08.02.2012

18167

Policy based Routing mit Mikrotik 750

Guten abend zusammen,

ich bräuchte hilfe bei der Einrichtung des Mikrotik 750. Ich habe mir die Anleitung http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways durchgelesen, kann das aber leider nicht so umsetzten. Was mein Plan ist, zwei Porte sind fürs Internet. Und jetzt soll Computer A über Internet I ins internet, Computer B über II, Coputer C auch über II, usw. . Das ist ja das besagte Policy based Routing. Wenn mir jemand einen Anstubser geben kann wäre das echt toll (auf deutsch wäre besser, muss aber nicht sein). Beide Internetanschlüsse sind von der Telekom, weiß nicht ob das eine brauchbare Information ist.
Aktuell sieht es so aus, das Internetanschluss I über Gateway 192.168.1.111 und Internetanschluss II über Gateway 192.168.1.100. Muss ich das ändern, z.B auf 192.168.1.1 und den anderen auf 192.168.1.128? Der Mikrotik ist aktuell auf 192.168.1.122 geändert.

Wäre euch echt dankbar für Tipps. z.Z arbeite ich mit der Winbox, hab aber schon gelesen das die Kommandozeile besser zum programmieren des Routers geeignet ist.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 180258

Url: https://administrator.de/contentid/180258

Ausgedruckt am: 03.12.2024 um 17:12 Uhr

44 Kommentare

Neuester Kommentar

/ip route
add comment="DSL A (Sonderfall)" dst-address=0.0.0.0/0 gateway=192.168.1.111 routing-mark=dslA  
add comment="DSL B (Standard)" dst-address=0.0.0.0/0 gateway=192.168.1.100  

/ip firewall mangle
add action=mark-routing chain=prerouting comment="Client 1 ueber DSL A" new-routing-mark=dslA passthrough=yes src-address=192.168.1.X  

Aber wozu da PBR?
Bei dem Netzaufbau kannst du auch einfach bei Client A und den anderen jeweils einen anderen Router eintragen.

Also ich glaub ich habe mich falsch ausgedrückt. Ich schildere jetzt nochmal.
Den MikroTik habe ich mit

/system reset-conf skip-backup=yes no-defaults=yes

resetet, damit ich einen simplen 5 Port Router habe.
Jetzt will ich 2 der Lananschlüsse dazu verwenden, die als WAN-Port fungieren. Also Lan-Anschluss 1 - Modem - Internet und Lan-Anschluss 2 - Modem - Internet. Ich stehte ich vor dem Problem, wie ich aus einem Lan-Anschluss einen WAN-Port mache.
Wenn ich das geschafft habe, das man über beide jeweils ins internet kommt, dann wollte ich eben, das Client 1-4 über den Internetanschluss an Lan-Anschluss 1 rein geht, Client 5-10 über den Internetanschluss 2. Das wird doch Ich bin wirklich neuling auf dem gebiet und bräuchte dem entsprechend einwenig hilfe
Policy based Routing gennant oder?
Ich hoffe es ist jetzt nicht komplizierter formuliert als es eh schon ist. Danke

Poste die Ausgabe von

/ip addr export

# jan/02/1970 00:02:59 by RouterOS 5.4
# software id = 4KRB-190T
#

An welchem Port steckt was und benutzt du Modems oder Router vor dem Mikrotik?

Port 1 Modem (echtes Modem)
Port 2 Modem (Speedport als Modem)
Port 3 Verbindung zu Switch
4/5 leer

Ok, dann musst du zuerst mal zwei PPPoE-Clients anlegen

/int ppoe-c
# Der erste Client ist die Standardverbindung für alle alles
add add-default-route=yes comment="Leitung 1" dial-on-demand=no interface=ether1 max-mru=1492 max-mtu=1492 name=pppoe1 use-peer-dns=yes user=... password=...  
# Der zweite ist der Sonderfall
add add-default-route=no comment="Leitung 2" dial-on-demand=no interface=ether1 max-mru=1492 max-mtu=1492 name=pppoe2 use-peer-dns=no user=... password=...  

Die sollten sich auch direkt verbinden.
Dann brauchst du eine LAN-IP:

/ip addr
add address=192.168.1.1/24 interface=ether3 comment="LAN-IP"  

Jetzt musst du noch NAT zum Internet aktivieren:

/ip firew nat
add action=masquerade chain=srcnat comment="NAT fuer DSL1" disabled=no out-interface=pppoe1  
add action=masquerade chain=srcnat comment="NAT fuer DSL2" disabled=no out-interface=pppoe2  

Damit sollten schonmal alle Clients ins Internet kommen.
Jetzt machen wir das ganze noch etwas sicherer:

/ip neigh disc
set ether1 dis=yes
set ether2 dis=yes

/ip firew filter
#SPI-Regeln
add action=accept chain=spi comment="Bereits vorhandene Verbindungen akzeptieren" connection-state=established disabled=no  
add action=accept chain=spi comment="Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related disabled=no  
add action=drop chain=spi comment="Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no  
add action=return chain=spi comment="Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no  
#Input filtern
add action=jump chain=input jump-target=spi
add action=accept chain=input comment="Ping immer annehmen" disabled=no icmp-options=8:0 protocol=icmp  
add action=accept chain=input in-interface=ether3 comment="Alles aus dem LAN annehmen"  
add action=drop chain=input comment="Alles andere verwerfen"  
#Forward filtern (alles vom und ins Internet)
add action=jump chain=forward jump-target=spi
add action=accept chain=forward in-interface=ether3 comment="Alles ueberall hin vom LAN erlauben"  
add action=drop chain=input comment="Alles andere verwerfen"  

Und dann kommt noch Policy Based Routing:
Der Teil ist bei DSL etwas blöd.
Zuerst mal musst du bei beiden PPPoE-Client "Add Default Route" aktivieren, und dann unter IP > Routes sicherstellen, das in der Gateway-Spalte immer die selben Werte stehen (auch nach Verbindungstrennung) und die notieren.
Dann auf die Route für das zweite Interface klicken und Copy auswählen, im neuen Fenster bei Routing Mark "dslB" eingeben -> OK.
Danach für das Interface wieder "Add Default Route" deaktivieren.

Client der Verbindung zuordnen:

/ip firewall mangle 
add action=mark-routing chain=prerouting comment="Client 1 ueber DSL B" new-routing-mark=dslB passthrough=yes src-address=192.168.1.X  

Hey super, werde heute Nachmittag das ganze ausprobieren. Mir ist aber aufgefallen

/int ppoe-c

müsste das nicht

/int pppoe-c

heißen?
Und bei User und password kommen die daten der telekom rein, wenn ich das richtig verstehe.

Vermutlich ist 2 mal "interface=ether1" in der PPPoE Definition oben auch ein Typo vom Kollegen dog. Bei der 2ten sollte dort eigentlich interface=ether2 stehen.
Aber dog ist hier der Mikrotik Guru

So dann melde ich mich mal wieder. Erstmal vielen dank für deine bemühungen.
Habe das genau gemacht was du gesagt hast

/int pppoe-c
# Der erste Client ist die Standardverbindung für alle alles
add add-default-route=yes comment="Leitung 1" dial-on-demand=no interface=ether1 max-mru=1492 max-mtu=1492 name=pppoe1 use-peer-dns=yes user=xxx@t-online.de password=xxx  
# Der zweite ist der Sonderfall
add add-default-route=no comment="Leitung 2" dial-on-demand=no interface=ether2 max-mru=1492 max-mtu=1492 name=pppoe2 use-peer-dns=no user=xxx@t-online.de password=xxx  

Du hast gemeint, das sich der mikrotik sofort einwählen müsste, tut er aber nicht. habe dann erstmal einen wan-port gemacht über ether1. das wird der mit dem speedport als Modem. bei dem obersten Punkt, dort wo alles aufgelistet ist steht dann der die 5 lanport, und der erstelle pppoe. Wenn ich dann rechtsklick enable mache, dann steht immer unten link disconnected. Ich hab schon überprüft bzgl. kennwort falsch, kann da aber keinen fehler erkennen. Es ist sehr komisch....

dann das mit der LAN-IP

/ip addr
add address=192.168.1.3/24 interface=ether3 comment="LAN-IP"  

habe 1.3 verwendet, da 1.1 (wlan-router) und 1.2 (server) schon vergeben sind

Das mit dem NAT habe ich auch gemacht, auch das mit den firewall einstellungen.

Ich verstehe aber nicht ganz den punkt Policy Based Routing
"zuerst mal musst du bei beiden PPPoE-Client "Add Default Route" aktivieren"
wo finde ich den Punkt? ich hab mal alles durchgeklickt, hab aber nichts gefunden, und das internet hat auch nicht besonders viel hergegeben

Es ist sehr komisch....

Klick im PPPoE-Client auf "PPPoE Scan" und guck mal ob überhaupt in der Tabelle was auftaucht.

wo finde ich den Punkt?

Im PPPoE-Client im Reiter "Dial Out" (Doppelklick auf die Schnittstelle in Winbox).

Zitat von @dog:

Klick im PPPoE-Client auf "PPPoE Scan" und guck mal ob überhaupt in der Tabelle was auftaucht.

ja dort taucht etwas auf

Dann deaktiviere den PPPoE-Client und füge diese Regel hinzu:

/system logging
add action=memory disabled=no prefix="" topics=pppoe,debug  

Dann aktivierst du den PPPoE-Client für maximal(!) 5 Sekunden und postest dann die Ausgabe von

/log print

(Achtung, kann Passwörter enthalten!)

Danach kannst du die Regel oben wieder löschen.

