5
Mikrotik WAN Routing
Moin,
in Anlehnung an meinen Beitrag vor einigen Tagen (Beitrag) habe ich nun einen Mikrotik hEX besorgt und soweit eingerichtet. Nun stehe ich vor dem Rätsel wie ich alles was über den WAN Port (ether1) reinkommt an einen anderen Port (ether5) weiterleite.
Im Grunde also eine einfache Firewall/NAT Regel:
SRC: Any
DST: WAN IP Adresse (ether1)
Protocol: Any
neues DNAT Ziel: LAN IP Adresse (ether5)
Wie ist das umzusetzen?
in Anlehnung an meinen Beitrag vor einigen Tagen (Beitrag) habe ich nun einen Mikrotik hEX besorgt und soweit eingerichtet. Nun stehe ich vor dem Rätsel wie ich alles was über den WAN Port (ether1) reinkommt an einen anderen Port (ether5) weiterleite.
Im Grunde also eine einfache Firewall/NAT Regel:
SRC: Any
DST: WAN IP Adresse (ether1)
Protocol: Any
neues DNAT Ziel: LAN IP Adresse (ether5)
Wie ist das umzusetzen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3163427833
Url: https://administrator.de/contentid/3163427833
Ausgedruckt am: 21.11.2024 um 12:11 Uhr
5 Kommentare
Neuester Kommentar
Was du beschreibst ist Port Forwarding oder quasi "exposed" Host. Das macht man in den Firwall Settings. Hier mal ein Beispiel für UDP 51820 auf die interne LAN Adresse 192.168.40.148. Du müsstest das dann statt Port bezogen mit einer IP ACL machen.
Nur bezogen auf deinen Ursprungs Thread: Was ist der Grund warum du das machen willst? Nur um deine Netze zu splitten ist das doch gar nicht erforderlich.
Alles klar und danke. Da war meine Konfiguration nur zur Hälfte richtig. Nach einigem Troubleshooting funktioniert das nun auch. Der Grund warum ich nun den Mikrotik Router verwende ist, da ich kein paralleles Routing in der Firewall für Internet und VPN (zwei getrennte Glasfaseranschlüsse) mit einem und demselben Gateway durchführen kann.
Sprich, ich habe WAN IP (symbolisch) 80.1.2.21/28 und 80.1.2.25/80. Beide haben den gleiche GW mit 80.1.2.17.
Wenn also WAN 1 als erstes eingerichtet wurde, dann ist die Route zum 80.1.2.16 Netz über dieses Interface (z.B. Port1) festgelegt. Füge ich WAN 2 hinzu, dass im gleichen Netz liegt, dann habe ich einen weiteren Routeneintrag mit dem Netz 80.1.2.16 aber dann Port2.
So funktioniert das dann leider nicht, deswegen der Mikrotik Router.
Sprich, ich habe WAN IP (symbolisch) 80.1.2.21/28 und 80.1.2.25/80. Beide haben den gleiche GW mit 80.1.2.17.
Wenn also WAN 1 als erstes eingerichtet wurde, dann ist die Route zum 80.1.2.16 Netz über dieses Interface (z.B. Port1) festgelegt. Füge ich WAN 2 hinzu, dass im gleichen Netz liegt, dann habe ich einen weiteren Routeneintrag mit dem Netz 80.1.2.16 aber dann Port2.
So funktioniert das dann leider nicht, deswegen der Mikrotik Router.
da ich kein paralleles Routing in der Firewall für Internet und VPN
Oha..., was ist das denn für eine gruselige Firewall? Das können sogar die einfachsten unter ihnen und nennt sich Policy Based Routing. Ein paar Beispiele siehst du hier:Cisco Router 2 Gateways für verschiedene Clients
Policy based Routing mit Mikrotik 750
Zweites Gateway erreichbar machen
Zweites Gateway erreichbar machen
Schon merkwürdige Hardware die du da betreibst...?!
Aber gut warum einfach machen wenn es umständlich auch geht.
Dann bleibt ja nur noch deinen Thread hier als erledigt zu schliessen und entspannt ins Wochenende zu gehen.
Die Firewall ist in gewissen Punkten schon etwas "gruselig" (Sophos XGS) aber nur von der GUI, da war die Sophos UTM intuitiver zu bedienen
Die XGS kann SDWAN Routing, das wird auch bereits eingesetzt. Das Problem ist, dass ich entweder "zu blöd" bin oder es einfach nicht geht, dass man WAN Interfaces hat, die im gleichen Subnetz sind und den gleichen GW verwenden.
Aktuell kann ich im Livebetrieb nicht an dem Internet WAN-Interface rumspielen, daher sind weitere Tests nicht möglich. Erste Versuche waren aber nicht erfolgreich. Mit dem ersten WAN1 war die Route so:
Dst GW Mask Iface
81.1.2.16 81.1.2.17 255.255.255.240 Port1
Nachdem ich den zweiten WAN eingerichtet habe, war die Routentabelle dann so:
Dst GW Mask Iface
81.1.2.16 81.1.2.17 255.255.255.240 Port1
81.1.2.16 81.1.2.17 255.255.255.240 Port2
Und dann ist im besten Fall alles was via WAN2 (Port2) rein kommt ins LAN über WAN1 (Port1) zurück gesendet worden, da der erste Routeneintrag für das 81.1.2.16er Netz nun mal Port1 ist.
Die XGS kann SDWAN Routing, das wird auch bereits eingesetzt. Das Problem ist, dass ich entweder "zu blöd" bin oder es einfach nicht geht, dass man WAN Interfaces hat, die im gleichen Subnetz sind und den gleichen GW verwenden.
Aktuell kann ich im Livebetrieb nicht an dem Internet WAN-Interface rumspielen, daher sind weitere Tests nicht möglich. Erste Versuche waren aber nicht erfolgreich. Mit dem ersten WAN1 war die Route so:
Dst GW Mask Iface
81.1.2.16 81.1.2.17 255.255.255.240 Port1
Nachdem ich den zweiten WAN eingerichtet habe, war die Routentabelle dann so:
Dst GW Mask Iface
81.1.2.16 81.1.2.17 255.255.255.240 Port1
81.1.2.16 81.1.2.17 255.255.255.240 Port2
Und dann ist im besten Fall alles was via WAN2 (Port2) rein kommt ins LAN über WAN1 (Port1) zurück gesendet worden, da der erste Routeneintrag für das 81.1.2.16er Netz nun mal Port1 ist.
Die kann das problemlos.
https://techbast.com/2019/04/sophos-xg-firewall-how-to-create-policy-bas ...
Aber es geht ja jetzt auch wenns umständlich ist. Never touch a running system...
Case closed
Wie kann ich einen Beitrag als gelöst markieren?
https://techbast.com/2019/04/sophos-xg-firewall-how-to-create-policy-bas ...
Aber es geht ja jetzt auch wenns umständlich ist. Never touch a running system...
Case closed
Wie kann ich einen Beitrag als gelöst markieren?
