markering zelf weer verwijderen door een instelling aan te passen?

Nee, dat gebeurt automatisch. Markeringen bestaan alleen zolang het pakket of de verbinding door de router verwerkt wordt.

5️⃣ Wat gebeurt er als ik een fout maak met markeringen?

⚠️ Onjuiste marks kunnen verkeer verkeerd behandelen (blokkeren, omleiden, vertragen). Test altijd je regels en begin eenvoudig.

Veelgebruikte mark-namen voor mangle rules

Mark-type

Voorbeeld mark-naam

Waarvoor gebruiken?

packet-mark

VOIP-packet

VoIP-pakketten prioriteren of monitoren

connection-mark

CAMERA-conn

Hele verbinding van een IP-camera markeren

   routing-mark

GUEST-route

Gastverkeer via een aparte route sturen

packet-mark

BACKUP-packet

Back-up verkeer limiteren of apart behandelen

connection-mark

VPN-conn

VPN-sessies apart regelen of loggen

routing-mark

OFFICE-route

Kantoornetwerk via een specifieke WAN sturen

packet-mark

STREAM-packet

Streaming-diensten (YouTube, Netflix) markeren

connection-mark

DOWNLOAD-conn

Grote downloads als geheel een eigen mark geven

packet-mark

MGMT-packet

Management verkeer naar of van de router markeren

routing-mark

IOT-route

IoT-verkeer over een aparte policy route sturen

connection-mark

GUEST-conn

Alle verbindingen vanuit het gastennetwerk markeren

connection-mark

SYNC-conn

Synchronisatieverkeer apart houden (cloud sync, NAS)

packet-mark

GAME-packet

Game-verkeer markeren voor lage latency

packet-mark

PRINT-packet

Printerverkeer apart monitoren of beperken

💡 Tip:

Voeg gerust je eigen namen toe die passen bij jouw netwerk of gebruikssituatie. Hou de namen kort, duidelijk en consistent!

🛠️ Praktijk: zelf MikroTik mangle rules maken en toepassen

🛠️ Praktijk voorbeeld: IoT-verkeer markeren en lagere prioriteit geven (QoS)

Scenario:

Ons IoT netwerk zit op 192.168.10.0/24. We willen dat dit verkeer altijd een lagere prioriteit krijgt dan het gewone internetverkeer. Denk aan slimme stekkers, sensoren, camera’s, enzovoort. We gebruiken mangle om al dit verkeer te labelen, en geven het daarna een lagere prioriteit via een simple queue. Zo is altijd duidelijk wat het doel is van de mangle rules en zie je meteen hoe alles samenhangt.

🛠️ STAP 1 – Download verkeer naar het IoT netwerk markeren

We willen het downloadverkeer (van internet naar IoT-netwerk) apart markeren. Zo kunnen we dit verkeer straks apart limiteren of lager prioriteren.

/ip firewall mangle
add chain=prerouting dst-address=192.168.10.0/24 in-interface-list=WAN action=mark-packet new-packet-mark=IOT-download passthrough=yes

Wat doet deze regel?

  • Kijkt naar elk pakket dat binnenkomt op de WAN-interface.
  • Als de bestemming het IoT-subnet is, krijgt het pakket het label IOT-download.

Waarom deze volgorde?

Download komt altijd binnen via WAN en gaat naar een intern subnet.

🛠️ STAP 2 – Uploadverkeer vanuit het IoT-netwerk markeren

We willen nu het uploadverkeer (van IoT naar internet) apart markeren. Ook dit willen we straks in onze QoS-queue behandelen.

/ip firewall mangle
add chain=postrouting src-address=192.168.10.0/24 out-interface-list=WAN action=mark-packet new-packet-mark=IOT-upload passthrough=yes

Wat doet deze regel?

  • Kijkt naar elk pakket dat de router verlaat via de WAN interface.
  • Als de bron het IoT-subnet is, krijgt het pakket het label IOT-upload.

