Policy based Routing mit Mikrotik 750

Mitglied: Bene007

Bene007 (Level 1) - Jetzt verbinden

08.02.2012 um 18:51 Uhr, 10188 Aufrufe, 44 Kommentare, 1 Danke

Guten abend zusammen,

ich bräuchte hilfe bei der Einrichtung des Mikrotik 750. Ich habe mir die Anleitung http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways durchgelesen, kann das aber leider nicht so umsetzten. Was mein Plan ist, zwei Porte sind fürs Internet. Und jetzt soll Computer A über Internet I ins internet, Computer B über II, Coputer C auch über II, usw. . Das ist ja das besagte Policy based Routing. Wenn mir jemand einen Anstubser geben kann wäre das echt toll (auf deutsch wäre besser, muss aber nicht sein). Beide Internetanschlüsse sind von der Telekom, weiß nicht ob das eine brauchbare Information ist.
Aktuell sieht es so aus, das Internetanschluss I über Gateway 192.168.1.111 und Internetanschluss II über Gateway 192.168.1.100. Muss ich das ändern, z.B auf 192.168.1.1 und den anderen auf 192.168.1.128? Der Mikrotik ist aktuell auf 192.168.1.122 geändert.

Wäre euch echt dankbar für Tipps. z.Z arbeite ich mit der Winbox, hab aber schon gelesen das die Kommandozeile besser zum programmieren des Routers geeignet ist.
44 Antworten
Mitglied: dog
08.02.2012 um 21:55 Uhr
Aber wozu da PBR?
Bei dem Netzaufbau kannst du auch einfach bei Client A und den anderen jeweils einen anderen Router eintragen.
Bitte warten ..
Mitglied: Bene007
09.02.2012 um 14:36 Uhr
Also ich glaub ich habe mich falsch ausgedrückt. Ich schildere jetzt nochmal.
Den MikroTik habe ich mit
resetet, damit ich einen simplen 5 Port Router habe.
Jetzt will ich 2 der Lananschlüsse dazu verwenden, die als WAN-Port fungieren. Also Lan-Anschluss 1 - Modem - Internet und Lan-Anschluss 2 - Modem - Internet. Ich stehte ich vor dem Problem, wie ich aus einem Lan-Anschluss einen WAN-Port mache.
Wenn ich das geschafft habe, das man über beide jeweils ins internet kommt, dann wollte ich eben, das Client 1-4 über den Internetanschluss an Lan-Anschluss 1 rein geht, Client 5-10 über den Internetanschluss 2. Das wird doch Ich bin wirklich neuling auf dem gebiet und bräuchte dem entsprechend einwenig hilfe
Policy based Routing gennant oder?
Ich hoffe es ist jetzt nicht komplizierter formuliert als es eh schon ist. Danke
Bitte warten ..
Mitglied: dog
09.02.2012 um 21:42 Uhr
Poste die Ausgabe von
Bitte warten ..
Mitglied: Bene007
09.02.2012 um 22:25 Uhr
Bitte warten ..
Mitglied: dog
09.02.2012 um 22:42 Uhr
An welchem Port steckt was und benutzt du Modems oder Router vor dem Mikrotik?
Bitte warten ..
Mitglied: Bene007
09.02.2012 um 22:51 Uhr
Port 1 Modem (echtes Modem)
Port 2 Modem (Speedport als Modem)
Port 3 Verbindung zu Switch
4/5 leer
Bitte warten ..
Mitglied: dog
10.02.2012 um 00:05 Uhr
Ok, dann musst du zuerst mal zwei PPPoE-Clients anlegen
Die sollten sich auch direkt verbinden.
Dann brauchst du eine LAN-IP:
Jetzt musst du noch NAT zum Internet aktivieren:
Damit sollten schonmal alle Clients ins Internet kommen.
Jetzt machen wir das ganze noch etwas sicherer:
Und dann kommt noch Policy Based Routing:
Der Teil ist bei DSL etwas blöd.
Zuerst mal musst du bei beiden PPPoE-Client "Add Default Route" aktivieren, und dann unter IP > Routes sicherstellen, das in der Gateway-Spalte immer die selben Werte stehen (auch nach Verbindungstrennung) und die notieren.
Dann auf die Route für das zweite Interface klicken und Copy auswählen, im neuen Fenster bei Routing Mark "dslB" eingeben -> OK.
Danach für das Interface wieder "Add Default Route" deaktivieren.

Client der Verbindung zuordnen:
Bitte warten ..
Mitglied: Bene007
10.02.2012 um 09:32 Uhr
Hey super, werde heute Nachmittag das ganze ausprobieren. Mir ist aber aufgefallen
müsste das nicht

heißen?
Und bei User und password kommen die daten der telekom rein, wenn ich das richtig verstehe.
Bitte warten ..
Mitglied: aqui
10.02.2012 um 09:59 Uhr
Vermutlich ist 2 mal "interface=ether1" in der PPPoE Definition oben auch ein Typo vom Kollegen dog. Bei der 2ten sollte dort eigentlich interface=ether2 stehen.
Aber dog ist hier der Mikrotik Guru
Bitte warten ..
Mitglied: Bene007
10.02.2012 um 16:29 Uhr
So dann melde ich mich mal wieder. Erstmal vielen dank für deine bemühungen.
Habe das genau gemacht was du gesagt hast
Du hast gemeint, das sich der mikrotik sofort einwählen müsste, tut er aber nicht. habe dann erstmal einen wan-port gemacht über ether1. das wird der mit dem speedport als Modem. bei dem obersten Punkt, dort wo alles aufgelistet ist steht dann der die 5 lanport, und der erstelle pppoe. Wenn ich dann rechtsklick enable mache, dann steht immer unten link disconnected. Ich hab schon überprüft bzgl. kennwort falsch, kann da aber keinen fehler erkennen. Es ist sehr komisch....

dann das mit der LAN-IP
habe 1.3 verwendet, da 1.1 (wlan-router) und 1.2 (server) schon vergeben sind

Das mit dem NAT habe ich auch gemacht, auch das mit den firewall einstellungen.

Ich verstehe aber nicht ganz den punkt Policy Based Routing
"zuerst mal musst du bei beiden PPPoE-Client "Add Default Route" aktivieren"
wo finde ich den Punkt? ich hab mal alles durchgeklickt, hab aber nichts gefunden, und das internet hat auch nicht besonders viel hergegeben
Bitte warten ..
Mitglied: dog
10.02.2012 um 16:58 Uhr
Es ist sehr komisch....

Klick im PPPoE-Client auf "PPPoE Scan" und guck mal ob überhaupt in der Tabelle was auftaucht.

wo finde ich den Punkt?

Im PPPoE-Client im Reiter "Dial Out" (Doppelklick auf die Schnittstelle in Winbox).
Bitte warten ..
Mitglied: Bene007
10.02.2012 um 17:01 Uhr
Zitat von dog:
Klick im PPPoE-Client auf "PPPoE Scan" und guck mal ob überhaupt in der Tabelle was auftaucht.


ja dort taucht etwas auf
Bitte warten ..
Mitglied: dog
10.02.2012 um 17:09 Uhr
Dann deaktiviere den PPPoE-Client und füge diese Regel hinzu:
Dann aktivierst du den PPPoE-Client für maximal(!) 5 Sekunden und postest dann die Ausgabe von
(Achtung, kann Passwörter enthalten!)

Danach kannst du die Regel oben wieder löschen.
Bitte warten ..
Mitglied: Bene007
10.02.2012 um 17:19 Uhr
Bitte warten ..
Mitglied: dog
10.02.2012 um 17:26 Uhr
Ok, der Mikrotik findet kein DSL.
Darum nochmal zurück zum vorigen Schritt:

Klick im PPPoE-Client auf "PPPoE Scan" und guck mal ob überhaupt in der Tabelle was auftaucht.

Poste von dem Fenster mal einen Screenshot.
Oder mach es auf der Kommandozeile und poste die Ausgabe:
Bitte warten ..
Mitglied: Bene007
10.02.2012 um 17:27 Uhr
Bitte warten ..
Mitglied: dog
10.02.2012 um 17:38 Uhr
Das kommt mir etwas spanisch vor.
Der Scanner und der Verbindungsaufbau funktionieren nach dem selben Prinzip, aber einer findet was und der andere nicht.

