8
2x WAN Mikrotik
Hey,
mein Mikrotik RB5009 bekommt 1x WAN 500gbit durch den pppoe client an ether09 und 1x Wan 100gbit an ether10 als dhcp client.
eine Bridge mit den restlichen port von 1-8. Nat masquerade eingerichtet.
ich möchte das so einrichten das ich vom internet aus über ether10 ins heimnetz komme und alles aus dem heimnetz über ether09 rausgeht.
der Hintergrund mein Internet Anbieter vom schnelleren pppoe am ether09 gibt mir keine Ports frei.
ich würde also über den langsameren ether10 auf im Heimnetz liegenden Server zugreifen können, beim Upload dieser aber die Daten über ether09 schickt.
mein Mikrotik RB5009 bekommt 1x WAN 500gbit durch den pppoe client an ether09 und 1x Wan 100gbit an ether10 als dhcp client.
eine Bridge mit den restlichen port von 1-8. Nat masquerade eingerichtet.
ich möchte das so einrichten das ich vom internet aus über ether10 ins heimnetz komme und alles aus dem heimnetz über ether09 rausgeht.
der Hintergrund mein Internet Anbieter vom schnelleren pppoe am ether09 gibt mir keine Ports frei.
ich würde also über den langsameren ether10 auf im Heimnetz liegenden Server zugreifen können, beim Upload dieser aber die Daten über ether09 schickt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8128925110
Url: https://administrator.de/contentid/8128925110
Printed on: May 24, 2024 at 07:05 o'clock
8 Comments
Latest comment
über den langsameren ether10 auf im Heimnetz liegenden Server zugreifen
Soll das geschützt per VPN über den üblichen VPN Onboad Client aller beliebiger Endgeräte passieren??Mikrotik L2TP VPN Server
Oder komplett ungeschützt via unsicherem Port Forwarding?
Im Falle von Ersterem musst du gar nichts machen weil du über die IP Adresse des WAN Ports das Ziel fest und statisch vorgibst. Vom Vorteil eines gesicherten Zugriffs jetzt mal nicht zu reden.
habe schneller hier nachgefragt wie selbst nachgedacht. es kann ja so nicht gehen weil dyndns ja nur eine der öffentlichen Ip weiterleitet. zum server komme ich über dyndns auf ehter10 die daten können ja nicht über ehter09 empfangen werden da dydns ja die ip vom ether09 hat.
könnte mann das irgenwie anders regel?
könnte mann das irgenwie anders regel?
1x WAN 500gbit
und 1x Wan 100gbit an ether10
Dat träumst du wohl nachts 🤣 😂und 1x Wan 100gbit an ether10
2
500 mbit und 100mbit die anderen wären ein Traum
Du kannst nicht rein über den einen Port und raus über den anderen das funktioniert aus Prinzip einer TCP Verbindung nicht denn die Absender-IP kannst du nicht beliebig ändern das führt zu asynchronem Routing und so kann niemals eine Verbindung zu Stande kommen weil der Client die Antwort ja von einer anderen IP erwartet.
Was du machen kannst is PolicyBased Routing. Also den Zugriff von Außen über den einen und Client-Traffic über den anderen Port.
Dazu markiert man die Connections über eine Mangle Rule und fügt ihnen dann eine Routing Mark hinzu so daß sie über das jeweilige Gateway rausgehen.
Guckst du hier
Was du machen kannst is PolicyBased Routing. Also den Zugriff von Außen über den einen und Client-Traffic über den anderen Port.
Dazu markiert man die Connections über eine Mangle Rule und fügt ihnen dann eine Routing Mark hinzu so daß sie über das jeweilige Gateway rausgehen.
