bvb09-fan
13.08.2023
view1408
view8
0
Goto Top

2x WAN Mikrotik

FrageRouter, Routing
Hey,
mein Mikrotik RB5009 bekommt 1x WAN 500gbit durch den pppoe client an ether09 und 1x Wan 100gbit an ether10 als dhcp client.
eine Bridge mit den restlichen port von 1-8. Nat masquerade eingerichtet.
ich möchte das so einrichten das ich vom internet aus über ether10 ins heimnetz komme und alles aus dem heimnetz über ether09 rausgeht.

der Hintergrund mein Internet Anbieter vom schnelleren pppoe am ether09 gibt mir keine Ports frei.
ich würde also über den langsameren ether10 auf im Heimnetz liegenden Server zugreifen können, beim Upload dieser aber die Daten über ether09 schickt.
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 8128925110

Url: https://administrator.de/contentid/8128925110

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 13.08.2023 aktualisiert um 14:47:51 Uhr
Goto Top
über den langsameren ether10 auf im Heimnetz liegenden Server zugreifen
Soll das geschützt per VPN über den üblichen VPN Onboad Client aller beliebiger Endgeräte passieren??
Mikrotik L2TP VPN Server
Oder komplett ungeschützt via unsicherem Port Forwarding?
Im Falle von Ersterem musst du gar nichts machen weil du über die IP Adresse des WAN Ports das Ziel fest und statisch vorgibst. Vom Vorteil eines gesicherten Zugriffs jetzt mal nicht zu reden.
BVB09-FAN
BVB09-FAN 13.08.2023 um 14:59:13 Uhr
Goto Top
habe schneller hier nachgefragt wie selbst nachgedacht. es kann ja so nicht gehen weil dyndns ja nur eine der öffentlichen Ip weiterleitet. zum server komme ich über dyndns auf ehter10 die daten können ja nicht über ehter09 empfangen werden da dydns ja die ip vom ether09 hat.
könnte mann das irgenwie anders regel?
7907292512
7907292512 13.08.2023 aktualisiert um 15:25:10 Uhr
Goto Top
1x WAN 500gbit
und 1x Wan 100gbit an ether10
Dat träumst du wohl nachts 🤣 😂
heart2
BVB09-FAN
BVB09-FAN 13.08.2023 um 15:38:46 Uhr
Goto Top
500 mbit und 100mbit die anderen wären ein Traum
7907292512
7907292512 13.08.2023 aktualisiert um 15:47:17 Uhr
Goto Top
Du kannst nicht rein über den einen Port und raus über den anderen das funktioniert aus Prinzip einer TCP Verbindung nicht denn die Absender-IP kannst du nicht beliebig ändern das führt zu asynchronem Routing und so kann niemals eine Verbindung zu Stande kommen weil der Client die Antwort ja von einer anderen IP erwartet.
Was du machen kannst is PolicyBased Routing. Also den Zugriff von Außen über den einen und Client-Traffic über den anderen Port.
Dazu markiert man die Connections über eine Mangle Rule und fügt ihnen dann eine Routing Mark hinzu so daß sie über das jeweilige Gateway rausgehen.

Guckst du hier

https://www.youtube.com/watch?v=nlb7XAv57tw
heart1
BVB09-FAN
BVB09-FAN 22.08.2023 aktualisiert um 14:28:46 Uhr
Goto Top
ich habe es jetzt mit diesen Einstellungen ans laufen gebracht

/interface ethernet
set [ find default-name=ether9 ] mac-address=ff:ff:ff:ff:ff:ff name=\
    eth9_asnet
set [ find default-name=ether10 ] name=eth10_bulsat
/interface pppoe-client
add allow=pap,chap,mschap2 disabled=no interface=eth9_asnet name=pppoe-out1 \
    user=xxx

