10
2 Wan Port an Mikrotik
Hallo Zusammen
Ich stehe vor einem kleinen Problem. Habe eine Mikrotik RB 3011 bei der ich 2 Ports als Wan anschlüsse benutzen möchte.
Habe 2 Vlans die momentan beide über Wan1 ins Internet kommen. Nun möchte ich aber das Vlan 2 auch über Wan 2 ins Internet geht.
Habe eine Masquerade NAT Regel für Vlan1 und eine für Vlan2. Sobald ich dort die einstellung ändrere auf WAn2 komme ich nicht mehr ins Internet.
Habe auch alle Artikel durchgelesen hier im Forum und komme nicht mehr weiter. Wo könnte das Problem liegen?
Gerne Poste ich auch meine Einstellung weiss eingach nciht von welchen Bereich es benötigt wird.
Ich stehe vor einem kleinen Problem. Habe eine Mikrotik RB 3011 bei der ich 2 Ports als Wan anschlüsse benutzen möchte.
Habe 2 Vlans die momentan beide über Wan1 ins Internet kommen. Nun möchte ich aber das Vlan 2 auch über Wan 2 ins Internet geht.
Habe eine Masquerade NAT Regel für Vlan1 und eine für Vlan2. Sobald ich dort die einstellung ändrere auf WAn2 komme ich nicht mehr ins Internet.
Habe auch alle Artikel durchgelesen hier im Forum und komme nicht mehr weiter. Wo könnte das Problem liegen?
Gerne Poste ich auch meine Einstellung weiss eingach nciht von welchen Bereich es benötigt wird.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 335080
Url: https://administrator.de/contentid/335080
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
10 Kommentare
Neuester Kommentar
Was du machen musst ist Policy Based Routing auf deinem MT. Hier findest du was dazu:
Policy based Routing mit Mikrotik 750
und auch hier:
https://mum.mikrotik.com/presentations/US12/tomas.pdf
Wenn du nach "Mikrotik dual WAN" oder "Mikrotik policy routing" suchst findest du zuhauf laufende Konfigs dazu.
Eine zielführende und hilfreiche Antwort ist so nicht zu geben.
Policy based Routing mit Mikrotik 750
und auch hier:
https://mum.mikrotik.com/presentations/US12/tomas.pdf
Wenn du nach "Mikrotik dual WAN" oder "Mikrotik policy routing" suchst findest du zuhauf laufende Konfigs dazu.
Wo könnte das Problem liegen?
Um das nur ansatzweise beantworten zu können sind deine Angaben zu oberfächlich und laienhaft. Was sollen wir denn versehen unter "geht das Internet nicht mehr" - Hast du dein Routing mit Traceroute überprüft ?
- Kannst du schon nackte IP Adressen wie 8.8.8.8 nicht erreichen (ohne DNS)
- Wie ist deine Dual WAN Anbindung realisiert ? Der MT hat ja keine Modems ?
- Welche Anschluss Art und WIE an WAN 1 und 2 ?
- a. Router Kaskade mit doppeltem NAT ? An einem oder beiden WAN Ports ?
- b. Direkte Kopplung mit nur Modem usw. ? An einem oder beiden WAN Ports ?
Eine zielführende und hilfreiche Antwort ist so nicht zu geben.
Mit "geht das Internet nicht mehr" meine ich dass weder Internetseiten aufrufbar sind und auch irgendwelche Pings auf Öffentliche IPs gehen nicht.
Ich habe ein Kabel Moden das auf Bridge Modus eingestellt ist und die Öffentlichen IP Adressen ausgeben.
Mit der Draytek die vorhin angeschlossen war hatte das ohne Probleme funktioniert und was mit 2 Klicks erledigt.
Werde es am Abend nochmals anschauen.
Ich habe ein Kabel Moden das auf Bridge Modus eingestellt ist und die Öffentlichen IP Adressen ausgeben.
Mit der Draytek die vorhin angeschlossen war hatte das ohne Probleme funktioniert und was mit 2 Klicks erledigt.
Werde es am Abend nochmals anschauen.
irgendwelche Pings auf Öffentliche IPs gehen nicht.
Dann hast du ein Routing Problem ! Was sagt dann die Routing Tabelle in deinem Router ??Ich habe ein Kabel Moden das auf Bridge Modus eingestellt ist und die Öffentlichen IP Adressen ausgeben.
Sorry, Rumpeldeutsch. Nur nochmal nachgefragt ums richtig zu verstehen:Das Modem ist ein reines passives Nur Modem (Passthrough) und am WAN Port hast du eine öffentliche Provider IP, richtig ??