00:13 interface,info ether3 link up (speed 100M, full duplex) 
00:19 interface,info ether1 link up (speed 100M, full duplex) 
00:55 system,info,account user admin logged in via winbox 
01:01 system,info,account user admin logged in via local 
02:10 system,info device added by admin 
02:24 system,info device changed by admin 
03:29 system,info log rule added by admin 
03:35 pppoe,ppp,info pppoe1: initializing... 
03:35 system,info device changed by admin 
03:35 pppoe,ppp,info pppoe1: dialing... 
03:35 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 
03:35 pppoe,debug,packet     session-id=0x0000 
03:35 pppoe,debug,packet     host-uniq=0x0 
03:35 pppoe,debug,packet     service-name= 
03:36 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 
03:36 pppoe,debug,packet     session-id=0x0000 
03:36 pppoe,debug,packet     host-uniq=0x0 
03:36 pppoe,debug,packet     service-name= 
03:37 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 
03:37 pppoe,debug,packet     session-id=0x0000 
03:37 pppoe,debug,packet     host-uniq=0x0 
03:37 pppoe,debug,packet     service-name= 
03:38 pppoe,ppp,info pppoe1: terminating... - disconnected 
03:38 pppoe,ppp,debug pppoe1: LCP lowerdown 
03:38 pppoe,ppp,debug pppoe1: LCP down event in initial state 
03:38 pppoe,ppp,info pppoe1: disconnected 
03:38 pppoe,ppp,info pppoe1: initializing... 
03:38 pppoe,ppp,info pppoe1: dialing... 
03:38 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 
03:38 pppoe,debug,packet     session-id=0x0000 
03:38 pppoe,debug,packet     host-uniq=0x1 
03:38 pppoe,debug,packet     service-name= 
03:39 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 
03:39 pppoe,debug,packet     session-id=0x0000 
03:39 pppoe,debug,packet     host-uniq=0x1 
03:39 pppoe,debug,packet     service-name= 
03:40 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 
03:40 pppoe,debug,packet     session-id=0x0000 
03:40 pppoe,debug,packet     host-uniq=0x1 
03:40 pppoe,debug,packet     service-name= 
03:41 pppoe,ppp,info pppoe1: terminating... - disconnected 
03:41 pppoe,ppp,debug pppoe1: LCP lowerdown 
03:41 pppoe,ppp,debug pppoe1: LCP down event in initial state 
03:41 pppoe,ppp,info pppoe1: disconnected 
03:41 pppoe,ppp,info pppoe1: initializing... 
03:41 pppoe,ppp,info pppoe1: dialing... 
03:41 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 
03:41 pppoe,debug,packet     session-id=0x0000 
03:41 pppoe,debug,packet     host-uniq=0x2 
03:41 pppoe,debug,packet     service-name= 
03:42 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 
03:42 pppoe,debug,packet     session-id=0x0000 
03:42 pppoe,debug,packet     host-uniq=0x2 
03:42 pppoe,debug,packet     service-name= 
03:43 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 
03:43 pppoe,debug,packet     session-id=0x0000 
03:43 pppoe,debug,packet     host-uniq=0x2 
03:43 pppoe,debug,packet     service-name= 
03:44 pppoe,ppp,info pppoe1: terminating... - disconnected 
03:44 pppoe,ppp,debug pppoe1: LCP lowerdown 
03:44 pppoe,ppp,debug pppoe1: LCP down event in initial state 
03:44 pppoe,ppp,info pppoe1: disconnected 
03:45 pppoe,ppp,info pppoe1: initializing... 
03:45 pppoe,ppp,info pppoe1: dialing... 
03:45 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 
03:45 pppoe,debug,packet     session-id=0x0000 
03:45 pppoe,debug,packet     host-uniq=0x3 
03:45 pppoe,debug,packet     service-name= 
03:45 pppoe,ppp,info pppoe1: terminating... 
03:45 pppoe,ppp,debug pppoe1: LCP lowerdown 
03:45 pppoe,ppp,debug pppoe1: LCP down event in initial state 
03:45 pppoe,ppp,info pppoe1: disabled 
03:45 system,info device changed by admin 

Ok, der Mikrotik findet kein DSL.
Darum nochmal zurück zum vorigen Schritt:

Klick im PPPoE-Client auf "PPPoE Scan" und guck mal ob überhaupt in der Tabelle was auftaucht.

Poste von dem Fenster mal einen Screenshot.
Oder mach es auf der Kommandozeile und poste die Ausgabe:

/int pppoe-cl scan interface=ether1 duration=5

SERVICE                         MAC-ADDRESS       AC-NAME                        
                                00:1C:4A:27:B6:77 MUNR72-se800-B                 

Das kommt mir etwas spanisch vor.
Der Scanner und der Verbindungsaufbau funktionieren nach dem selben Prinzip, aber einer findet was und der andere nicht.

Welche Version hast du installiert (steht in der Titelzeile von Winbox)?
Poste mal die Ausgabe von

/int pppoe-cl export

(Ohne Passwörter natürlich)

# jan/02/1970 00:27:13 by RouterOS 5.4
# software id = 4KRB-190T
#
/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=\  
    "Leitung 1" dial-on-demand=no disabled=yes interface=ether1 max-mru=1492 \  
    max-mtu=1492 mrru=disabled name=pppoe1 password=********* profile=default \
    service-name="" use-peer-dns=yes user=\  
   ********************************************0001@t-online.de

EDIT: Winbox 5.4

OK, ich kann da erstmal keinen Fehler erkennen.
Lad dir aber mal eine neuere Version runter: http://download2.mikrotik.com/routeros-mipsbe-5.12.npk

Die Datei einfach auf das Winbox-Fenster ziehen und danach den Router neustarten.

Hast du VDSL?

Ja hab ich. Ich benutze den Speedort 722V als Modem (entsprechenden Hacken habe ich gesetzt)

Hacken ??
http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
http://de.wikipedia.org/wiki/Ferse
http://de.wikipedia.org/wiki/Häkchen_(Schriftzeichen)

So guten abend,

ich habe nun erfolgreich nach der Anleitung oben das Internet aufbauen können und das PBR funktioniert auch wunderbar. Danke.