/routing table
add disabled=no fib name=viaWG_ffo
add fib name=to_WAN1
add disabled=no fib name=to_WAN2
/ip pool
add name=dhcp_local ranges=192.168.188.20-192.168.188.200
/ip route
add comment=viaWG_FFO disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
    172.28.20.2%wireguard_ffo pref-src="" routing-table=viaWG_ffo scope=30 \  
    suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=192.168.178.0/24 gateway=\
    172.28.20.2%wireguard_ffo pref-src="" routing-table=main scope=30 \  
    suppress-hw-offload=no target-scope=10
add check-gateway=ping comment=to_WAN2 disabled=no distance=1 dst-address=\
    0.0.0.0/0 gateway=XXX.XXX.XXX.1 pref-src="" routing-table=to_WAN1 scope=30 \  
    suppress-hw-offload=no target-scope=10
add check-gateway=ping comment=to_WAN2 disabled=no distance=1 dst-address=\
    0.0.0.0/0 gateway=XXX.XXX.XXX.2 pref-src="" routing-table=to_WAN2 scope=\  
    30 suppress-hw-offload=no target-scope=10
add check-gateway=ping comment="link connection" disabled=no distance=1 \  
    dst-address=0.0.0.0/0 gateway=XXX.XXX.XXX.1 pref-src="" routing-table=\  
    main scope=30 suppress-hw-offload=no target-scope=10
add check-gateway=ping comment="link connection" disabled=no distance=1 \  
    dst-address=0.0.0.0/0 gateway=XXX.XXX.XXX.2 pref-src="" routing-table=main \  
    scope=30 suppress-hw-offload=no target-scope=10

/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.188.0/24 in-interface=\
    bridge
add action=accept chain=prerouting dst-address=XXX.XXX.XXX.1 in-interface=\
    bridge
add action=accept chain=prerouting dst-address=XXX.XXX.XXX.2 in-interface=\
    bridge
add action=mark-connection chain=input comment=Input in-interface=pppoe-out1 \
    new-connection-mark=primary_conn passthrough=yes
add action=mark-connection chain=input in-interface=eth10_bulsat \
    new-connection-mark=secondary_conn passthrough=yes
add action=mark-connection chain=prerouting comment=PCC dst-address-type=\
    local in-interface=bridge new-connection-mark=primary_conn passthrough=\
    yes per-connection-classifier=both-addresses:2/0
add action=mark-connection chain=prerouting dst-address-type=local \
    in-interface=bridge new-connection-mark=secondary_conn passthrough=yes \
    per-connection-classifier=both-addresses:2/1
add action=mark-routing chain=output comment=Output connection-mark=\
    primary_conn new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=output connection-mark=secondary_conn \
    new-routing-mark=to_WAN2 passthrough=yes
add action=mark-routing chain=prerouting comment="Mark Route" \  
    connection-mark=primary_conn in-interface=bridge new-routing-mark=to_WAN1 \
    passthrough=yes
add action=mark-routing chain=prerouting connection-mark=secondary_conn \
    in-interface=bridge new-routing-mark=to_WAN2 passthrough=yes

/ip firewall nat
add action=masquerade chain=srcnat
heart1
BVB09-FAN
BVB09-FAN 22.08.2023 um 14:19:01 Uhr
Goto Top
meine Frage wäre noch ob ich als Ersatz für srcnat masquerade nicht besser
/ip firewall nat
add action=src-nat chain=srcnat comment="local zum WAN1" src-address=\
192.168.188.0/24 to-addresses=xxx.xxx.xxx.1
und
/ip firewall nat
add action=src-nat chain=srcnat comment="local zum WAN2" src-address=\
192.168.188.0/24 to-addresses=xxx.xxx.xxx.2
einschreiben kann.
der Hintergrund meiner Frage ist irgendwie ist der wireguard upload zu langsam. Beim ändern der src-nat wird der upload geringfügig schneller
aqui
aqui 11.09.2023 um 12:13:46 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
FrageRouter, Routing
Mehr von BVB09-FANBVB09-FANDomain Adressen Update MikrotikBVB09-FAN - 8 KommentareBVB09-FANAusnahme Port Freigabe in MikrotikBVB09-FAN - 8 KommentareBVB09-FANEmail Benachrichtigung Script bei Wlan AnmeldungBVB09-FAN - 7 KommentareBVB09-FANBackup Neustart Script Mikrotik RB5009BVB09-FAN - 9 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare