Policy based Routing mit Mikrotik 750

bene007
Goto Top
Guten abend zusammen,

ich bräuchte hilfe bei der Einrichtung des Mikrotik 750. Ich habe mir die Anleitung http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways durchgelesen, kann das aber leider nicht so umsetzten. Was mein Plan ist, zwei Porte sind fürs Internet. Und jetzt soll Computer A über Internet I ins internet, Computer B über II, Coputer C auch über II, usw. . Das ist ja das besagte Policy based Routing. Wenn mir jemand einen Anstubser geben kann wäre das echt toll (auf deutsch wäre besser, muss aber nicht sein). Beide Internetanschlüsse sind von der Telekom, weiß nicht ob das eine brauchbare Information ist.
Aktuell sieht es so aus, das Internetanschluss I über Gateway 192.168.1.111 und Internetanschluss II über Gateway 192.168.1.100. Muss ich das ändern, z.B auf 192.168.1.1 und den anderen auf 192.168.1.128? Der Mikrotik ist aktuell auf 192.168.1.122 geändert.

Wäre euch echt dankbar für Tipps. z.Z arbeite ich mit der Winbox, hab aber schon gelesen das die Kommandozeile besser zum programmieren des Routers geeignet ist.

Content-Key: 180258

Url: https://administrator.de/contentid/180258

Ausgedruckt am: 30.06.2022 um 21:06 Uhr

Mitglied: dog
dog 08.02.2012 um 21:55:52 Uhr
Goto Top

Aber wozu da PBR?
Bei dem Netzaufbau kannst du auch einfach bei Client A und den anderen jeweils einen anderen Router eintragen.
Mitglied: Bene007
Bene007 09.02.2012 um 14:36:03 Uhr
Goto Top
Also ich glaub ich habe mich falsch ausgedrückt. Ich schildere jetzt nochmal.
Den MikroTik habe ich mit
resetet, damit ich einen simplen 5 Port Router habe.
Jetzt will ich 2 der Lananschlüsse dazu verwenden, die als WAN-Port fungieren. Also Lan-Anschluss 1 - Modem - Internet und Lan-Anschluss 2 - Modem - Internet. Ich stehte ich vor dem Problem, wie ich aus einem Lan-Anschluss einen WAN-Port mache.
Wenn ich das geschafft habe, das man über beide jeweils ins internet kommt, dann wollte ich eben, das Client 1-4 über den Internetanschluss an Lan-Anschluss 1 rein geht, Client 5-10 über den Internetanschluss 2. Das wird doch Ich bin wirklich neuling auf dem gebiet und bräuchte dem entsprechend einwenig hilfe
Policy based Routing gennant oder?
Ich hoffe es ist jetzt nicht komplizierter formuliert als es eh schon ist. Danke
Mitglied: dog
dog 09.02.2012 um 21:42:20 Uhr
Goto Top
Poste die Ausgabe von
Mitglied: Bene007
Bene007 09.02.2012 um 22:25:23 Uhr
Goto Top
Mitglied: dog
dog 09.02.2012 um 22:42:13 Uhr
Goto Top
An welchem Port steckt was und benutzt du Modems oder Router vor dem Mikrotik?
Mitglied: Bene007
Bene007 09.02.2012 um 22:51:36 Uhr
Goto Top
Port 1 Modem (echtes Modem)
Port 2 Modem (Speedport als Modem)
Port 3 Verbindung zu Switch
4/5 leer
Mitglied: dog
dog 10.02.2012 um 00:05:05 Uhr
Goto Top
Ok, dann musst du zuerst mal zwei PPPoE-Clients anlegen

Die sollten sich auch direkt verbinden.
Dann brauchst du eine LAN-IP:

Jetzt musst du noch NAT zum Internet aktivieren:

Damit sollten schonmal alle Clients ins Internet kommen.
Jetzt machen wir das ganze noch etwas sicherer:

Und dann kommt noch Policy Based Routing:
Der Teil ist bei DSL etwas blöd.
Zuerst mal musst du bei beiden PPPoE-Client "Add Default Route" aktivieren, und dann unter IP > Routes sicherstellen, das in der Gateway-Spalte immer die selben Werte stehen (auch nach Verbindungstrennung) und die notieren.
Dann auf die Route für das zweite Interface klicken und Copy auswählen, im neuen Fenster bei Routing Mark "dslB" eingeben -> OK.
Danach für das Interface wieder "Add Default Route" deaktivieren.