🛠️ STAP 3 – Simple queues met prioriteit instellen

  • Je gewone netwerk 192.168.11.0/24 geef je priority=1 (hoogste).
  • Je IoT-queues geef je priority=8 (laagste).
/queue simple
add max-limit=50M/50M name=NormaalNetwerk priority=1/1 target=192.168.11.0/24
add max-limit=2M/2M name=IoT-Download packet-marks=IOT-download target=""
add max-limit=1M/1M name=IoT-Upload packet-marks=IOT-upload target=""

🛠️ Praktijkvoorbeeld: TTL aanpassen op het guest netwerk

Scenario:

We willen niet dat gebruikers op het gastennetwerk (192.168.10.0/24) eenvoudig kunnen achterhalen wat het externe (publieke) IP-adres van onze router is, bijvoorbeeld via traceroute of websites als “watismijnip.be”. Door de TTL van hun pakketten vóór het verlaten van de router te verhogen, wordt onze router als “hop” onzichtbaar.

Stap 1 – TTL verhogen in postrouting voor gasten

/ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:65 src-address=192.168.10.0/24

Hoe werkt dit?

  • action=change-ttl: geeft aan dat je de Time To Live wilt aanpassen.
  • chain=prerouting: je doet dit zodra het pakket binnenkomt op de router.
  • new-ttl=increment:65: verhoogt de TTL van elk pakket met 1, tot maximaal 65.
  • src-address=192.168.10.0/24: alleen pakketten afkomstig uit het opgegeven subnet.

💡 Samengevat:

  • Een mangle regel volstaat om de TTL van al het verkeer uit een subnet te veranderen.
  • Wil je andere subnets? Voeg gewoon extra regels toe met een ander src-address of werk met address-list.

Hoe werkt TTL precies in deze configuratie?

De TTL (Time To Live) is een waarde in elk IP-pakket die aangeeft hoeveel “hops” (routers) het pakket mag passeren voordat het wordt weggegooid.
Elke keer als een pakket door een router gaat, wordt de TTL normaal met 1 verlaagd. Als de TTL 0 wordt, wordt het pakket verwijderd (“time exceeded”).

Wat gebeurt er met jouw mangle regel?

  • Met de mangle regel /ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:65 src-address=192.168.10.0/24
  • Verhoog je de TTL net voor het pakket je router uitgaat, dus bijvoorbeeld van 64 naar 65.
  • Daardoor lijkt het alsof jouw router “niet bestaat” in de ketting van hops (traceroute).

Waarom ziet een gastgebruiker nu je extern IP-adres niet?

Normaal:

  • Als iemand op je gastnetwerk een traceroute uitvoert, zien ze elke router (hop) waar het pakket doorheen gaat.
  • Jouw MikroTik router is daarbij meestal de laatste “hop” op het interne netwerk voordat het internet op gaat.
  • Zo wordt je publieke (externe) IP-adres zichtbaar in de traceroute.

Met de TTL mangle rule:

  • Door de TTL met 1 te verhogen vlak voor het pakket het internet op gaat, lijkt het voor traceroute tools alsof er één hop minder is.
  • Jouw router (en dus je publieke IP-adres) verschijnt niet langer als laatste stap in de traceroute.
  • De gast ziet alleen het eerste IP-adres van de provider, niet dat van jouw internetverbinding.

Kortom: Dankzij deze aanpassing wordt je publieke IP-adres “onzichtbaar” voor iedereen op je gastennetwerk. Zo bescherm je je eigen verbinding beter tegen nieuwsgierige gasten of malafide apps.

Voorbeeld: traceroute vanaf een gastnetwerk

traceroute naar google.be

1   192.168.10.1       ← Gastnetwerk gateway
2   192.168.1.1        ← MikroTik-router (jouw externe IP)
3   1.2.3.4            ← Provider-router (eerste hop op het internet)
4   ...

Je publiek IP-adres is zichtbaar als hop 2.

Met mangle regel (TTL verhoogd bij vertrek)

traceroute naar google.be

1   192.168.10.1       ← Gastnetwerk gateway
2   1.2.3.4            ← Provider-router (eerste hop op het internet)
3   ...

Jouw MikroTik router (en je externe IP) wordt overgeslagen! De gast ziet alleen het IP van de provider als eerste hop buiten het eigen netwerk.

Samengevat:

Met deze TTL aanpassing wordt jouw publieke IP-adres niet meer zichtbaar voor gebruikers op het gastennetwerk.

💡 Tip: Maak je publieke IP onzichtbaar voor gasten

Door de TTL van uitgaand verkeer voor het gastennetwerk te verhogen met een mangle regel, wordt je MikroTik router (en dus je externe IP-adres) overgeslagen in traceroute resultaten.

🔴 Let op:

Door de TTL van uitgaand verkeer voor het gastennetwerk te verhogen met een mangle regel, wordt je publieke IP-adres niet langer zichtbaar als tussenstap (“hop”) in traceroute resultaten. Maar via websites zoals “what is my IP” blijft je publieke IP-adres wel zichtbaar voor alle gebruikers op het gastennetwerk, want al het verkeer blijft via jouw internetverbinding lopen. De TTL aanpassing beschermt je externe IP-adres tegen traceroute analyses, maar niet tegen gewone IP-detectiewebsites.

🛠️ Praktijkvoorbeeld: Games prioriteit geven met mangle en queue

Scenario:

Je wilt gamen zonder vertraging, zelfs als anderen op het netwerk veel downloaden of streamen. Door game verkeer te markeren en in de simple queue een hogere prioriteit te geven, blijft je ping stabiel en loopt je verbinding niet vast.

Stap 1 – Gameverkeer markeren met mangle

We markeren bekende gamepoorten. Bijvoorbeeld UDP-poorten voor PlayStation/Xbox/PC-games (stel: 3074 voor Xbox Live/CoD, 27015-27050 voor Steam, enz.).

/ip firewall mangle
add chain=prerouting protocol=udp dst-port=3074 action=mark-packet new-packet-mark=GAME-packet passthrough=yes
add chain=prerouting protocol=udp dst-port=27015-27050 action=mark-packet new-packet-mark=GAME-packet passthrough=yes

Voeg gerust extra poorten toe voor jouw games. Of verwijder deze poorten indien nodig.

Stap 2 – Simple queue met hoge prioriteit

We maken een aparte simple queue aan met een hoge prioriteit (bijvoorbeeld 1), zodat gameverkeer altijd voorrang krijgt:

/queue simple
add max-limit=50M/50M name=GameQueue packet-marks=GAME-packet priority=1/1 target=""

✅ Resultaat:

  • Gaming blijft soepel, zelfs als anderen op het netwerk downloaden of streamen.
  • Je hoeft niets meer aan te passen: hoogste prioriteit geldt voor alle kanten.

📋 Samenvatting:

priority=1/1 is de meest eenvoudige en veilige instelling als je altijd voorrang wilt voor je games.

🚨 Let op: de juiste code kan verschillen per RouterOS-versie

Tijdens het uitwerken van deze voorbeelden is er veel geëxperimenteerd en getest met verschillende commando’s en parameters. De exacte syntax voor mangle rules en queues verschilt soms tussen RouterOS versies (zeker bij simple queues en prioriteit).

  • Sommige commando’s werken alleen in de nieuwste versies, of alleen via Winbox/WebFig.
  • Wat in de CLI werkt op RouterOS v6, geeft op v7 soms een foutmelding, of vraagt net andere parameters.
  • De export uit Winbox/WebFig levert meestal altijd werkende code op, ook voor backup of documentatie.

🧠 Advies:

  • Kom je een foutmelding tegen? Probeer het in de GUI en exporteer daarna de regels.
  • Test altijd zelf je configuratie: MikroTik wijzigt regelmatig kleine dingen in de syntax.

📹 MikroTik: Bandbreedte limiteren per dienst – HTTP, FTP en meer (praktijkvoorbeeld mangle rules)

In deze video laat ik stap voor stap zien hoe je op je MikroTik router bandbreedte per dienst (zoals HTTP, FTP en overig verkeer) kunt markeren. Met slimme mangle rules kun je het netwerkverkeer flexibel indelen en per soort verkeer limieten of prioriteiten instellen. Ideaal voor iedereen die absolute controle wil over zijn internetverbinding!

Wat zie je in dit filmpje?

