Mikrotik WAN Routing

dermaddin
Goto Top
Moin,

in Anlehnung an meinen Beitrag vor einigen Tagen (Beitrag) habe ich nun einen Mikrotik hEX besorgt und soweit eingerichtet. Nun stehe ich vor dem Rätsel wie ich alles was über den WAN Port (ether1) reinkommt an einen anderen Port (ether5) weiterleite.

Im Grunde also eine einfache Firewall/NAT Regel:

SRC: Any
DST: WAN IP Adresse (ether1)
Protocol: Any
neues DNAT Ziel: LAN IP Adresse (ether5)

Wie ist das umzusetzen?

Content-Key: 3163427833

Url: https://administrator.de/contentid/3163427833

Ausgedruckt am: 19.08.2022 um 00:08 Uhr

Mitglied: aqui
Lösung aqui 24.06.2022 aktualisiert um 09:36:44 Uhr
Goto Top
Was du beschreibst ist Port Forwarding oder quasi "exposed" Host. Das macht man in den Firwall Settings. Hier mal ein Beispiel für UDP 51820 auf die interne LAN Adresse 192.168.40.148. Du müsstest das dann statt Port bezogen mit einer IP ACL machen.
mikrotik-portforwarding
Nur bezogen auf deinen Ursprungs Thread: Was ist der Grund warum du das machen willst? Nur um deine Netze zu splitten ist das doch gar nicht erforderlich.
Mitglied: DerMaddin
DerMaddin 24.06.2022 um 12:24:37 Uhr
Goto Top
Alles klar und danke. Da war meine Konfiguration nur zur Hälfte richtig. Nach einigem Troubleshooting funktioniert das nun auch. Der Grund warum ich nun den Mikrotik Router verwende ist, da ich kein paralleles Routing in der Firewall für Internet und VPN (zwei getrennte Glasfaseranschlüsse) mit einem und demselben Gateway durchführen kann.

Sprich, ich habe WAN IP (symbolisch) 80.1.2.21/28 und 80.1.2.25/80. Beide haben den gleiche GW mit 80.1.2.17.
Wenn also WAN 1 als erstes eingerichtet wurde, dann ist die Route zum 80.1.2.16 Netz über dieses Interface (z.B. Port1) festgelegt. Füge ich WAN 2 hinzu, dass im gleichen Netz liegt, dann habe ich einen weiteren Routeneintrag mit dem Netz 80.1.2.16 aber dann Port2.

So funktioniert das dann leider nicht, deswegen der Mikrotik Router.
Mitglied: aqui
aqui 24.06.2022 aktualisiert um 13:37:38 Uhr
Goto Top
da ich kein paralleles Routing in der Firewall für Internet und VPN
Oha..., was ist das denn für eine gruselige Firewall? Das können sogar die einfachsten unter ihnen und nennt sich Policy Based Routing. Ein paar Beispiele siehst du hier:
Cisco Router 2 Gateways für verschiedene Clients
Policy based Routing mit Mikrotik 750
Zweites Gateway erreichbar machen
Zweites Gateway erreichbar machen
Schon merkwürdige Hardware die du da betreibst...?!
Aber gut warum einfach machen wenn es umständlich auch geht. face-wink

Dann bleibt ja nur noch deinen Thread hier als erledigt zu schliessen und entspannt ins Wochenende zu gehen. face-wink
Mitglied: DerMaddin
DerMaddin 24.06.2022 um 15:36:49 Uhr
Goto Top
Die Firewall ist in gewissen Punkten schon etwas "gruselig" (Sophos XGS) aber nur von der GUI, da war die Sophos UTM intuitiver zu bedienen face-wink

Die XGS kann SDWAN Routing, das wird auch bereits eingesetzt. Das Problem ist, dass ich entweder "zu blöd" bin oder es einfach nicht geht, dass man WAN Interfaces hat, die im gleichen Subnetz sind und den gleichen GW verwenden.

Aktuell kann ich im Livebetrieb nicht an dem Internet WAN-Interface rumspielen, daher sind weitere Tests nicht möglich. Erste Versuche waren aber nicht erfolgreich. Mit dem ersten WAN1 war die Route so:

Dst GW Mask Iface
81.1.2.16 81.1.2.17 255.255.255.240 Port1

Nachdem ich den zweiten WAN eingerichtet habe, war die Routentabelle dann so:

Dst GW Mask Iface
81.1.2.16 81.1.2.17 255.255.255.240 Port1
81.1.2.16 81.1.2.17 255.255.255.240 Port2

Und dann ist im besten Fall alles was via WAN2 (Port2) rein kommt ins LAN über WAN1 (Port1) zurück gesendet worden, da der erste Routeneintrag für das 81.1.2.16er Netz nun mal Port1 ist.
Mitglied: aqui
aqui 24.06.2022 um 17:31:50 Uhr
Goto Top
Die kann das problemlos.
https://techbast.com/2019/04/sophos-xg-firewall-how-to-create-policy-bas ...

Aber es geht ja jetzt auch wenns umständlich ist. Never touch a running system... face-wink
Case closed
https://administrator.de/faq/32