Client der Verbindung zuordnen:
Mitglied: Bene007
Bene007 10.02.2012 um 09:32:13 Uhr
Goto Top
Hey super, werde heute Nachmittag das ganze ausprobieren. Mir ist aber aufgefallen
müsste das nicht

heißen?
Und bei User und password kommen die daten der telekom rein, wenn ich das richtig verstehe.
Mitglied: aqui
aqui 10.02.2012 um 09:59:28 Uhr
Goto Top
Vermutlich ist 2 mal "interface=ether1" in der PPPoE Definition oben auch ein Typo vom Kollegen dog. Bei der 2ten sollte dort eigentlich interface=ether2 stehen.
Aber dog ist hier der Mikrotik Guru ;-) face-wink
Mitglied: Bene007
Bene007 10.02.2012 um 16:29:28 Uhr
Goto Top
So dann melde ich mich mal wieder. Erstmal vielen dank für deine bemühungen.
Habe das genau gemacht was du gesagt hast

Du hast gemeint, das sich der mikrotik sofort einwählen müsste, tut er aber nicht. habe dann erstmal einen wan-port gemacht über ether1. das wird der mit dem speedport als Modem. bei dem obersten Punkt, dort wo alles aufgelistet ist steht dann der die 5 lanport, und der erstelle pppoe. Wenn ich dann rechtsklick enable mache, dann steht immer unten link disconnected. Ich hab schon überprüft bzgl. kennwort falsch, kann da aber keinen fehler erkennen. Es ist sehr komisch....

dann das mit der LAN-IP
habe 1.3 verwendet, da 1.1 (wlan-router) und 1.2 (server) schon vergeben sind

Das mit dem NAT habe ich auch gemacht, auch das mit den firewall einstellungen.

Ich verstehe aber nicht ganz den punkt Policy Based Routing
"zuerst mal musst du bei beiden PPPoE-Client "Add Default Route" aktivieren"
wo finde ich den Punkt? ich hab mal alles durchgeklickt, hab aber nichts gefunden, und das internet hat auch nicht besonders viel hergegeben
Mitglied: dog
dog 10.02.2012 um 16:58:21 Uhr
Goto Top
Es ist sehr komisch....

Klick im PPPoE-Client auf "PPPoE Scan" und guck mal ob überhaupt in der Tabelle was auftaucht.

wo finde ich den Punkt?

Im PPPoE-Client im Reiter "Dial Out" (Doppelklick auf die Schnittstelle in Winbox).
Mitglied: Bene007
Bene007 10.02.2012 um 17:01:32 Uhr
Goto Top
Zitat von @dog:

Klick im PPPoE-Client auf "PPPoE Scan" und guck mal ob überhaupt in der Tabelle was auftaucht.


ja dort taucht etwas auf
Mitglied: dog
dog 10.02.2012 um 17:09:44 Uhr
Goto Top
Dann deaktiviere den PPPoE-Client und füge diese Regel hinzu:

Dann aktivierst du den PPPoE-Client für maximal(!) 5 Sekunden und postest dann die Ausgabe von
(Achtung, kann Passwörter enthalten!)

Danach kannst du die Regel oben wieder löschen.
Mitglied: Bene007
Bene007 10.02.2012 um 17:19:27 Uhr
Goto Top
Mitglied: dog
dog 10.02.2012 um 17:26:34 Uhr
Goto Top
Ok, der Mikrotik findet kein DSL.
Darum nochmal zurück zum vorigen Schritt:

Klick im PPPoE-Client auf "PPPoE Scan" und guck mal ob überhaupt in der Tabelle was auftaucht.

Poste von dem Fenster mal einen Screenshot.
Oder mach es auf der Kommandozeile und poste die Ausgabe:
Mitglied: Bene007
Bene007 10.02.2012 um 17:27:41 Uhr
Goto Top
Mitglied: dog
dog 10.02.2012 um 17:38:31 Uhr
Goto Top
Das kommt mir etwas spanisch vor.
Der Scanner und der Verbindungsaufbau funktionieren nach dem selben Prinzip, aber einer findet was und der andere nicht.

Welche Version hast du installiert (steht in der Titelzeile von Winbox)?
Poste mal die Ausgabe von
(Ohne Passwörter natürlich)
Mitglied: Bene007
Bene007 10.02.2012 um 17:42:19 Uhr
Goto Top

EDIT: Winbox 5.4
Mitglied: dog
dog 10.02.2012 um 17:48:10 Uhr
Goto Top
OK, ich kann da erstmal keinen Fehler erkennen.
Lad dir aber mal eine neuere Version runter: http://download2.mikrotik.com/routeros-mipsbe-5.12.npk

Die Datei einfach auf das Winbox-Fenster ziehen und danach den Router neustarten.

Hast du VDSL?
Mitglied: Bene007
Bene007 10.02.2012 um 17:49:32 Uhr
Goto Top
Ja hab ich. Ich benutze den Speedort 722V als Modem (entsprechenden Hacken habe ich gesetzt)
Mitglied: aqui
aqui 10.02.2012 um 22:52:59 Uhr
Goto Top
Mitglied: Bene007
Bene007 11.02.2012 um 20:31:37 Uhr
Goto Top
So guten abend,

ich habe nun erfolgreich nach der Anleitung oben das Internet aufbauen können und das PBR funktioniert auch wunderbar. Danke.

2 abschließende Fragen habe ich noch:

Wie kann ich dyndns einrichten. Am besten für 2 Interanschlüsse getrennt, also für jeden einen acc.

Ist es möglich VPN einzurichten bzw. auf den server weiterzuleiten (GRE protokoll und Port forwarding)
Mitglied: dog
dog 11.02.2012 um 21:00:17 Uhr
Goto Top
ich habe nun erfolgreich nach der Anleitung oben das Internet aufbauen können und das PBR funktioniert auch wunderbar. Danke.

Einfach so?

Wie kann ich dyndns einrichten. Am besten für 2 Interanschlüsse getrennt, also für jeden einen acc.

Kopier dir das Script 2x mit den entsprechenden Einstellungen nach System > Scripts (als Name update-dyndns1 und update-dyndns2)
(Achte auf die Leerzeile am Ende)

Bei Policy wählst du "read, test" aus.

Dann musst du dafür noch einen Scheduler anlegen:

Wenn du echten DynDNS-Support willst musst du an support@mikrotik.com schreiben, vielleicht geben die irgendwann nach ;-) face-wink

Ist es möglich VPN einzurichten bzw. auf den server weiterzuleiten (GRE protokoll und Port forwarding)

Dazu musst du zuerst mit NAT den Port weiterleiten:
(Bei der Forwarding-Methode kannst du kein VPN aus dem internen Netz aufbauen)

Und dann in der Firewall noch frei geben:
Die beiden Regeln musst du dann in Winbox über die "drop"-Regel schieben.
Mitglied: Bene007
Bene007 12.02.2012 um 12:31:50 Uhr
Goto Top
Super danke probier ich gleich aus. Auf di frage "einfach so" muss ich antworten, das wenn man ein Speedport als Modem verwenden will, dass man nicht nur einen haken bei "Gerät als Modem verwenden" setzen muss, sondern die dauerverbindung deaktivieren und die zugangsdaten im speedport löschen muss .
Eine letzte frage zu PBR: Kann man Breiche (...1.4-...1.99) erstellen oder muss man jede ip einzeln eintragen?

Danke

EDIT: Funkitoniert dyndns auch noch mit anderen Anbietern als dyndns.com?
Mitglied: dog
dog 12.02.2012 um 14:22:27 Uhr
Goto Top
Eine letzte frage zu PBR: Kann man Breiche (...1.4-...1.99) erstellen oder muss man jede ip einzeln eintragen?

Ja, du kannst Bereiche angeben, als "192.168.1.100-192.168.1.199"

EDIT: Funkitoniert dyndns auch noch mit anderen Anbietern als dyndns.com?

Ja, solange die eine änhliche Technik verwenden. Du musst dir nur die entsprechenden URLs raussuchen.
Mitglied: Bene007
Bene007 12.02.2012 um 16:40:25 Uhr
Goto Top
Tut mir echt leid, das ich jetzt nochmal nerve. das PBR funktioniert doch nicht. bei erstmal einrichten schon, aber dann nicht mehr. Ich habe mal hier was für dich


Ich hab doch alles richtig gemacht, kannst du mir bitte nochmal helfen :) face-smile Danke

und ich gesehen, als ich nochmal neu aufgesetzt habe, das wenn ich



eingebe, das dann


kommt. muss das



heißen?
Mitglied: dog
dog 13.02.2012 um 18:09:55 Uhr
Goto Top
Die Firewall ist soweit richtig.
Poste mal die Ausgabe von /ip rout export

muss das disc heißen?