  • 🔄 Verwijderen van FastTrack: Waarom je FastTrack eerst uitschakelt voor goede QoS en queue matching.
  • 🏷️ Aanmaken van globale download en upload verbindingen: Je leert hoe je alle inkomende en uitgaande verbindingen markeert als basis voor verdere packet markering.
  • 📦 Markeren van globale download en upload pakketten: Hoe je deze pakketten een eigen label geeft voor latere filtering.
  • 🗂️ Specifiek markeren van FTP-pakketten (download én upload): FTP-verkeer wordt apart gemarkeerd zodat je hier gericht limieten of prioriteiten op kan zetten.
  • 🌐 HTTP-pakketten markeren: Webverkeer (HTTP/HTTPS) krijgt ook een eigen markering voor betere controle.
  • 🌳 Aanmaken van een queue tree en instellen van prioriteiten per service: Je ziet stap voor stap hoe je de queue tree opbouwt zodat je verschillende soorten verkeer verschillende prioriteit kan geven.
  • 🎚️ Bandbreedtebeperking per dienst (service-based limiting): Tot slot leer je hoe je daadwerkelijk de maximale snelheid per type verkeer instelt, zodat bijvoorbeeld downloads niet je hele netwerk ophouden.
▶️ Bekijk het filmpje op YouTube

🎁 Om je te helpen, hieronder de gebruikte mangle rules uit het filmpje:

/ip firewall mangle
add action=mark-connection chain=forward comment=global-download-conn in-interface-list=WAN new-connection-mark=global-download-conn passthrough=yes
add action=mark-packet chain=forward comment=global-download-pckt connection-mark=global-download-conn new-packet-mark=global-download-pckt passthrough=yes
add action=mark-connection chain=prerouting comment=global-upload-conn in-interface-list=LAN new-connection-mark=global-upload-conn passthrough=yes
add action=mark-packet chain=prerouting comment=global-upload-pckt connection-mark=global-upload-conn new-packet-mark=global-upload-pckt passthrough=yes
add action=mark-packet chain=forward comment=http-download-pckt new-packet-mark=http-download-pckt packet-mark=global-download-pckt passthrough=no port=80,443 protocol=tcp
add action=mark-packet chain=forward comment=http-upload-pckt new-packet-mark=http-upload-pckt packet-mark=global-upload-pckt passthrough=no port=80,443 protocol=tcp
add action=mark-packet chain=forward comment=ftp-download-pckt new-packet-mark=ftp-download-pckt packet-mark=global-download-pckt passthrough=no port=21 protocol=tcp
add action=mark-packet chain=forward comment=ftp-upload-pckt new-packet-mark=ftp-upload-pckt packet-mark=global-upload-pckt passthrough=no port=21 protocol=tcp
add action=mark-packet chain=forward comment=rest-download-pckt connection-mark=global-download-conn new-packet-mark=rest-download-pckt passthrough=no
add action=mark-packet chain=forward comment=rest-upload-pckt connection-mark=global-upload-conn new-packet-mark=rest-upload-pckt passthrough=no

🔴 Let op:

Krijg je foutmeldingen bij het plakken van de commando’s in de MikroTik terminal? Controleer dan goed de namen van je interfaces (zoals in interface-list=LAN of in interface-list=WAN). Pas deze altijd aan naar de namen in jouw eigen configuratie. Hopelijk helpt dit voorbeeld je om niet alleen de techniek toe te passen, maar ook het principe achter service based bandbreedtebeheer beter te begrijpen!


Blijf op de hoogte van nieuwe video tutorials

Abonneer je op mijn YouTube kanaal

Enter your text here...

Ook interessant

29 jun, 2025

MikroTik Winbox en SSH veilig inloggen
25 jun, 2025

Mikrotik Firewall NAT configureren: DST NAT en SRC NAT
22 jun, 2025

MikroTik Port Knocking configuratie
16 jun, 2025

MikroTik apparatuur beveiligen
Previous Post Blok Facebook en YouTube op je Mikrotik router Next Post Mikrotik UPNP configuratie

Deze website maakt gebruik van cookies. Door deze site te blijven gebruiken, accepteert u het gebruik van deze cookies.