8
Kein Ping wenn 2 ISP
Hallo,
ich habe die letzten Tage meine Konfiguration auf einem Mikrotik mit 3 VLans erstellt. Funktioniert Problemlos.
da ich noch einen spezielleren Fall habe, wollte ich die VLan 1 über den selben Router mit dem selben Gateway auf einen anderen Weg ins Internet schicken.
Dazu die Konfiguration:
Dies funktioniert auch, NUR:
Sobald ich über beide Anschlüsse raus gehe Eth1 & 2, funktionieren keine Pings mehr.
Ich kann 192.168.10.1 noch sonstige VLan Gateways an-pingen (vom Client aus).
Irgendwas fehlt wohl in der Route / Firewall Config irgendetwas (btw, auch komplett ohne Firewall Regeln lässt sich nichts anpingen).
Wenn ich die Route wieder auf einem Interface zurücksetze ohne Routing Markierungen etc (in Route Konfiguration die deaktivierte Regel aktiviere), dann funktionieren auch die Pings.
(Grundkonfiguration: Eine einzige Bridge, auf der die VLans angelegt sind, die VLans selber sind in Bridge -> Ports tagged / untagged konfiguriert, was auch alles problemlos funktioniert).
Hat jemand ein Idee an was das liegen könnte?
ich habe die letzten Tage meine Konfiguration auf einem Mikrotik mit 3 VLans erstellt. Funktioniert Problemlos.
da ich noch einen spezielleren Fall habe, wollte ich die VLan 1 über den selben Router mit dem selben Gateway auf einen anderen Weg ins Internet schicken.
Dazu die Konfiguration:
Dies funktioniert auch, NUR:
Sobald ich über beide Anschlüsse raus gehe Eth1 & 2, funktionieren keine Pings mehr.
Ich kann 192.168.10.1 noch sonstige VLan Gateways an-pingen (vom Client aus).
Irgendwas fehlt wohl in der Route / Firewall Config irgendetwas (btw, auch komplett ohne Firewall Regeln lässt sich nichts anpingen).
Wenn ich die Route wieder auf einem Interface zurücksetze ohne Routing Markierungen etc (in Route Konfiguration die deaktivierte Regel aktiviere), dann funktionieren auch die Pings.
(Grundkonfiguration: Eine einzige Bridge, auf der die VLans angelegt sind, die VLans selber sind in Bridge -> Ports tagged / untagged konfiguriert, was auch alles problemlos funktioniert).
Hat jemand ein Idee an was das liegen könnte?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 625583
Url: https://administrator.de/contentid/625583
Ausgedruckt am: 23.11.2024 um 11:11 Uhr
8 Kommentare
Neuester Kommentar
Eine Vermutung....
Du routest Outbound über dedizierte Routing Interfaces eth1 und eth2. Dedizierte Routing Interfaces erfordern aber zwingend unterschiedliche IP Netze. Logisch, denn ansonsten hättest du eine doppelte IP Netz Adresse und damit ist eine eindeutige Wegefindung nicht mehr möglich. Siehe auch das ausgegraute "XS" oben !
Genau DAS ist bei dir aber der Fall mit den beiden Outbound Interfaces und so mit dem Konfig Ansatz nicht umzusetzen und muss deshalb scheitern weil der Router keine eindeutigen Wege mehr hat.
Wenn also deine beiden ISP Gateways (Router) in einem gemeinsamen IP Netz sind darfst du NICHT über dedizierte Routing Interfaces gehen ! Das kann wegen der IP Netz Dopplung dann niemals funktionieren.
Wenn, dann kannst du es nur über 2 Optionen lösen:
Der rote_Text im MT Tutorial weist explizit auf diese Konfig Option hin !
Du routest Outbound über dedizierte Routing Interfaces eth1 und eth2. Dedizierte Routing Interfaces erfordern aber zwingend unterschiedliche IP Netze. Logisch, denn ansonsten hättest du eine doppelte IP Netz Adresse und damit ist eine eindeutige Wegefindung nicht mehr möglich. Siehe auch das ausgegraute "XS" oben !
Genau DAS ist bei dir aber der Fall mit den beiden Outbound Interfaces und so mit dem Konfig Ansatz nicht umzusetzen und muss deshalb scheitern weil der Router keine eindeutigen Wege mehr hat.
Wenn also deine beiden ISP Gateways (Router) in einem gemeinsamen IP Netz sind darfst du NICHT über dedizierte Routing Interfaces gehen ! Das kann wegen der IP Netz Dopplung dann niemals funktionieren.
Wenn, dann kannst du es nur über 2 Optionen lösen:
- eth1 und 2 als Bridge zusammenfassen und zentrale 192.168.1.0er MT Router IP aufs Bridge Interface
- Ein Koppel VLAN Interface generieren z.B. "99" und IP setzen und beide Interfaces als Member dieses VLANs setzen.
Der rote_Text im MT Tutorial weist explizit auf diese Konfig Option hin !