Welche Version hast du installiert (steht in der Titelzeile von Winbox)?
Poste mal die Ausgabe von
(Ohne Passwörter natürlich)
Bitte warten ..
Mitglied: Bene007
10.02.2012 um 17:42 Uhr
EDIT: Winbox 5.4
Bitte warten ..
Mitglied: dog
10.02.2012 um 17:48 Uhr
OK, ich kann da erstmal keinen Fehler erkennen.
Lad dir aber mal eine neuere Version runter: http://download2.mikrotik.com/routeros-mipsbe-5.12.npk

Die Datei einfach auf das Winbox-Fenster ziehen und danach den Router neustarten.

Hast du VDSL?
Bitte warten ..
Mitglied: Bene007
10.02.2012 um 17:49 Uhr
Ja hab ich. Ich benutze den Speedort 722V als Modem (entsprechenden Hacken habe ich gesetzt)
Bitte warten ..
Mitglied: Bene007
11.02.2012 um 20:31 Uhr
So guten abend,

ich habe nun erfolgreich nach der Anleitung oben das Internet aufbauen können und das PBR funktioniert auch wunderbar. Danke.

2 abschließende Fragen habe ich noch:

Wie kann ich dyndns einrichten. Am besten für 2 Interanschlüsse getrennt, also für jeden einen acc.

Ist es möglich VPN einzurichten bzw. auf den server weiterzuleiten (GRE protokoll und Port forwarding)
Bitte warten ..
Mitglied: dog
11.02.2012 um 21:00 Uhr
ich habe nun erfolgreich nach der Anleitung oben das Internet aufbauen können und das PBR funktioniert auch wunderbar. Danke.

Einfach so?

Wie kann ich dyndns einrichten. Am besten für 2 Interanschlüsse getrennt, also für jeden einen acc.

Kopier dir das Script 2x mit den entsprechenden Einstellungen nach System > Scripts (als Name update-dyndns1 und update-dyndns2)
(Achte auf die Leerzeile am Ende)

Bei Policy wählst du "read, test" aus.

Dann musst du dafür noch einen Scheduler anlegen:
Wenn du echten DynDNS-Support willst musst du an support@mikrotik.com schreiben, vielleicht geben die irgendwann nach

Ist es möglich VPN einzurichten bzw. auf den server weiterzuleiten (GRE protokoll und Port forwarding)

Dazu musst du zuerst mit NAT den Port weiterleiten:
(Bei der Forwarding-Methode kannst du kein VPN aus dem internen Netz aufbauen)

Und dann in der Firewall noch frei geben:
Die beiden Regeln musst du dann in Winbox über die "drop"-Regel schieben.
Bitte warten ..
Mitglied: Bene007
12.02.2012 um 12:31 Uhr
Super danke probier ich gleich aus. Auf di frage "einfach so" muss ich antworten, das wenn man ein Speedport als Modem verwenden will, dass man nicht nur einen haken bei "Gerät als Modem verwenden" setzen muss, sondern die dauerverbindung deaktivieren und die zugangsdaten im speedport löschen muss .
Eine letzte frage zu PBR: Kann man Breiche (...1.4-...1.99) erstellen oder muss man jede ip einzeln eintragen?

Danke

EDIT: Funkitoniert dyndns auch noch mit anderen Anbietern als dyndns.com?
Bitte warten ..
Mitglied: dog
12.02.2012 um 14:22 Uhr
Eine letzte frage zu PBR: Kann man Breiche (...1.4-...1.99) erstellen oder muss man jede ip einzeln eintragen?

Ja, du kannst Bereiche angeben, als "192.168.1.100-192.168.1.199"

EDIT: Funkitoniert dyndns auch noch mit anderen Anbietern als dyndns.com?