Konfigurierst du diese IP statisch (manuell) oder bekommst du die dynamisch per DHCP ?
In der Regel arbeiten die Provider alle mit DHCP, was dann bedeutet das du den MT Port in den DHCP Client Mode bringen musst !
Ist das der Fall und die IP OK, kannst du mit dieser IP als Absender IP dann den Next Hop Router beim Provider pingen oder die 8.8.8.8 ??
Pmgen immer direkt vom Router und nicht von loaklen Endgeräten ! Nur um NAT Probleme auszuschliessen erstmal.
Nur um sicher zu gehen das du wirklich eine funktionierende Internet Verbindung hast an dem Port.
Ist das alles der Fall WO zeigt dein Default Gateway hin (Routing Tabelle !)
Werde es am Abend nochmals anschauen.
Wir bitten drum, denn ohne diese Infos müssen wir hier alle zuviel raten und das hilft dir wenig 
Die DHCP Clients habe ich eingerichtet. Über Wan 1 läuft ja auch alles, VPN zu einem anderen Standort, Portforwarding auch.
Hier mal der Auszug aus vom Routing:
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
Hier mal der Auszug aus vom Routing:
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
- DST-ADDRESS PREF-SRC GATEWAY DISTANCE
1 A S 0.0.0.0/0 WAN2 1
2 ADS 0.0.0.0/0 99.77.104.1 0
3 ADC 99.77.104.0/21 99.77.107.25 WAN1 0
4 ADC 80.75.12.0/22 80.75.12.150 WAN2 0
5 ADC 192.168.3.0/24 192.168.3.1 VLAN 192.168.3.0 0
6 ADC 192.168.10.0/24 192.168.10.1 VLAN 192.168.10.0 0
7 ADC 192.168.20.0/24 192.168.20.1 ether10
Firewall Mangle:
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Wan 1 Output
chain=prerouting action=accept src-address=192.168.20.0/24
in-interface=WAN1 log=no log-prefix=""
1 ;;; Wan 1 Output
chain=prerouting action=accept in-interface=WAN2 log=no log-prefix=""
Firewall Nat:
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=accept dst-address=192.168.30.0/24 out-interface=WAN1
log=no log-prefix=""
1 chain=srcnat action=accept src-address=192.168.20.0/24
dst-address=192.168.30.0/24 log=no log-prefix=""
2 chain=srcnat action=masquerade src-address=192.168.20.0/24
out-interface=WAN1 log=no log-prefix=""
3 chain=srcnat action=masquerade src-address=192.168.10.0/24
out-interface=WAN2 log=no log-prefix=""
Das sind ein paar auszüge aus meiner Config.
Du hast 2 Grundproblematiken.
Da du 2 statische Default Routen mit gleicher Cost eingetragen hast macht der Router ein Session basiertes Balancing. Das heisst eine Session WAN1, nächste Session WAN2, nächste WAN1 usw.
Er sollte also so von sich aus schon ein Balancing machen.
Dafür musst du aber sicherstellen das beide WAN Ports unabhängig voneinander sauber funktioniert.
Du solltest also einal WAN 1 totlegen (Strippe ziehen das der Port physisch auf down geht), dann sollte alles über WAN 2 gehen.
Dann mal bei WAN 2 die Strippe ziehen und dann sollte alles über WAN 1 gehen. Diese Grundfunktion muss erstmal laufen also beide Ports sollten einzeln für sich autark arbeiten.
Die Probelmatik wird sein das du im DHCP Client Mode ein Default Gateway dynamisch vom Provider aufgedrückt bekommst. Viele Router nehmen das dann als Default Gateway und ignorieren das andere. Was kans sicher nicht geht das du mit beiden Ports mit dynamsichen Default Gateways arbeiten kannst.
Du solltest dort imemr statische Routen konfigurieren. Normalerweise mangeln statisch fest konfigurierte Routen dynamisch gelernt komplett über. Ob der MT das aber macht muss man genau prüfen.
Das da irgendwas im Argen ist zeigt der Routing Table Eintrag 2 ADS 0.0.0.0/0 99.77.104.1 0
Dort müsste genau so einer mit gleich Cost auch noch für WAN 2 stehen ! Der fehlt aber. Zeigt das das dynmaisch per DHCP übermittelte Gateway vermutlich die Routing Tabelle überschreibt.
Das Balancing kann auch dafür sorgen das du mit 2 Ports Probleme beim Port Forwarding bekommen kannst.
Ist das Port Forwarding über WAN 2 eingerichtet und kommt eine Session darüber rein, kann es passieren das rausgehend das Balancing dafür sorgt das es über WAN1 rausgeht. Der Absender sieht dann das Reply Paket mit einer ganz anderen Absender IP, nämlich der von WAN1 und bricht die IP Session dann sofort ab.
Das ist jetzt aber erstmal nur zweitranging. Funktionieren müssen erstmal die beiden Ports unabhängig und wenn das gegeben ist musst du das default Gateway Handling anpassen.
Da du 2 statische Default Routen mit gleicher Cost eingetragen hast macht der Router ein Session basiertes Balancing. Das heisst eine Session WAN1, nächste Session WAN2, nächste WAN1 usw.
Er sollte also so von sich aus schon ein Balancing machen.
Dafür musst du aber sicherstellen das beide WAN Ports unabhängig voneinander sauber funktioniert.
Du solltest also einal WAN 1 totlegen (Strippe ziehen das der Port physisch auf down geht), dann sollte alles über WAN 2 gehen.
Dann mal bei WAN 2 die Strippe ziehen und dann sollte alles über WAN 1 gehen. Diese Grundfunktion muss erstmal laufen also beide Ports sollten einzeln für sich autark arbeiten.
Die Probelmatik wird sein das du im DHCP Client Mode ein Default Gateway dynamisch vom Provider aufgedrückt bekommst. Viele Router nehmen das dann als Default Gateway und ignorieren das andere. Was kans sicher nicht geht das du mit beiden Ports mit dynamsichen Default Gateways arbeiten kannst.
Du solltest dort imemr statische Routen konfigurieren. Normalerweise mangeln statisch fest konfigurierte Routen dynamisch gelernt komplett über. Ob der MT das aber macht muss man genau prüfen.
Das da irgendwas im Argen ist zeigt der Routing Table Eintrag 2 ADS 0.0.0.0/0 99.77.104.1 0
Dort müsste genau so einer mit gleich Cost auch noch für WAN 2 stehen ! Der fehlt aber. Zeigt das das dynmaisch per DHCP übermittelte Gateway vermutlich die Routing Tabelle überschreibt.
Das Balancing kann auch dafür sorgen das du mit 2 Ports Probleme beim Port Forwarding bekommen kannst.
Ist das Port Forwarding über WAN 2 eingerichtet und kommt eine Session darüber rein, kann es passieren das rausgehend das Balancing dafür sorgt das es über WAN1 rausgeht. Der Absender sieht dann das Reply Paket mit einer ganz anderen Absender IP, nämlich der von WAN1 und bricht die IP Session dann sofort ab.
Das ist jetzt aber erstmal nur zweitranging. Funktionieren müssen erstmal die beiden Ports unabhängig und wenn das gegeben ist musst du das default Gateway Handling anpassen.
Habs nunmal gestest. Einzeln funktionieren die WAN Ports.
Habe nun auch für beide Wan Ports die
ADS 0.0.0.0/0 99.77.104.1 0 und
DS 0.0.0.0/0 80.75.12.1 0
Aber wie zu sehen ist ist dieses Routing nicht Aktiv. sobald ich den Wan1 Port trenne wird diese Regel aktiv und ich habe die Verbindung über Wan2.
Du hast vorhin geschrieben das default Gateway Handling anzupassen. Ich weiss aber nicht genau was du damit meinst.
Habe nun auch für beide Wan Ports die
ADS 0.0.0.0/0 99.77.104.1 0 und
DS 0.0.0.0/0 80.75.12.1 0
Aber wie zu sehen ist ist dieses Routing nicht Aktiv. sobald ich den Wan1 Port trenne wird diese Regel aktiv und ich habe die Verbindung über Wan2.
Du hast vorhin geschrieben das default Gateway Handling anzupassen. Ich weiss aber nicht genau was du damit meinst.
Das ist erstmal zweitrangig. Wichtig ist erstmal das das Routing klappt.
Wenn beide WAN Ports aktiv sind geht dann keinerlei Routing ins Internet ??
Sollte das der Fall sein lösche mal die eine oder andere statische Route. Also einmal die von WAN 1 und dananch die von WAN 2 so das immer nur eine aktive statische Route da ist.
Klappt dann der Internet Zugriff je nach Route ? Was sagt ein Traceroute (tracert) ?
Irgendwas stimmt da dann mit der Routing Tabelle nicht
Wenn beide WAN Ports aktiv sind geht dann keinerlei Routing ins Internet ??
