Policy based Routing mit Mikrotik 750

Mitglied: Bene007

Bene007 (Level 1) - Jetzt verbinden

08.02.2012 um 18:51 Uhr, 11162 Aufrufe, 44 Kommentare, 1 Danke

Guten abend zusammen,

ich bräuchte hilfe bei der Einrichtung des Mikrotik 750. Ich habe mir die Anleitung http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways durchgelesen, kann das aber leider nicht so umsetzten. Was mein Plan ist, zwei Porte sind fürs Internet. Und jetzt soll Computer A über Internet I ins internet, Computer B über II, Coputer C auch über II, usw. . Das ist ja das besagte Policy based Routing. Wenn mir jemand einen Anstubser geben kann wäre das echt toll (auf deutsch wäre besser, muss aber nicht sein). Beide Internetanschlüsse sind von der Telekom, weiß nicht ob das eine brauchbare Information ist.
Aktuell sieht es so aus, das Internetanschluss I über Gateway 192.168.1.111 und Internetanschluss II über Gateway 192.168.1.100. Muss ich das ändern, z.B auf 192.168.1.1 und den anderen auf 192.168.1.128? Der Mikrotik ist aktuell auf 192.168.1.122 geändert.

Wäre euch echt dankbar für Tipps. z.Z arbeite ich mit der Winbox, hab aber schon gelesen das die Kommandozeile besser zum programmieren des Routers geeignet ist.
44 Antworten
Mitglied: dog
08.02.2012 um 21:55 Uhr

Aber wozu da PBR?
Bei dem Netzaufbau kannst du auch einfach bei Client A und den anderen jeweils einen anderen Router eintragen.
Bitte warten ..
Mitglied: Bene007
09.02.2012 um 14:36 Uhr
Also ich glaub ich habe mich falsch ausgedrückt. Ich schildere jetzt nochmal.
Den MikroTik habe ich mit
resetet, damit ich einen simplen 5 Port Router habe.
Jetzt will ich 2 der Lananschlüsse dazu verwenden, die als WAN-Port fungieren. Also Lan-Anschluss 1 - Modem - Internet und Lan-Anschluss 2 - Modem - Internet. Ich stehte ich vor dem Problem, wie ich aus einem Lan-Anschluss einen WAN-Port mache.
Wenn ich das geschafft habe, das man über beide jeweils ins internet kommt, dann wollte ich eben, das Client 1-4 über den Internetanschluss an Lan-Anschluss 1 rein geht, Client 5-10 über den Internetanschluss 2. Das wird doch Ich bin wirklich neuling auf dem gebiet und bräuchte dem entsprechend einwenig hilfe
Policy based Routing gennant oder?
Ich hoffe es ist jetzt nicht komplizierter formuliert als es eh schon ist. Danke
Bitte warten ..
Mitglied: dog
09.02.2012 um 21:42 Uhr
Poste die Ausgabe von

Bitte warten ..
Mitglied: Bene007
09.02.2012 um 22:25 Uhr

Bitte warten ..
Mitglied: dog
09.02.2012 um 22:42 Uhr
An welchem Port steckt was und benutzt du Modems oder Router vor dem Mikrotik?
Bitte warten ..
Mitglied: Bene007
09.02.2012 um 22:51 Uhr
Port 1 Modem (echtes Modem)
Port 2 Modem (Speedport als Modem)
Port 3 Verbindung zu Switch
4/5 leer
Bitte warten ..
Mitglied: dog
10.02.2012 um 00:05 Uhr
Ok, dann musst du zuerst mal zwei PPPoE-Clients anlegen

Die sollten sich auch direkt verbinden.
Dann brauchst du eine LAN-IP:

Jetzt musst du noch NAT zum Internet aktivieren:

Damit sollten schonmal alle Clients ins Internet kommen.
Jetzt machen wir das ganze noch etwas sicherer:

Und dann kommt noch Policy Based Routing:
Der Teil ist bei DSL etwas blöd.
Zuerst mal musst du bei beiden PPPoE-Client "Add Default Route" aktivieren, und dann unter IP > Routes sicherstellen, das in der Gateway-Spalte immer die selben Werte stehen (auch nach Verbindungstrennung) und die notieren.
Dann auf die Route für das zweite Interface klicken und Copy auswählen, im neuen Fenster bei Routing Mark "dslB" eingeben -> OK.
Danach für das Interface wieder "Add Default Route" deaktivieren.