2 abschließende Fragen habe ich noch:

Wie kann ich dyndns einrichten. Am besten für 2 Interanschlüsse getrennt, also für jeden einen acc.

Ist es möglich VPN einzurichten bzw. auf den server weiterzuleiten (GRE protokoll und Port forwarding)

ich habe nun erfolgreich nach der Anleitung oben das Internet aufbauen können und das PBR funktioniert auch wunderbar. Danke.

Einfach so?

Wie kann ich dyndns einrichten. Am besten für 2 Interanschlüsse getrennt, also für jeden einen acc.

Kopier dir das Script 2x mit den entsprechenden Einstellungen nach System > Scripts (als Name update-dyndns1 und update-dyndns2)

:local ddnsuser "username"  
:local ddnspass "passwort"  
:local theinterface "pppoe1"  
:local ddnshost "hostname.dyndns.org"  

:local ipddns [:resolve $ddnshost];
:local iplocal [ /ip address get [/ip address find interface=$theinterface ] address ]

:if ([ :typeof $iplocal ] = nil ) do={
  :log info ("DynDNS: No ip address on $theinterface .")  
} else={
# IP Adresse ist 1.2.3.4/32 also muss das /32 erstmal weg
  :for i from=( [:len $iplocal] - 1) to=0 do={ 
    :if ( [:pick $iplocal $i] = "/") do={   
      :set iplocal [:pick $iplocal 0 $i];
    } 
  }
 
  :if ($ipddns != $iplocal) do={
    :log info ("DynDNS: IP-DynDNS = $ipddns <> local IP = $iplocal UPDATE")  
    :local str "/nic/update?hostname=$ddnshost&myip=$iplocal&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG"  
    /tool fetch address=members.dyndns.org src-path=$str mode=http user=$ddnsuser password=$ddnspass keep=no
    }
} 

(Achte auf die Leerzeile am Ende)

Bei Policy wählst du "read, test" aus.

Dann musst du dafür noch einen Scheduler anlegen:

/system scheduler
add disabled=no interval=1m30s name=update-dynamic-stuff on-event="/system script run update-dyndns1\r\n/system script run update-dyndns2\r\n" start-date=jan/01/2012 start-time=00:00:00  

Wenn du echten DynDNS-Support willst musst du an support@mikrotik.com schreiben, vielleicht geben die irgendwann nach

Ist es möglich VPN einzurichten bzw. auf den server weiterzuleiten (GRE protokoll und Port forwarding)

Dazu musst du zuerst mit NAT den Port weiterleiten:

/ip firewall nat
add action=dst-nat chain=dstnat comment="PPTP Negotiation -> Server" dst-port=1723 protocol=tcp to-addresses=192.168.1.X in-interface=pppoe1  
add action=dst-nat chain=dstnat comment="GRE -> Server" protocol=gre to-addresses=192.168.1.X in-interface=pppoe1  

(Bei der Forwarding-Methode kannst du kein VPN aus dem internen Netz aufbauen)

Und dann in der Firewall noch frei geben:

/ip firewall filter
add action=accept chain=forward comment="PPTP-Negotiation erlauben"  dst-port=1723 protocol=tcp dst-address=192.168.1.X  
add action=accept chain=forward comment="GRE erlauben"  protocol=gre dst-address=192.168.1.X  

Die beiden Regeln musst du dann in Winbox über die "drop"-Regel schieben.

Super danke probier ich gleich aus. Auf di frage "einfach so" muss ich antworten, das wenn man ein Speedport als Modem verwenden will, dass man nicht nur einen haken bei "Gerät als Modem verwenden" setzen muss, sondern die dauerverbindung deaktivieren und die zugangsdaten im speedport löschen muss .
Eine letzte frage zu PBR: Kann man Breiche (...1.4-...1.99) erstellen oder muss man jede ip einzeln eintragen?

Danke

EDIT: Funkitoniert dyndns auch noch mit anderen Anbietern als dyndns.com?

Eine letzte frage zu PBR: Kann man Breiche (...1.4-...1.99) erstellen oder muss man jede ip einzeln eintragen?

Ja, du kannst Bereiche angeben, als "192.168.1.100-192.168.1.199"

EDIT: Funkitoniert dyndns auch noch mit anderen Anbietern als dyndns.com?

Ja, solange die eine änhliche Technik verwenden. Du musst dir nur die entsprechenden URLs raussuchen.

Tut mir echt leid, das ich jetzt nochmal nerve. das PBR funktioniert doch nicht. bei erstmal einrichten schon, aber dann nicht mehr. Ich habe mal hier was für dich