Sollte das der Fall sein lösche mal die eine oder andere statische Route. Also einmal die von WAN 1 und dananch die von WAN 2 so das immer nur eine aktive statische Route da ist.
Klappt dann der Internet Zugriff je nach Route ? Was sagt ein Traceroute (tracert) ?
Irgendwas stimmt da dann mit der Routing Tabelle nicht
Wenn beide Wan Ports aktiv sind gehen meine verbindungen via Wan1 ins Internet. Da ich ein Nat mit Masquerade per Wan1 für mienen IP Bereich erstellt habe. Wenn ich auf Wan 2 umstelle geht es nicht. Sobald ich aber das Kabel vom Wan1 Port ausziehe wird die Regel 0.0.0.0/0 80.75.12.1 aktiv und ich gehe über Wan 2 ins Internet.
Wenn ich Traceroute versuche mit der Mikrotik auf 8.8.8.8 löst er mir alles sauber auf bis zum google dns. Zuerst das Gateway vom DHCP Client vom Wan1 Port.
Das gleiche wenn ich den WAN2 Port versuche nachdem ich den WAN1 Port deaktiviere. Nur wenn beide Aktiv sind geht der gesamte Trafic nur über Wan1.
Wenn ich Traceroute versuche mit der Mikrotik auf 8.8.8.8 löst er mir alles sauber auf bis zum google dns. Zuerst das Gateway vom DHCP Client vom Wan1 Port.
Das gleiche wenn ich den WAN2 Port versuche nachdem ich den WAN1 Port deaktiviere. Nur wenn beide Aktiv sind geht der gesamte Trafic nur über Wan1.
Hast du das hier dazu mal gelesen ?
https://wiki.mikrotik.com/wiki/NTH_load_balancing_with_masquerade
oder auch:
Einen generellen Überblick zum Thema Balancing findest du hier:
https://wiki.mikrotik.com/wiki/Load_Balancing
Es sieht aber so aus als ob die MTs kein Balancing machen bei Routen gleicher Metik (ECMP) wie es z.B. Cisco so macht. In der MT FIB kann es nur eine aktive Route geben, wenn man der Beschreibung hier folgt:
https://wiki.mikrotik.com/wiki/Manual:IP/Route
Das würde dann genau deinem obigen Verhalten entsprechen.
Dann musst du die Konfigs anwenden wie sie in den MT Tutorials ganz oben stehen.
Hier ist noch ein Tip wie es mit der Mikrotik PCC Funktion gelöst werden kann:
https://aacable.wordpress.com/2011/07/27/mikrotik-dual-wan-load-balancin ...
Hast du testweise mal Policy Routing gemacht ?
https://wiki.mikrotik.com/wiki/Manual:Route_Selection_Algorithm_in_Route ...
Also es mal so konfiguriert das LAN 1 über WAN 1 nach draußen geht und LAN 2 über WAN 2
Klappt das ?
https://wiki.mikrotik.com/wiki/NTH_load_balancing_with_masquerade
oder auch:
https://wiki.mikrotik.com/wiki/NTH_load_balancing_with_masquerade_(another_approach)https://wiki.mikrotik.com/wiki/Load_Balancing
Es sieht aber so aus als ob die MTs kein Balancing machen bei Routen gleicher Metik (ECMP) wie es z.B. Cisco so macht. In der MT FIB kann es nur eine aktive Route geben, wenn man der Beschreibung hier folgt:
https://wiki.mikrotik.com/wiki/Manual:IP/Route
Das würde dann genau deinem obigen Verhalten entsprechen.
Dann musst du die Konfigs anwenden wie sie in den MT Tutorials ganz oben stehen.
Hier ist noch ein Tip wie es mit der Mikrotik PCC Funktion gelöst werden kann:
https://aacable.wordpress.com/2011/07/27/mikrotik-dual-wan-load-balancin ...
Hast du testweise mal Policy Routing gemacht ?
https://wiki.mikrotik.com/wiki/Manual:Route_Selection_Algorithm_in_Route ...
Also es mal so konfiguriert das LAN 1 über WAN 1 nach draußen geht und LAN 2 über WAN 2
Klappt das ?
Habs nun nochmals versucht und auch mit andrer hilfe scheitet es. Das problem ist dass meine Wan Ports eine Dynamische Adresse bekommen und ich dann das Routing immer händisch anpassen müsste. Werde nun nach einer andren Lösung suchen um das Gästenetz Wan technisch zu trennen.