Ja, solange die eine änhliche Technik verwenden. Du musst dir nur die entsprechenden URLs raussuchen.
Bitte warten ..
Mitglied: Bene007
12.02.2012 um 16:40 Uhr
Tut mir echt leid, das ich jetzt nochmal nerve. das PBR funktioniert doch nicht. bei erstmal einrichten schon, aber dann nicht mehr. Ich habe mal hier was für dich

Ich hab doch alles richtig gemacht, kannst du mir bitte nochmal helfen Danke

und ich gesehen, als ich nochmal neu aufgesetzt habe, das wenn ich



eingebe, das dann

kommt. muss das



heißen?
Bitte warten ..
Mitglied: dog
13.02.2012 um 18:09 Uhr
Die Firewall ist soweit richtig.
Poste mal die Ausgabe von /ip rout export

muss das disc heißen?

Nein, ausgeschrieben sollte das disabled heißen.
Bitte warten ..
Mitglied: Bene007
13.02.2012 um 18:18 Uhr
Bitte warten ..
Mitglied: dog
13.02.2012 um 18:30 Uhr
Ok, die Route ist falsch.
dst-address muss 0.0.0.0/0 sein,
pref-src muss leer sein
und wenn es dann nicht geht muss gateway 217.0.116.80 sein.
Bitte warten ..
Mitglied: Bene007
13.02.2012 um 18:48 Uhr
super, klasse. Danke, bin echt froh das das jetzt geht.

Und jetzt eine weitere Frage. Wie kann ich den Port 80 freigeben auf die ipadresse 192.168.1.2?

funkioniert irgendwie nicht
Bitte warten ..
Mitglied: dog
13.02.2012 um 19:51 Uhr
dst-address wird nicht angegeben. Stattdessen das In. Interface (pppoeX).
To Ports kannst du ebenfalls weglassen, das ist ja identisch.

Denk daran, das es dann auch noch in der Firewall unter Forward freigegeben werden muss (oder man deaktiviert den Fwd-Filter)
Bitte warten ..
Mitglied: Bene007
13.02.2012 um 20:04 Uhr
ok passt das dann so
interface=ether1-ether2, da ich ich will, das man den webserver über pppoe1 und pppoe2 erreichen kann, oder macht man das dann anders

das ist doch so richtig oder?

Entschuldigung, dass ich so viel frage :/

EDIT: Also das mit "interface=ether1-ether2" geht so nicht, "interface" generell sagt er "expected end of command (line 1 column 35)". Und wenn ich meine Internetip eingebe, dann lande ich z.Z. in meinem Routermenü. Ist das so korrekt, scheint mir eher falsch zu sein.

Ziel der Sache ist, das der Server mit beiden Internetanschlüssen gleichzeitig kommunizieren kann
Bitte warten ..
Mitglied: dog
13.02.2012 um 21:15 Uhr
ok passt das dann so

Nein, über ether1/2 läuft kein Traffic, sondern über pppoe1/2 und es heißt in-interface.
Außerdem glaube ich nicht, dass du Schnittstellen so als Bereich angeben kannst (mach zwei Regeln).

interface=ether1-ether2, da ich ich will, das man den webserver über pppoe1 und pppoe2 erreichen kann, oder macht man das dann anders

Das ist eine ganz andere Kategorie von hässlich als PBR!
Aus dem Kopf würde ich sagen dafür musst die Connection marken und dann auf Basis der Connection Mark die Routing-Tabelle bestimmen.

das ist doch so richtig oder?

Ja, du musst nur auf die Reihenfolge der Regeln achten.

Und wenn ich meine Internetip eingebe, dann lande ich z.Z. in meinem Routermenü. Ist das so korrekt, scheint mir eher falsch zu sein.

Bei der Art von NAT in den Regeln ist das korrekt.
Die Variante wo auch das Port Forwarding von Intern funktioniert heißt Hairpin-NAT:
Bitte warten ..
Mitglied: Bene007
14.02.2012 um 12:17 Uhr
Nein, über ether1/2 läuft kein Traffic, sondern über pppoe1/2 und es heißt in-interface.
Außerdem glaube ich nicht, dass du Schnittstellen so als Bereich angeben kannst (mach zwei Regeln).

ok, das wäre dann
Das ist eine ganz andere Kategorie von hässlich als PBR!
Aus dem Kopf würde ich sagen dafür musst die Connection marken und dann auf Basis der Connection Mark die
Routing-Tabelle bestimmen.