Nein, ausgeschrieben sollte das disabled heißen.
Mitglied: Bene007
Bene007 13.02.2012 um 18:18:15 Uhr
Goto Top
Mitglied: dog
dog 13.02.2012 um 18:30:37 Uhr
Goto Top
Ok, die Route ist falsch.
dst-address muss 0.0.0.0/0 sein,
pref-src muss leer sein
und wenn es dann nicht geht muss gateway 217.0.116.80 sein.
Mitglied: Bene007
Bene007 13.02.2012 um 18:48:47 Uhr
Goto Top
super, klasse. Danke, bin echt froh das das jetzt geht.

Und jetzt eine weitere Frage. Wie kann ich den Port 80 freigeben auf die ipadresse 192.168.1.2?


funkioniert irgendwie nicht
Mitglied: dog
dog 13.02.2012 um 19:51:06 Uhr
Goto Top
dst-address wird nicht angegeben. Stattdessen das In. Interface (pppoeX).
To Ports kannst du ebenfalls weglassen, das ist ja identisch.

Denk daran, das es dann auch noch in der Firewall unter Forward freigegeben werden muss (oder man deaktiviert den Fwd-Filter)
Mitglied: Bene007
Bene007 13.02.2012 um 20:04:59 Uhr
Goto Top
ok passt das dann so

interface=ether1-ether2, da ich ich will, das man den webserver über pppoe1 und pppoe2 erreichen kann, oder macht man das dann anders


das ist doch so richtig oder?

Entschuldigung, dass ich so viel frage :/

EDIT: Also das mit "interface=ether1-ether2" geht so nicht, "interface" generell sagt er "expected end of command (line 1 column 35)". Und wenn ich meine Internetip eingebe, dann lande ich z.Z. in meinem Routermenü. Ist das so korrekt, scheint mir eher falsch zu sein.

Ziel der Sache ist, das der Server mit beiden Internetanschlüssen gleichzeitig kommunizieren kann
Mitglied: dog
dog 13.02.2012 um 21:15:49 Uhr
Goto Top
ok passt das dann so

Nein, über ether1/2 läuft kein Traffic, sondern über pppoe1/2 und es heißt in-interface.
Außerdem glaube ich nicht, dass du Schnittstellen so als Bereich angeben kannst (mach zwei Regeln).

interface=ether1-ether2, da ich ich will, das man den webserver über pppoe1 und pppoe2 erreichen kann, oder macht man das dann anders

Das ist eine ganz andere Kategorie von hässlich als PBR!
Aus dem Kopf würde ich sagen dafür musst die Connection marken und dann auf Basis der Connection Mark die Routing-Tabelle bestimmen.

das ist doch so richtig oder?

Ja, du musst nur auf die Reihenfolge der Regeln achten.

Und wenn ich meine Internetip eingebe, dann lande ich z.Z. in meinem Routermenü. Ist das so korrekt, scheint mir eher falsch zu sein.

Bei der Art von NAT in den Regeln ist das korrekt.
Die Variante wo auch das Port Forwarding von Intern funktioniert heißt Hairpin-NAT:
Mitglied: Bene007
Bene007 14.02.2012 um 12:17:21 Uhr
Goto Top
Nein, über ether1/2 läuft kein Traffic, sondern über pppoe1/2 und es heißt in-interface.
Außerdem glaube ich nicht, dass du Schnittstellen so als Bereich angeben kannst (mach zwei Regeln).

ok, das wäre dann

Das ist eine ganz andere Kategorie von hässlich als PBR!
Aus dem Kopf würde ich sagen dafür musst die Connection marken und dann auf Basis der Connection Mark die
Routing-Tabelle bestimmen.

Verstehe nicht ganz, was du meinst


Jo hab ich eingefügt, nun kann man das Routermenü über das Internet nicht mehr erreichen, gut. Aber zugriff auf den server habe ich immer noch nicht

Hier der export meiner Firewall

Mitglied: dog
dog 14.02.2012 um 20:27:45 Uhr
Goto Top
ok, das wäre dann

Ja

Jo hab ich eingefügt, nun kann man das Routermenü über das Internet nicht mehr erreichen, gut.