Client der Verbindung zuordnen:

Bitte warten ..
Mitglied: Bene007
10.02.2012 um 09:32 Uhr
Hey super, werde heute Nachmittag das ganze ausprobieren. Mir ist aber aufgefallen
müsste das nicht

heißen?
Und bei User und password kommen die daten der telekom rein, wenn ich das richtig verstehe.
Bitte warten ..
Mitglied: aqui
10.02.2012 um 09:59 Uhr
Vermutlich ist 2 mal "interface=ether1" in der PPPoE Definition oben auch ein Typo vom Kollegen dog. Bei der 2ten sollte dort eigentlich interface=ether2 stehen.
Aber dog ist hier der Mikrotik Guru ;-) face-wink
Bitte warten ..
Mitglied: Bene007
10.02.2012 um 16:29 Uhr
So dann melde ich mich mal wieder. Erstmal vielen dank für deine bemühungen.
Habe das genau gemacht was du gesagt hast

Du hast gemeint, das sich der mikrotik sofort einwählen müsste, tut er aber nicht. habe dann erstmal einen wan-port gemacht über ether1. das wird der mit dem speedport als Modem. bei dem obersten Punkt, dort wo alles aufgelistet ist steht dann der die 5 lanport, und der erstelle pppoe. Wenn ich dann rechtsklick enable mache, dann steht immer unten link disconnected. Ich hab schon überprüft bzgl. kennwort falsch, kann da aber keinen fehler erkennen. Es ist sehr komisch....

dann das mit der LAN-IP
habe 1.3 verwendet, da 1.1 (wlan-router) und 1.2 (server) schon vergeben sind

Das mit dem NAT habe ich auch gemacht, auch das mit den firewall einstellungen.

Ich verstehe aber nicht ganz den punkt Policy Based Routing
"zuerst mal musst du bei beiden PPPoE-Client "Add Default Route" aktivieren"
wo finde ich den Punkt? ich hab mal alles durchgeklickt, hab aber nichts gefunden, und das internet hat auch nicht besonders viel hergegeben
Bitte warten ..
Mitglied: dog
10.02.2012 um 16:58 Uhr
Es ist sehr komisch....

Klick im PPPoE-Client auf "PPPoE Scan" und guck mal ob überhaupt in der Tabelle was auftaucht.

wo finde ich den Punkt?

Im PPPoE-Client im Reiter "Dial Out" (Doppelklick auf die Schnittstelle in Winbox).
Bitte warten ..
Mitglied: Bene007
10.02.2012 um 17:01 Uhr
Zitat von @dog:

Klick im PPPoE-Client auf "PPPoE Scan" und guck mal ob überhaupt in der Tabelle was auftaucht.


ja dort taucht etwas auf
Bitte warten ..
Mitglied: dog
10.02.2012 um 17:09 Uhr
Dann deaktiviere den PPPoE-Client und füge diese Regel hinzu:

Dann aktivierst du den PPPoE-Client für maximal(!) 5 Sekunden und postest dann die Ausgabe von
(Achtung, kann Passwörter enthalten!)

Danach kannst du die Regel oben wieder löschen.
Bitte warten ..
Mitglied: Bene007
10.02.2012 um 17:19 Uhr

Bitte warten ..
Mitglied: dog
10.02.2012 um 17:26 Uhr
Ok, der Mikrotik findet kein DSL.
Darum nochmal zurück zum vorigen Schritt:

Klick im PPPoE-Client auf "PPPoE Scan" und guck mal ob überhaupt in der Tabelle was auftaucht.

Poste von dem Fenster mal einen Screenshot.
Oder mach es auf der Kommandozeile und poste die Ausgabe:

Bitte warten ..
Mitglied: Bene007
10.02.2012 um 17:27 Uhr

Bitte warten ..
Mitglied: dog
10.02.2012 um 17:38 Uhr
Das kommt mir etwas spanisch vor.
Der Scanner und der Verbindungsaufbau funktionieren nach dem selben Prinzip, aber einer findet was und der andere nicht.

Welche Version hast du installiert (steht in der Titelzeile von Winbox)?
Poste mal die Ausgabe von
(Ohne Passwörter natürlich)
Bitte warten ..
Mitglied: Bene007
10.02.2012 um 17:42 Uhr

EDIT: Winbox 5.4
Bitte warten ..
Mitglied: dog
10.02.2012 um 17:48 Uhr
OK, ich kann da erstmal keinen Fehler erkennen.
Lad dir aber mal eine neuere Version runter: http://download2.mikrotik.com/routeros-mipsbe-5.12.npk

Die Datei einfach auf das Winbox-Fenster ziehen und danach den Router neustarten.

Hast du VDSL?
Bitte warten ..
Mitglied: Bene007
10.02.2012 um 17:49 Uhr
Ja hab ich. Ich benutze den Speedort 722V als Modem (entsprechenden Hacken habe ich gesetzt)
Bitte warten ..
Mitglied: Bene007
11.02.2012 um 20:31 Uhr
So guten abend,

ich habe nun erfolgreich nach der Anleitung oben das Internet aufbauen können und das PBR funktioniert auch wunderbar. Danke.

2 abschließende Fragen habe ich noch:

Wie kann ich dyndns einrichten. Am besten für 2 Interanschlüsse getrennt, also für jeden einen acc.

Ist es möglich VPN einzurichten bzw. auf den server weiterzuleiten (GRE protokoll und Port forwarding)
Bitte warten ..
Mitglied: dog
11.02.2012 um 21:00 Uhr
ich habe nun erfolgreich nach der Anleitung oben das Internet aufbauen können und das PBR funktioniert auch wunderbar. Danke.

Einfach so?

Wie kann ich dyndns einrichten. Am besten für 2 Interanschlüsse getrennt, also für jeden einen acc.

Kopier dir das Script 2x mit den entsprechenden Einstellungen nach System > Scripts (als Name update-dyndns1 und update-dyndns2)
(Achte auf die Leerzeile am Ende)

Bei Policy wählst du "read, test" aus.

Dann musst du dafür noch einen Scheduler anlegen:

Wenn du echten DynDNS-Support willst musst du an support@mikrotik.com schreiben, vielleicht geben die irgendwann nach ;-) face-wink

Ist es möglich VPN einzurichten bzw. auf den server weiterzuleiten (GRE protokoll und Port forwarding)

Dazu musst du zuerst mit NAT den Port weiterleiten:
(Bei der Forwarding-Methode kannst du kein VPN aus dem internen Netz aufbauen)

Und dann in der Firewall noch frei geben:
Die beiden Regeln musst du dann in Winbox über die "drop"-Regel schieben.
Bitte warten ..
Mitglied: Bene007
12.02.2012 um 12:31 Uhr
Super danke probier ich gleich aus. Auf di frage "einfach so" muss ich antworten, das wenn man ein Speedport als Modem verwenden will, dass man nicht nur einen haken bei "Gerät als Modem verwenden" setzen muss, sondern die dauerverbindung deaktivieren und die zugangsdaten im speedport löschen muss .
Eine letzte frage zu PBR: Kann man Breiche (...1.4-...1.99) erstellen oder muss man jede ip einzeln eintragen?

Danke

EDIT: Funkitoniert dyndns auch noch mit anderen Anbietern als dyndns.com?
Bitte warten ..
Mitglied: dog
12.02.2012 um 14:22 Uhr
Eine letzte frage zu PBR: Kann man Breiche (...1.4-...1.99) erstellen oder muss man jede ip einzeln eintragen?

Ja, du kannst Bereiche angeben, als "192.168.1.100-192.168.1.199"

EDIT: Funkitoniert dyndns auch noch mit anderen Anbietern als dyndns.com?

Ja, solange die eine änhliche Technik verwenden. Du musst dir nur die entsprechenden URLs raussuchen.
Bitte warten ..
Mitglied: Bene007
12.02.2012 um 16:40 Uhr
Tut mir echt leid, das ich jetzt nochmal nerve. das PBR funktioniert doch nicht. bei erstmal einrichten schon, aber dann nicht mehr. Ich habe mal hier was für dich


Ich hab doch alles richtig gemacht, kannst du mir bitte nochmal helfen :) face-smile Danke

und ich gesehen, als ich nochmal neu aufgesetzt habe, das wenn ich



eingebe, das dann


kommt. muss das



heißen?
Bitte warten ..
Mitglied: dog
13.02.2012 um 18:09 Uhr
Die Firewall ist soweit richtig.
Poste mal die Ausgabe von /ip rout export

muss das disc heißen?

Nein, ausgeschrieben sollte das disabled heißen.
Bitte warten ..
Mitglied: Bene007
13.02.2012 um 18:18 Uhr

Bitte warten ..
Mitglied: dog
13.02.2012 um 18:30 Uhr
Ok, die Route ist falsch.
dst-address muss 0.0.0.0/0 sein,
pref-src muss leer sein
und wenn es dann nicht geht muss gateway 217.0.116.80 sein.
Bitte warten ..
Mitglied: Bene007
13.02.2012 um 18:48 Uhr
super, klasse. Danke, bin echt froh das das jetzt geht.

Und jetzt eine weitere Frage. Wie kann ich den Port 80 freigeben auf die ipadresse 192.168.1.2?


funkioniert irgendwie nicht
Bitte warten ..
Mitglied: dog
13.02.2012 um 19:51 Uhr
dst-address wird nicht angegeben. Stattdessen das In. Interface (pppoeX).
To Ports kannst du ebenfalls weglassen, das ist ja identisch.

Denk daran, das es dann auch noch in der Firewall unter Forward freigegeben werden muss (oder man deaktiviert den Fwd-Filter)
Bitte warten ..
Mitglied: Bene007
13.02.2012 um 20:04 Uhr
ok passt das dann so

interface=ether1-ether2, da ich ich will, das man den webserver über pppoe1 und pppoe2 erreichen kann, oder macht man das dann anders


das ist doch so richtig oder?

Entschuldigung, dass ich so viel frage :/

EDIT: Also das mit "interface=ether1-ether2" geht so nicht, "interface" generell sagt er "expected end of command (line 1 column 35)". Und wenn ich meine Internetip eingebe, dann lande ich z.Z. in meinem Routermenü. Ist das so korrekt, scheint mir eher falsch zu sein.

Ziel der Sache ist, das der Server mit beiden Internetanschlüssen gleichzeitig kommunizieren kann
Bitte warten ..
Mitglied: dog
13.02.2012 um 21:15 Uhr
ok passt das dann so

Nein, über ether1/2 läuft kein Traffic, sondern über pppoe1/2 und es heißt in-interface.
Außerdem glaube ich nicht, dass du Schnittstellen so als Bereich angeben kannst (mach zwei Regeln).

interface=ether1-ether2, da ich ich will, das man den webserver über pppoe1 und pppoe2 erreichen kann, oder macht man das dann anders

Das ist eine ganz andere Kategorie von hässlich als PBR!
Aus dem Kopf würde ich sagen dafür musst die Connection marken und dann auf Basis der Connection Mark die Routing-Tabelle bestimmen.

das ist doch so richtig oder?

Ja, du musst nur auf die Reihenfolge der Regeln achten.

Und wenn ich meine Internetip eingebe, dann lande ich z.Z. in meinem Routermenü. Ist das so korrekt, scheint mir eher falsch zu sein.

Bei der Art von NAT in den Regeln ist das korrekt.
Die Variante wo auch das Port Forwarding von Intern funktioniert heißt Hairpin-NAT:

Bitte warten ..
Mitglied: Bene007
14.02.2012 um 12:17 Uhr
Nein, über ether1/2 läuft kein Traffic, sondern über pppoe1/2 und es heißt in-interface.
Außerdem glaube ich nicht, dass du Schnittstellen so als Bereich angeben kannst (mach zwei Regeln).

ok, das wäre dann

Das ist eine ganz andere Kategorie von hässlich als PBR!
Aus dem Kopf würde ich sagen dafür musst die Connection marken und dann auf Basis der Connection Mark die
Routing-Tabelle bestimmen.

Verstehe nicht ganz, was du meinst


Jo hab ich eingefügt, nun kann man das Routermenü über das Internet nicht mehr erreichen, gut. Aber zugriff auf den server habe ich immer noch nicht

Hier der export meiner Firewall


Bitte warten ..
Mitglied: dog
14.02.2012 um 20:27 Uhr
ok, das wäre dann

Ja

Jo hab ich eingefügt, nun kann man das Routermenü über das Internet nicht mehr erreichen, gut.

Das konnte man nie aus dem Internet erreichen.
Es war lediglich aus dem internen Netz mit der öffentlichen IP auch erreichbar (logisch, denn die gehört ja auch dem Router).


Die Reihenfolge deiner Regeln ist durcheinander.
Die Jump->SPI Regel muss in jedem Chain ganz oben sein.
Dein Forward-Chain hat auch keine abschließende Drop-Regel (gut, die Telekom filtert hinreichend, darum ist die optional), dafür hat dein Input-Chain zwei.


Das ist auch doppelt. Die 3. Regel ersetzt die beiden anderen.
Bitte warten ..
Mitglied: Bene007
15.02.2012 um 11:19 Uhr
Dürfte doch jetzt soweit stimmen oder?


Wenn ich jetzt meine Internetip eingebe kommt:

Fehler: Netzwerk-Zeitüberschreitung
Der Server unter *Meine Internetip* braucht zu lange, um eine Antwort zu senden.

Ich hoffe du kannst mir noch weiterhelfen. Danke
Bitte warten ..
Mitglied: dog
18.02.2012 um 19:23 Uhr
Der Server unter *Meine Internetip* braucht zu lange, um eine Antwort zu senden.

Das liegt an deinen NAT-Regeln, die werden nur auf ausgehenden Traffic angewendet (und nicht auf Hairpin-Traffic).


Dort muss noch hinzugefügt werden:


Du könntest auch das Problem den Server von beiden IPs zu erreichen gleich damit erschlagen, wenn du stattdessen schreibst:

Dann würde aber jeder Client von überall im Server-Log mit der IP des Routers stehen.
Bitte warten ..
Mitglied: Bene007
20.02.2012 um 13:00 Uhr
So Danke für deine Antwort. Aber es funktioniert irgendwie nicht.

Der Server ist standardmäßig mit DSL-B verbunden. Wenn ich jetzt die Internet-IP von Internetanschluss DSL-B eingebe komme ich auf die Webseite, wenn jetzt die Internet-IP von DSL-A eingebe kommt "Fehler: Server nicht gefunden"

Auch das VPN geht (dann logischer weise) nur über DSL-B. Kannst du mir weiterhelfen?
Bitte warten ..
Mitglied: dog
21.02.2012 um 00:21 Uhr
Poste nochmal einen aktuellen export von Firewall und Routen.
Bitte warten ..
Mitglied: Bene007
21.02.2012 um 11:28 Uhr
Export Firewall

Export Route


Bei beiden kommt "Fehler: Netzwerk-Zeitüberschreitung"
Bitte warten ..
Mitglied: dog
21.02.2012 um 23:03 Uhr
Ändere die Firewall-Regeln so:

Danach deaktivierst du die Mangle-Regel, dann muss der Server zumindest über die 1. IP erreichbar sein.
Bitte warten ..
Mitglied: Bene007
22.02.2012 um 10:39 Uhr
So habe ich gemacht. Jetzt kann man der Server über die 1. IP erreichen. Jetzt hab ich mir gedacht, da der Server die IP 192.168.1.2 hat, dass ich die PBR Regel ändere auf den Bereich 192.168.1.4 - 192.168.1.99. Nun kann man den Server über beide erreichen und das PBR geht auch. Echt super, danke, ich weiß gar nicht wie ich mich bedanken soll.

Ein Problem gibt es noch, ich kann jetzt über die 1. Internet-IP VPN aufbauen, über die 2. aber nicht. Wenn dieses Problem auch noch behoben ist, dann ist es perfekt. Kannst du mir da auch noch helfen
Bitte warten ..
Mitglied: dog
22.02.2012 um 12:12 Uhr
Nun kann man den Server über beide erreichen

Wenn du das nur von intern getestet hast ist das ein Trugschluss.
Die Aussgabe ob es wirklich geht kannst du nur von Extern machen.
Bitte warten ..
Mitglied: Bene007
22.02.2012 um 14:14 Uhr
Das stimmt, habs grad getestet, dann kann man den Server immer nur über die Internet-IP erreichen mit der er standardmäßig verbunden ist. Das ist ja nicht mein Ziel. Im will das man den Server über beide gleichzeitig erreichen kann, wenn das geht, geht ja logischerweise auch gleich VPN. Hast du dafür auch noch eine Lösung parat?
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
PFSense und Transferprobleme
Xaero1982Vor 1 TagFrageNetzwerke26 Kommentare

Moin Zusammen, leidiges Thema PFSense - ich hab mich mal wieder ran gewagt. Ich hab hier so ein paar VLANs laufen und nen ESX. ...

Router & Routing
FB und Archer 2 getrennte Netze mit einer WAN-Verbindung
neuhier14Vor 1 TagFrageRouter & Routing26 Kommentare

Hallo, ich habe eine Fritzbox 7490 und einen Archer C5 mit OpenWRT. Die Fritzbox ist mein Hauptrouter. Ich würde daneben gerne ein komplett getrenntes ...

Linux
Bootable Win7 stick from Raspberry commandline
winlinVor 1 TagFrageLinux12 Kommentare

Hallo zusammen Ich benötige einen bootfähigen Win7 USB Stick. Muss diesen über meine Raspberry erstellen. Was ist die beste Variante habe schon ein paar ...

Windows Server
Kein Netzwerkzugriff auf Windows Server 2019?
Henk86Vor 1 TagFrageWindows Server8 Kommentare

Ich habe mir einen neuen "Heimserver" mit Windows Server 2019 (evaluation vorerst) aufgesetzt. Gestern habe ich von meinem Hauptrechner einige Daten auf den Server ...

Exchange Server
Postfach für öffentliche Ordner ist voll
gelöst Tommy525600Vor 1 TagFrageExchange Server6 Kommentare

Hallo an alle, ich habe folgendes Problem: Mein primäres Postfach für öffentliche Ordner ist voll (99,58 GB) (und ja, ich kann auch nix dafür). ...

Netzwerke
Verständnisfrage pfSense mit Fritzbox, VLAN und Switch
newbie1Vor 1 TagFrageNetzwerke10 Kommentare

Hallo, ich bin kurz davor mir eine pfSense einzurichten via ISO-Image auf einem alten PC. Vorhaben: Fritzbox -> pfSense -> Switch -> Endgeräte Was ...

Windows Server
Problem bei Windows 10 Deployment mit MDT
gelöst neophyte2021Vor 1 TagFrageWindows Server7 Kommentare

Hallo, ich habe folgendes Problem, ich habe in einem Artikel auf englisch gelesen, das wenn man mit dem MDT Windows 10 ausrollen will und ...

Off Topic
Bewerbungsfragen FISI
IT-ProVor 14 StundenFrageOff Topic12 Kommentare

Hi, Ja, der Titel mag etwas komisch klingen. Aber das wird sich in den folgenden Zeilen hoffentlich lösen. Ich habe mich hier gerade durch ...