Guckst du hier
1
ich habe es jetzt mit diesen Einstellungen ans laufen gebracht
/interface ethernet
set [ find default-name=ether9 ] mac-address=ff:ff:ff:ff:ff:ff name=\
eth9_asnet
set [ find default-name=ether10 ] name=eth10_bulsat
/interface pppoe-client
add allow=pap,chap,mschap2 disabled=no interface=eth9_asnet name=pppoe-out1 \
user=xxx
/routing table
add disabled=no fib name=viaWG_ffo
add fib name=to_WAN1
add disabled=no fib name=to_WAN2
/ip pool
add name=dhcp_local ranges=192.168.188.20-192.168.188.200
/ip route
add comment=viaWG_FFO disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
172.28.20.2%wireguard_ffo pref-src="" routing-table=viaWG_ffo scope=30 \
suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=192.168.178.0/24 gateway=\
172.28.20.2%wireguard_ffo pref-src="" routing-table=main scope=30 \
suppress-hw-offload=no target-scope=10
add check-gateway=ping comment=to_WAN2 disabled=no distance=1 dst-address=\
0.0.0.0/0 gateway=XXX.XXX.XXX.1 pref-src="" routing-table=to_WAN1 scope=30 \
suppress-hw-offload=no target-scope=10
add check-gateway=ping comment=to_WAN2 disabled=no distance=1 dst-address=\
0.0.0.0/0 gateway=XXX.XXX.XXX.2 pref-src="" routing-table=to_WAN2 scope=\
30 suppress-hw-offload=no target-scope=10
add check-gateway=ping comment="link connection" disabled=no distance=1 \
dst-address=0.0.0.0/0 gateway=XXX.XXX.XXX.1 pref-src="" routing-table=\
main scope=30 suppress-hw-offload=no target-scope=10
add check-gateway=ping comment="link connection" disabled=no distance=1 \
dst-address=0.0.0.0/0 gateway=XXX.XXX.XXX.2 pref-src="" routing-table=main \
scope=30 suppress-hw-offload=no target-scope=10
/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.188.0/24 in-interface=\
bridge
add action=accept chain=prerouting dst-address=XXX.XXX.XXX.1 in-interface=\
bridge
add action=accept chain=prerouting dst-address=XXX.XXX.XXX.2 in-interface=\
bridge
add action=mark-connection chain=input comment=Input in-interface=pppoe-out1 \
new-connection-mark=primary_conn passthrough=yes
add action=mark-connection chain=input in-interface=eth10_bulsat \
new-connection-mark=secondary_conn passthrough=yes
add action=mark-connection chain=prerouting comment=PCC dst-address-type=\
local in-interface=bridge new-connection-mark=primary_conn passthrough=\
yes per-connection-classifier=both-addresses:2/0
add action=mark-connection chain=prerouting dst-address-type=local \
in-interface=bridge new-connection-mark=secondary_conn passthrough=yes \
per-connection-classifier=both-addresses:2/1
add action=mark-routing chain=output comment=Output connection-mark=\
primary_conn new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=output connection-mark=secondary_conn \
new-routing-mark=to_WAN2 passthrough=yes
add action=mark-routing chain=prerouting comment="Mark Route" \
connection-mark=primary_conn in-interface=bridge new-routing-mark=to_WAN1 \
passthrough=yes
add action=mark-routing chain=prerouting connection-mark=secondary_conn \
in-interface=bridge new-routing-mark=to_WAN2 passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat
meine Frage wäre noch ob ich als Ersatz für srcnat masquerade nicht besser
/ip firewall nat
add action=src-nat chain=srcnat comment="local zum WAN1" src-address=\
192.168.188.0/24 to-addresses=xxx.xxx.xxx.1
und
/ip firewall nat
add action=src-nat chain=srcnat comment="local zum WAN2" src-address=\
192.168.188.0/24 to-addresses=xxx.xxx.xxx.2
einschreiben kann.
der Hintergrund meiner Frage ist irgendwie ist der wireguard upload zu langsam. Beim ändern der src-nat wird der upload geringfügig schneller
/ip firewall nat
add action=src-nat chain=srcnat comment="local zum WAN1" src-address=\
192.168.188.0/24 to-addresses=xxx.xxx.xxx.1
und
/ip firewall nat
add action=src-nat chain=srcnat comment="local zum WAN2" src-address=\
192.168.188.0/24 to-addresses=xxx.xxx.xxx.2
einschreiben kann.
der Hintergrund meiner Frage ist irgendwie ist der wireguard upload zu langsam. Beim ändern der src-nat wird der upload geringfügig schneller
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!