Das konnte man nie aus dem Internet erreichen.
Es war lediglich aus dem internen Netz mit der öffentlichen IP auch erreichbar (logisch, denn die gehört ja auch dem Router).


Die Reihenfolge deiner Regeln ist durcheinander.
Die Jump->SPI Regel muss in jedem Chain ganz oben sein.
Dein Forward-Chain hat auch keine abschließende Drop-Regel (gut, die Telekom filtert hinreichend, darum ist die optional), dafür hat dein Input-Chain zwei.


Das ist auch doppelt. Die 3. Regel ersetzt die beiden anderen.
Mitglied: Bene007
Bene007 15.02.2012 um 11:19:05 Uhr
Goto Top
Dürfte doch jetzt soweit stimmen oder?


Wenn ich jetzt meine Internetip eingebe kommt:

Fehler: Netzwerk-Zeitüberschreitung
Der Server unter *Meine Internetip* braucht zu lange, um eine Antwort zu senden.

Ich hoffe du kannst mir noch weiterhelfen. Danke
Mitglied: dog
dog 18.02.2012 um 19:23:54 Uhr
Goto Top
Der Server unter *Meine Internetip* braucht zu lange, um eine Antwort zu senden.

Das liegt an deinen NAT-Regeln, die werden nur auf ausgehenden Traffic angewendet (und nicht auf Hairpin-Traffic).


Dort muss noch hinzugefügt werden:


Du könntest auch das Problem den Server von beiden IPs zu erreichen gleich damit erschlagen, wenn du stattdessen schreibst:

Dann würde aber jeder Client von überall im Server-Log mit der IP des Routers stehen.
Mitglied: Bene007
Bene007 20.02.2012 um 13:00:42 Uhr
Goto Top
So Danke für deine Antwort. Aber es funktioniert irgendwie nicht.

Der Server ist standardmäßig mit DSL-B verbunden. Wenn ich jetzt die Internet-IP von Internetanschluss DSL-B eingebe komme ich auf die Webseite, wenn jetzt die Internet-IP von DSL-A eingebe kommt "Fehler: Server nicht gefunden"

Auch das VPN geht (dann logischer weise) nur über DSL-B. Kannst du mir weiterhelfen?
Mitglied: dog
dog 21.02.2012 um 00:21:52 Uhr
Goto Top
Poste nochmal einen aktuellen export von Firewall und Routen.
Mitglied: Bene007
Bene007 21.02.2012 um 11:28:57 Uhr
Goto Top
Export Firewall

Export Route


Bei beiden kommt "Fehler: Netzwerk-Zeitüberschreitung"
Mitglied: dog
dog 21.02.2012 um 23:03:26 Uhr
Goto Top
Ändere die Firewall-Regeln so:

Danach deaktivierst du die Mangle-Regel, dann muss der Server zumindest über die 1. IP erreichbar sein.
Mitglied: Bene007
Bene007 22.02.2012 um 10:39:32 Uhr
Goto Top
So habe ich gemacht. Jetzt kann man der Server über die 1. IP erreichen. Jetzt hab ich mir gedacht, da der Server die IP 192.168.1.2 hat, dass ich die PBR Regel ändere auf den Bereich 192.168.1.4 - 192.168.1.99. Nun kann man den Server über beide erreichen und das PBR geht auch. Echt super, danke, ich weiß gar nicht wie ich mich bedanken soll.

Ein Problem gibt es noch, ich kann jetzt über die 1. Internet-IP VPN aufbauen, über die 2. aber nicht. Wenn dieses Problem auch noch behoben ist, dann ist es perfekt. Kannst du mir da auch noch helfen
Mitglied: dog
dog 22.02.2012 um 12:12:15 Uhr
Goto Top
Nun kann man den Server über beide erreichen

Wenn du das nur von intern getestet hast ist das ein Trugschluss.
Die Aussgabe ob es wirklich geht kannst du nur von Extern machen.
Mitglied: Bene007
Bene007 22.02.2012 um 14:14:07 Uhr
Goto Top
Das stimmt, habs grad getestet, dann kann man den Server immer nur über die Internet-IP erreichen mit der er standardmäßig verbunden ist. Das ist ja nicht mein Ziel. Im will das man den Server über beide gleichzeitig erreichen kann, wenn das geht, geht ja logischerweise auch gleich VPN. Hast du dafür auch noch eine Lösung parat?