[admin@MikroTik] > /ip firewall export 
# jan/02/1970 00:06:39 by RouterOS 5.12
# software id = 4KRB-190T
#
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=\
    5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=accept chain=spi comment="Bereits vorhandene Verbindungen akzeptieren" connection-state=established disabled=no  
add action=accept chain=spi comment="Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related disabled=no  
add action=drop chain=spi comment="Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no  
add action=return chain=spi comment="Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no  
add action=jump chain=input disabled=no jump-target=spi
add action=accept chain=input comment="Ping immer annehmen" disabled=no icmp-options=8:0 protocol=icmp  
add action=accept chain=input comment="Alles aus dem LAN annehmen" disabled=no in-interface=ether3  
add action=drop chain=input comment="Alles andere verwerfen" disabled=no  
add action=jump chain=forward disabled=no jump-target=spi
add action=accept chain=forward comment="Alles ueberall hin vom LAN erlauben" disabled=no in-interface=ether3  
add action=drop chain=input comment="Alles andere verwerfen" disabled=no  
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Client 1 ueber DSL B" disabled=no new-routing-mark=dslB passthrough=yes src-address=192.168.1.2-192.168.1.99  
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT fuer DSL1" disabled=no out-interface=pppoe1  
add action=masquerade chain=srcnat comment="NAT fuer DSL2" disabled=no out-interface=pppoe2  
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061 sip-direct-media=yes
set pptp disabled=no

Ich hab doch alles richtig gemacht, kannst du mir bitte nochmal helfen

Danke

und ich gesehen, als ich nochmal neu aufgesetzt habe, das wenn ich

/ip neigh disc
set ether1 dis=yes
set ether2 dis=yes

eingebe, das dann

expected end of command (line 1 column 12)

kommt. muss das

/ip neigh disc
set ether1 disc=yes
set ether2 disc=yes

heißen?

Die Firewall ist soweit richtig.
Poste mal die Ausgabe von /ip rout export

muss das disc heißen?

Nein, ausgeschrieben sollte das disabled heißen.

[admin@MikroTik] > /ip rout export
# jan/02/1970 00:01:13 by RouterOS 5.12
# software id = 4KRB-190T
#
/ip route
add disabled=no distance=1 dst-address=217.0.116.80/32 gateway=pppoe2 \
    pref-src=84.152.50.76 routing-mark=dslB scope=10 target-scope=10

Ok, die Route ist falsch.
dst-address muss 0.0.0.0/0 sein,
pref-src muss leer sein
und wenn es dann nicht geht muss gateway 217.0.116.80 sein.

super, klasse. Danke, bin echt froh das das jetzt geht.

Und jetzt eine weitere Frage. Wie kann ich den Port 80 freigeben auf die ipadresse 192.168.1.2?

/ip firewall nat add chain=dstnat dst-address=192.168.1.2 protocol=tcp dst-port=80\
    action=dst-nat to-addresses=192.168.1.2 to-ports=80

funkioniert irgendwie nicht

dst-address wird nicht angegeben. Stattdessen das In. Interface (pppoeX).
To Ports kannst du ebenfalls weglassen, das ist ja identisch.

Denk daran, das es dann auch noch in der Firewall unter Forward freigegeben werden muss (oder man deaktiviert den Fwd-Filter)

ok passt das dann so

/ip firewall nat add chain=dstnat interface=ether1-ether2 protocol=tcp dst-port=80\
    action=dst-nat to-addresses=192.168.1.2

interface=ether1-ether2, da ich ich will, das man den webserver über pppoe1 und pppoe2 erreichen kann, oder macht man das dann anders

/ip firewall filter
add action=accept chain=forward comment="Website"  dst-port=80 protocol=tcp dst-address=192.168.1.2  

das ist doch so richtig oder?

Entschuldigung, dass ich so viel frage :/

EDIT: Also das mit "interface=ether1-ether2" geht so nicht, "interface" generell sagt er "expected end of command (line 1 column 35)". Und wenn ich meine Internetip eingebe, dann lande ich z.Z. in meinem Routermenü. Ist das so korrekt, scheint mir eher falsch zu sein.

Ziel der Sache ist, das der Server mit beiden Internetanschlüssen gleichzeitig kommunizieren kann

ok passt das dann so

Nein, über ether1/2 läuft kein Traffic, sondern über pppoe1/2 und es heißt in-interface.
Außerdem glaube ich nicht, dass du Schnittstellen so als Bereich angeben kannst (mach zwei Regeln).

interface=ether1-ether2, da ich ich will, das man den webserver über pppoe1 und pppoe2 erreichen kann, oder macht man das dann anders

Das ist eine ganz andere Kategorie von hässlich als PBR!
Aus dem Kopf würde ich sagen dafür musst die Connection marken und dann auf Basis der Connection Mark die Routing-Tabelle bestimmen.

das ist doch so richtig oder?

Ja, du musst nur auf die Reihenfolge der Regeln achten.

Und wenn ich meine Internetip eingebe, dann lande ich z.Z. in meinem Routermenü. Ist das so korrekt, scheint mir eher falsch zu sein.

Bei der Art von NAT in den Regeln ist das korrekt.
Die Variante wo auch das Port Forwarding von Intern funktioniert heißt Hairpin-NAT:

/ip firewall nat
add chain=dstnat dst-address-type=local dst-address=!192.168.1.3 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.2

Nein, über ether1/2 läuft kein Traffic, sondern über pppoe1/2 und es heißt in-interface.
Außerdem glaube ich nicht, dass du Schnittstellen so als Bereich angeben kannst (mach zwei Regeln).

ok, das wäre dann

/ip firewall nat 
add chain=dstnat in-interface=pppoe1 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.2
add chain=dstnat in-interface=pppoe2 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.2

Das ist eine ganz andere Kategorie von hässlich als PBR!
Aus dem Kopf würde ich sagen dafür musst die Connection marken und dann auf Basis der Connection Mark die
Routing-Tabelle bestimmen.

Verstehe nicht ganz, was du meinst

> /ip firewall nat
> add chain=dstnat dst-address-type=local dst-address=!192.168.1.3 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.2
 

Jo hab ich eingefügt, nun kann man das Routermenü über das Internet nicht mehr erreichen, gut. Aber zugriff auf den server habe ich immer noch nicht

Hier der export meiner Firewall

/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=\
    5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=accept chain=forward comment="PPTP-Negotiation erlauben" disabled=no dst-address=192.168.1.2 dst-port=1723 protocol=tcp  
add action=accept chain=forward comment=Website disabled=no dst-address=192.168.1.2 dst-port=80 protocol=tcp
add action=accept chain=forward comment="GRE erlauben" disabled=no dst-address=192.168.1.2 protocol=gre  
add action=accept chain=spi comment="Bereits vorhandene Verbindungen akzeptieren" connection-state=established disabled=no  
add action=accept chain=spi comment="Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related disabled=no  
add action=drop chain=spi comment="Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no  
add action=return chain=spi comment="Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no  
add action=jump chain=input disabled=no jump-target=spi
add action=accept chain=input comment="Ping immer annehmen" disabled=no icmp-options=8:0 protocol=icmp  
add action=accept chain=input comment="Alles aus dem LAN annehmen" disabled=no in-interface=ether3  
add action=drop chain=input comment="Alles andere verwerfen" disabled=no  
add action=jump chain=forward disabled=no jump-target=spi
add action=accept chain=forward comment="Alles ueberall hin vom LAN erlauben" disabled=no in-interface=ether3  
add action=drop chain=input comment="Alles andere verwerfen" disabled=no  
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Client 1 ueber DSL B" disabled=no new-routing-mark=dslB passthrough=yes src-address=192.168.1.2-192.168.1.99  
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT fuer DSL1" disabled=no out-interface=pppoe1  
add action=masquerade chain=srcnat comment="NAT fuer DSL2" disabled=no out-interface=pppoe2  
add action=dst-nat chain=dstnat comment="PPTP Negotiation -> Server" disabled=no dst-port=1723 in-interface=pppoe1 protocol=tcp to-addresses=192.168.1.2  
add action=dst-nat chain=dstnat comment="GRE -> Server" disabled=no in-interface=pppoe1 protocol=gre to-addresses=192.168.1.2  
add action=dst-nat chain=dstnat comment="PPTP Negotiation -> Server" disabled=no dst-port=1723 in-interface=pppoe2 protocol=tcp to-addresses=192.168.1.2  
add action=dst-nat chain=dstnat comment="GRE -> Server" disabled=no in-interface=pppoe2 protocol=gre to-addresses=192.168.1.2  
add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=pppoe1 protocol=tcp to-addresses=192.168.1.2
add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=pppoe2 protocol=tcp to-addresses=192.168.1.2
add action=dst-nat chain=dstnat disabled=no dst-address=!192.168.1.3 dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.1.2
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061 sip-direct-media=yes
set pptp disabled=no

ok, das wäre dann

Jo hab ich eingefügt, nun kann man das Routermenü über das Internet nicht mehr erreichen, gut.

Das konnte man nie aus dem Internet erreichen.
Es war lediglich aus dem internen Netz mit der öffentlichen IP auch erreichbar (logisch, denn die gehört ja auch dem Router).

Die Reihenfolge deiner Regeln ist durcheinander.
Die Jump->SPI Regel muss in jedem Chain ganz oben sein.
Dein Forward-Chain hat auch keine abschließende Drop-Regel (gut, die Telekom filtert hinreichend, darum ist die optional), dafür hat dein Input-Chain zwei.

add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=pppoe1 protocol=tcp to-addresses=192.168.1.2
add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=pppoe2 protocol=tcp to-addresses=192.168.1.2

add action=dst-nat chain=dstnat disabled=no dst-address=!192.168.1.3 dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.1.2

Das ist auch doppelt. Die 3. Regel ersetzt die beiden anderen.

Dürfte doch jetzt soweit stimmen oder?

# jan/03/1970 16:31:01 by RouterOS 5.12
# software id = 4KRB-190T
#
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=\
    5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=jump chain=forward disabled=no jump-target=spi
add action=jump chain=input disabled=no jump-target=spi
add action=accept chain=spi comment="Bereits vorhandene Verbindungen akzeptieren" connection-state=established disabled=no  
add action=accept chain=spi comment="Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related disabled=no  
add action=return chain=spi comment="Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no  
add action=accept chain=forward comment="PPTP-Negotiation erlauben" disabled=no dst-address=192.168.1.2 dst-port=1723 protocol=tcp  
add action=accept chain=forward comment=Website disabled=no dst-address=192.168.1.2 dst-port=80 protocol=tcp
add action=accept chain=forward comment="GRE erlauben" disabled=no dst-address=192.168.1.2 protocol=gre  
add action=accept chain=input comment="Ping immer annehmen" disabled=no icmp-options=8:0 protocol=icmp  
add action=accept chain=input comment="Alles aus dem LAN annehmen" disabled=no in-interface=ether3  
add action=accept chain=forward comment="Alles ueberall hin vom LAN erlauben" disabled=no in-interface=ether3  
add action=drop chain=input comment="Alles andere verwerfen" disabled=no  
add action=drop chain=spi comment="Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no  
add action=drop chain=input comment="Alles andere verwerfen" disabled=no  
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Client 1 ueber DSL B" disabled=no new-routing-mark=dslB passthrough=yes src-address=192.168.1.2-192.168.1.99  
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT fuer DSL1" disabled=no out-interface=pppoe1  
add action=masquerade chain=srcnat comment="NAT fuer DSL2" disabled=no out-interface=pppoe2  
add action=dst-nat chain=dstnat comment="PPTP Negotiation -> Server" disabled=no dst-port=1723 in-interface=pppoe1 protocol=tcp to-addresses=192.168.1.2  
add action=dst-nat chain=dstnat comment="GRE -> Server" disabled=no in-interface=pppoe1 protocol=gre to-addresses=192.168.1.2  
add action=dst-nat chain=dstnat comment="PPTP Negotiation -> Server" disabled=no dst-port=1723 in-interface=pppoe2 protocol=tcp to-addresses=192.168.1.2  
add action=dst-nat chain=dstnat comment="GRE -> Server" disabled=no in-interface=pppoe2 protocol=gre to-addresses=192.168.1.2  
add action=dst-nat chain=dstnat disabled=no dst-address=!192.168.1.3 dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.1.2
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061 sip-direct-media=yes
set pptp disabled=no

Wenn ich jetzt meine Internetip eingebe kommt:

Fehler: Netzwerk-Zeitüberschreitung
Der Server unter *Meine Internetip* braucht zu lange, um eine Antwort zu senden.

Ich hoffe du kannst mir noch weiterhelfen. Danke

Der Server unter *Meine Internetip* braucht zu lange, um eine Antwort zu senden.

Das liegt an deinen NAT-Regeln, die werden nur auf ausgehenden Traffic angewendet (und nicht auf Hairpin-Traffic).

add action=masquerade chain=srcnat comment="NAT fuer DSL1" disabled=no out-interface=pppoe1  
add action=masquerade chain=srcnat comment="NAT fuer DSL2" disabled=no out-interface=pppoe2  

Dort muss noch hinzugefügt werden:

add action=masquerade chain=srcnat comment="Lokal <-> Lokal NATen" disabled=no src-address=192.168.1.0/24 dst-address=192.168.1.0/24  

Du könntest auch das Problem den Server von beiden IPs zu erreichen gleich damit erschlagen, wenn du stattdessen schreibst:

add action=masquerade chain=srcnat comment="-> Server NAT" disabled=no dst-address=192.168.1.0/24  

Dann würde aber jeder Client von überall im Server-Log mit der IP des Routers stehen.

So Danke für deine Antwort. Aber es funktioniert irgendwie nicht.

Der Server ist standardmäßig mit DSL-B verbunden. Wenn ich jetzt die Internet-IP von Internetanschluss DSL-B eingebe komme ich auf die Webseite, wenn jetzt die Internet-IP von DSL-A eingebe kommt "Fehler: Server nicht gefunden"

Auch das VPN geht (dann logischer weise) nur über DSL-B. Kannst du mir weiterhelfen?

Poste nochmal einen aktuellen export von Firewall und Routen.

Export Firewall

# jan/02/1970 00:02:07 by RouterOS 5.12
# software id = 4KRB-190T
#
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \
    tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=\
    10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s \
    tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s \
    udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=jump chain=forward disabled=no jump-target=spi
add action=jump chain=input disabled=no jump-target=spi
add action=accept chain=spi comment=\
    "Bereits vorhandene Verbindungen akzeptieren" connection-state=established \  
    disabled=no
add action=accept chain=spi comment=\
    "Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=\  
    related disabled=no
add action=accept chain=forward comment="PPTP-Negotiation erlauben" disabled=no \  
    dst-address=192.168.1.2 dst-port=1723 protocol=tcp
add action=accept chain=forward comment="GRE erlauben" disabled=no dst-address=\  
    192.168.1.2 protocol=gre
add action=accept chain=forward comment=Website disabled=no dst-address=\
    192.168.1.2 dst-port=80 protocol=tcp
add action=accept chain=forward comment="Alles ueberall hin vom LAN erlauben" \  
    disabled=no in-interface=ether3
add action=accept chain=input comment="Ping immer annehmen" disabled=no \  
    icmp-options=8:0 protocol=icmp
add action=accept chain=input comment="Alles aus dem LAN annehmen" disabled=no \  
    in-interface=ether3
add action=return chain=spi comment=\
    "Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no  
add action=drop chain=spi comment=\
    "Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" \  
    connection-state=invalid disabled=no
add action=drop chain=input comment="Alles andere verwerfen" disabled=no  
add action=drop chain=input comment="Alles andere verwerfen" disabled=no  
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Client 1 ueber DSL B" \  
    disabled=no new-routing-mark=dslB passthrough=yes src-address=\
    192.168.1.2-192.168.1.99
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT fuer DSL1" disabled=no \  
    out-interface=pppoe1
add action=masquerade chain=srcnat comment="NAT fuer DSL2" disabled=no \  
    out-interface=pppoe2
add action=dst-nat chain=dstnat comment="PPTP Negotiation -> Server" disabled=\  
    no dst-port=1723 in-interface=pppoe1 protocol=tcp to-addresses=192.168.1.2
add action=dst-nat chain=dstnat comment="GRE -> Server" disabled=no \  
    in-interface=pppoe1 protocol=gre to-addresses=192.168.1.2
add action=dst-nat chain=dstnat comment="PPTP Negotiation -> Server" disabled=\  
    no dst-port=1723 in-interface=pppoe2 protocol=tcp to-addresses=192.168.1.2
add action=dst-nat chain=dstnat comment="GRE -> Server" disabled=no \  
    in-interface=pppoe2 protocol=gre to-addresses=192.168.1.2
add action=dst-nat chain=dstnat disabled=no dst-address=!192.168.1.3 \
    dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.1.2
add action=masquerade chain=srcnat comment="-> Server NAT" disabled=no \  
    dst-address=192.168.1.0/24
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061 sip-direct-media=yes
set pptp disabled=no

Export Route

# jan/02/1970 00:03:00 by RouterOS 5.12
# software id = 4KRB-190T
#
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe2 routing-mark=\
    dslB scope=10 target-scope=10

Bei beiden kommt "Fehler: Netzwerk-Zeitüberschreitung"

Ändere die Firewall-Regeln so:

/ip firewall filter
add action=accept chain=spi comment="Bereits vorhandene Verbindungen akzeptieren"                   connection-state=established   
add action=accept chain=spi comment="Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)"         connection-state=related   
add action=drop   chain=spi comment="Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid  
add action=return chain=spi comment="Zurueck, die restlichen Regeln sind Chain-spezifisch"   

add action=jump   chain=forward                                               jump-target=spi
add action=accept chain=forward comment="PPTP-Negotiation erlauben"           dst-address=192.168.1.2 dst-port=1723 protocol=tcp  
add action=accept chain=forward comment="GRE erlauben"                        dst-address=192.168.1.2 protocol=gre  
add action=accept chain=forward comment=Website                               dst-address=192.168.1.2 dst-port=80 protocol=tcp
add action=accept chain=forward comment="Alles ueberall hin vom LAN erlauben" in-interface=ether3  
add action=drop   chain=forward comment="Alles andere verwerfen"   

add action=jump   chain=input                                      jump-target=spi
add action=accept chain=input comment="Ping immer annehmen"        icmp-options=8:0 protocol=icmp  
add action=accept chain=input comment="Alles aus dem LAN annehmen" in-interface=ether3  
add action=drop   chain=input comment="Alles andere verwerfen"   

/ip firewall mangle
add action=mark-routing chain=prerouting comment="Client 1 ueber DSL B" new-routing-mark=dslB passthrough=yes src-address=192.168.1.2-192.168.1.99  

/ip firewall nat
add action=masquerade chain=srcnat comment="NAT fuer DSL1"               out-interface=pppoe1  
add action=masquerade chain=srcnat comment="NAT fuer DSL2"               out-interface=pppoe2  
add action=masquerade chain=srcnat comment="-> Server NAT"               dst-address=192.168.1.0/24  

add action=dst-nat    chain=dstnat                                       dst-address=!192.168.1.3 dst-address-type=local dst-port=80   protocol=tcp to-addresses=192.168.1.2
add action=dst-nat    chain=dstnat  comment="PPTP Negotiation -> Server" dst-address=!192.168.1.3 dst-address-type=local dst-port=1723 protocol=tcp to-addresses=192.168.1.2  
add action=dst-nat    chain=dstnat  comment="GRE -> Server"              dst-address=!192.168.1.3 dst-address-type=local               protocol=gre to-addresses=192.168.1.2  

Danach deaktivierst du die Mangle-Regel, dann muss der Server zumindest über die 1. IP erreichbar sein.

So habe ich gemacht. Jetzt kann man der Server über die 1. IP erreichen. Jetzt hab ich mir gedacht, da der Server die IP 192.168.1.2 hat, dass ich die PBR Regel ändere auf den Bereich 192.168.1.4 - 192.168.1.99. Nun kann man den Server über beide erreichen und das PBR geht auch. Echt super, danke, ich weiß gar nicht wie ich mich bedanken soll.

Ein Problem gibt es noch, ich kann jetzt über die 1. Internet-IP VPN aufbauen, über die 2. aber nicht. Wenn dieses Problem auch noch behoben ist, dann ist es perfekt. Kannst du mir da auch noch helfen

Nun kann man den Server über beide erreichen

Wenn du das nur von intern getestet hast ist das ein Trugschluss.
Die Aussgabe ob es wirklich geht kannst du nur von Extern machen.

Das stimmt, habs grad getestet, dann kann man den Server immer nur über die Internet-IP erreichen mit der er standardmäßig verbunden ist. Das ist ja nicht mein Ziel. Im will das man den Server über beide gleichzeitig erreichen kann, wenn das geht, geht ja logischerweise auch gleich VPN. Hast du dafür auch noch eine Lösung parat?

Frage Netzwerke Router, Routing

Mehr von Bene007

Dual-Wan Router hinter fritzboxenBene007 - 15 Kommentare

Mikrotik Warum muss Firewall regel deaktiviert werden, damit das Internet gehtBene007 - 8 Kommentare

2 DSL-Anschlüsse an einen ServerBene007 - 13 Kommentare

Heiß diskutiert