Hallo Aqui,
das ganze ist die Fortsetzung von der gestrigen Diskussion (wie du denk ich erkannt hast).
Das Problem ist, ich kann nicht 2 verschiedene Gateways oder IP Netze erstellen, da es ein und der selbe Swisscom Router ist, und dieser auch nur beschränkt konfigurierbar ist.
Hier kann ich anhand der IP auswählen ob der eine Anschluss über den Internetbooster geht (sprich Handy Netz) oder nicht. Daher die 2 Out Interfaces. Ich benötige Swisscom-Router seitig 2 Physische IP Adressen damit ich dies im Swisscom Router auch Routen kann. Anders ist es meiner Meinung nach nicht möglich
Eine Lösung habe ich nun wieder gefunden (Alles Routen was nicht zur Internen LAN1 Adress List geht -> "Dst. Adress-List !LAN1")
Es macht mir den Anschein als ob jetzt alles funktioniert wie es soll, mit internen Pings und erreichbarkeiten.
Ob die Lösung sauber ist, kann ich so nicht ganz beurteilen, und ich wüsst auch ehrlich gesagt nicht wie ich es anders Lösen sollte.
das ganze ist die Fortsetzung von der gestrigen Diskussion (wie du denk ich erkannt hast).
Das Problem ist, ich kann nicht 2 verschiedene Gateways oder IP Netze erstellen, da es ein und der selbe Swisscom Router ist, und dieser auch nur beschränkt konfigurierbar ist.
Hier kann ich anhand der IP auswählen ob der eine Anschluss über den Internetbooster geht (sprich Handy Netz) oder nicht. Daher die 2 Out Interfaces. Ich benötige Swisscom-Router seitig 2 Physische IP Adressen damit ich dies im Swisscom Router auch Routen kann. Anders ist es meiner Meinung nach nicht möglich
Eine Lösung habe ich nun wieder gefunden (Alles Routen was nicht zur Internen LAN1 Adress List geht -> "Dst. Adress-List !LAN1")
Es macht mir den Anschein als ob jetzt alles funktioniert wie es soll, mit internen Pings und erreichbarkeiten.
Ob die Lösung sauber ist, kann ich so nicht ganz beurteilen, und ich wüsst auch ehrlich gesagt nicht wie ich es anders Lösen sollte.
OK, das hattest du leider nicht erwähnt.
Knackpunkt ist dann ja das der Swisscom Router genau der Router ist der klassifiziert welches Endgerät welches Gateway bekommt. Die 2 Endgeräte willst du ja quasi "simulieren" mit deinem MT in einem dirty Workaround...
Das ist dann so mit keinem Router der Welt zu lösen. Wie sollte das auch gehen ? Theoretisch müsste der MT 2 separate Outbound Interfaces im gleichen IP Netz haben. M.W. gibt es keinen Router der das kann.
Das geht nur wenn das 2 physische IP Netze sind und dann mit klassischem PBR.
Knackpunkt ist dann ja das der Swisscom Router genau der Router ist der klassifiziert welches Endgerät welches Gateway bekommt. Die 2 Endgeräte willst du ja quasi "simulieren" mit deinem MT in einem dirty Workaround...
Das ist dann so mit keinem Router der Welt zu lösen. Wie sollte das auch gehen ? Theoretisch müsste der MT 2 separate Outbound Interfaces im gleichen IP Netz haben. M.W. gibt es keinen Router der das kann.
Das geht nur wenn das 2 physische IP Netze sind und dann mit klassischem PBR.
Genau, Problem ist primär der Swisscom Router. Wahrscheinlich ist dies auch etwas einzigartig - die Funktion vom Swisscom Router, bzw auch einzigartig in der Konfiguration dass man dabei nicht mehr machen kann.
Aber wie gesagt, ich kann diesbezogen nicht ganz beurteilen ob das "elegant" gelöst ist oder nicht, aber jedenfalls funktioniert es soweit wie ich mir das vorgestellt habe.
Abgesehen von den 2 Out Interfaces bzw diesen Spezialfall konnte ich mich ja zu 100% an deine Anleitung halten:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Aber wie gesagt, ich kann diesbezogen nicht ganz beurteilen ob das "elegant" gelöst ist oder nicht, aber jedenfalls funktioniert es soweit wie ich mir das vorgestellt habe.
Abgesehen von den 2 Out Interfaces bzw diesen Spezialfall konnte ich mich ja zu 100% an deine Anleitung halten:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Eleganter als du kann man es nicht lösen weil es Standard konform auch gar nicht zu lösen ist. Du "verbiegst" ja sozusagen eine Standard konforme Installation (Hardware) um zu versuchen technische Defizite eines nachgeschalteten billigen Consumer Dual WAN Routers zu kompensieren. Da ist dann mehr oder minder dann alles erlaubt wenn man mit den Folgen leben kann.
Schön ausgedrückt ;)
Harte Schule bei administrator.de ! 
Und man lernt nie aus