Verstehe nicht ganz, was du meinst

Jo hab ich eingefügt, nun kann man das Routermenü über das Internet nicht mehr erreichen, gut. Aber zugriff auf den server habe ich immer noch nicht

Hier der export meiner Firewall

Bitte warten ..
Mitglied: dog
14.02.2012 um 20:27 Uhr
ok, das wäre dann

Ja

Jo hab ich eingefügt, nun kann man das Routermenü über das Internet nicht mehr erreichen, gut.

Das konnte man nie aus dem Internet erreichen.
Es war lediglich aus dem internen Netz mit der öffentlichen IP auch erreichbar (logisch, denn die gehört ja auch dem Router).


Die Reihenfolge deiner Regeln ist durcheinander.
Die Jump->SPI Regel muss in jedem Chain ganz oben sein.
Dein Forward-Chain hat auch keine abschließende Drop-Regel (gut, die Telekom filtert hinreichend, darum ist die optional), dafür hat dein Input-Chain zwei.

Das ist auch doppelt. Die 3. Regel ersetzt die beiden anderen.
Bitte warten ..
Mitglied: Bene007
15.02.2012 um 11:19 Uhr
Dürfte doch jetzt soweit stimmen oder?

Wenn ich jetzt meine Internetip eingebe kommt:

Fehler: Netzwerk-Zeitüberschreitung
Der Server unter *Meine Internetip* braucht zu lange, um eine Antwort zu senden.

Ich hoffe du kannst mir noch weiterhelfen. Danke
Bitte warten ..
Mitglied: dog
18.02.2012 um 19:23 Uhr
Der Server unter *Meine Internetip* braucht zu lange, um eine Antwort zu senden.

Das liegt an deinen NAT-Regeln, die werden nur auf ausgehenden Traffic angewendet (und nicht auf Hairpin-Traffic).

Dort muss noch hinzugefügt werden:

Du könntest auch das Problem den Server von beiden IPs zu erreichen gleich damit erschlagen, wenn du stattdessen schreibst:
Dann würde aber jeder Client von überall im Server-Log mit der IP des Routers stehen.
Bitte warten ..
Mitglied: Bene007
20.02.2012 um 13:00 Uhr
So Danke für deine Antwort. Aber es funktioniert irgendwie nicht.

Der Server ist standardmäßig mit DSL-B verbunden. Wenn ich jetzt die Internet-IP von Internetanschluss DSL-B eingebe komme ich auf die Webseite, wenn jetzt die Internet-IP von DSL-A eingebe kommt "Fehler: Server nicht gefunden"

Auch das VPN geht (dann logischer weise) nur über DSL-B. Kannst du mir weiterhelfen?
Bitte warten ..
Mitglied: dog
21.02.2012 um 00:21 Uhr
Poste nochmal einen aktuellen export von Firewall und Routen.
Bitte warten ..
Mitglied: Bene007
21.02.2012 um 11:28 Uhr
Export Firewall
Export Route

Bei beiden kommt "Fehler: Netzwerk-Zeitüberschreitung"
Bitte warten ..
Mitglied: dog
21.02.2012 um 23:03 Uhr
Ändere die Firewall-Regeln so:
Danach deaktivierst du die Mangle-Regel, dann muss der Server zumindest über die 1. IP erreichbar sein.
Bitte warten ..
Mitglied: Bene007
22.02.2012 um 10:39 Uhr
So habe ich gemacht. Jetzt kann man der Server über die 1. IP erreichen. Jetzt hab ich mir gedacht, da der Server die IP 192.168.1.2 hat, dass ich die PBR Regel ändere auf den Bereich 192.168.1.4 - 192.168.1.99. Nun kann man den Server über beide erreichen und das PBR geht auch. Echt super, danke, ich weiß gar nicht wie ich mich bedanken soll.

Ein Problem gibt es noch, ich kann jetzt über die 1. Internet-IP VPN aufbauen, über die 2. aber nicht. Wenn dieses Problem auch noch behoben ist, dann ist es perfekt. Kannst du mir da auch noch helfen
Bitte warten ..
Mitglied: dog
22.02.2012 um 12:12 Uhr
Nun kann man den Server über beide erreichen

Wenn du das nur von intern getestet hast ist das ein Trugschluss.
Die Aussgabe ob es wirklich geht kannst du nur von Extern machen.
Bitte warten ..
Mitglied: Bene007
22.02.2012 um 14:14 Uhr
Das stimmt, habs grad getestet, dann kann man den Server immer nur über die Internet-IP erreichen mit der er standardmäßig verbunden ist. Das ist ja nicht mein Ziel. Im will das man den Server über beide gleichzeitig erreichen kann, wenn das geht, geht ja logischerweise auch gleich VPN. Hast du dafür auch noch eine Lösung parat?
Bitte warten ..
Heiß diskutierte Inhalte
Server-Hardware
Grobes Konzept Hyper-V Storage - Storage für Hyper-V
nachgefragtFrageServer-Hardware24 Kommentare

Hallo Administratoren. Um VHDX-Daten zentral zu halten freue ich mich auf Euren konstruktiven Input. Bisher liegen die VHDX-Daten jeweils ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
gelöst kman123FrageVoice over IP16 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Ubuntu
Ubuntu 20.10 "Groovy Gorilla" mit GNOME 3.38 und Kernel 5.8 veröffentlicht
FrankInformationUbuntu14 Kommentare

Canonical hat Ubuntu 20.10 veröffentlicht. Die neue Version mit dem Codenamen "Groovy Gorilla" bekommt lediglich 9 Monaten Sicherheitsupdates, kritischen ...

Windows Userverwaltung
Synology mit Azure Active Directory verbinden
roeggiFrageWindows Userverwaltung13 Kommentare

Ich suche eine Lösung mit der ich ein Synology NAS mit der Active Directory verbinden kann um die Benutzer ...

Windows 10
RFID oder ähnlich Methode zur Sperrung W10pro bei Abwesenheit - Anmeldung nur über PW wieder ermöglichen
UweGriFrageWindows 1013 Kommentare

Hallo Admins, folgende Lösung wird gesucht: W10pro Anmeldung über Bitlocker Freischaltung und PW bei Anmeldung. Gesucht wird: RFID Chip ...

C und C++
(Cpp) Verständnisproblem: Nutzen des new-operators? (mit Beispiel)
gelöst SinixNDFrageC und C++12 Kommentare

Hallo liebe community! INTRO: Zunächsteinmal: Trotz mehrerer Stunden Recherche habe ich für meine Frage leider noch keine Antwort gefunden ...

Ähnliche Inhalte
Linux Netzwerk

Policy Based Routing für Linux Client (OwnCloud, OpenVPN)

gelöst bugzzzFrageLinux Netzwerk46 Kommentare

Hallo, bin gerade dabei mir ein OwnCloud Server (Ubuntu Server 20.04) aufzusetzen, was auch soweit funktioniert, jedoch ist der ...

Exchange Server

Sender-Based-Routing

gelöst IxxZettFrageExchange Server3 Kommentare

Hallo Zusammen, die die auch mit Exchange arbeiten kenne vielleicht mein Problem. Exchange kann kein Sender-Based-Routing. Ich muss aber ...

Router & Routing

Frage zum MikroTik Router 750

gelöst GerberFrageRouter & Routing13 Kommentare

Hi Community, ich habe eine bestimmt einfache Verständnis Frage zum Thema MikroTik Router 750. Ich habe leider nicht so ...

Router & Routing

Policy Based Routing mit Edgerouter ER-4 oder doch Load Balancing?

WillheFrageRouter & Routing11 Kommentare

Hallo, ich möchte meine alte Fritzbox als Telefonanlage an meinen Edgerouter ER-4 anbinden (siehe Bild für mehr Details). Die ...

Router & Routing

MikroTik - Bonjour routing

gelöst Alex29FrageRouter & Routing10 Kommentare

Hallo zusammen! ich habe mal wieder eine Frage für mein Heimnetz. In dem Netz werkelt ein MikroTik RB3011 als ...

Router & Routing

Cisco source based routing mit qos

profski15FrageRouter & Routing7 Kommentare

Hallo zusammen, ich versuche mal meinen Aufbau möglichst detailliert zu beschreiben, wir haben einen Cisco 6509 mit 2x Sub720 ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT