33
VDSL, LTE-5G und Multi-WAN: Hardware-Auswahl und Konfiguration Netzwerk
Hallo zusammen!
Da mich dieses Thema schon einige Zeit lang beschäftigt, ich aber noch ziemlich planlos bin, wende ich mich mal an Euch.
Folgendes ist geplant bzw. möchte ich in nächster Zeit umsetzen:
Gesucht ist nun also folgende Multi-WAN Lösung:
Wer kann mir bei dieser Konfiguration helfen und Ratschläge geben? Entsprechende Hardware wird ebenfalls noch gesucht.
Da mich dieses Thema schon einige Zeit lang beschäftigt, ich aber noch ziemlich planlos bin, wende ich mich mal an Euch.
Folgendes ist geplant bzw. möchte ich in nächster Zeit umsetzen:
- Vorhanden sind 2 (aktive) Internetzugänge (1x VDSL, 1x LTE/5G). Das VDSL nutzen überwiegend meine Eltern.
- Die zweite Fritzbox (LTE/5G) steht bei mir im OG und wird nur von mir genutzt. Sie ist mein permanenter Internetzugang.
- Geplant ist nun, beide WAN-Zugänge zu bündeln und das VDSL nur als Backup zu nutzen. Es gibt allerdings einige kleine Hürden.
- Ich habe keinen Zugang mehr zur Fritzbox (VDSL), um evtl. Einstellungen ändern zu können.
- Beide Netze haben den Standard IP-Adressbereich 192.168.178.xxx und sollen mittels eigenem WLAN-AP erreichbar bleiben.
- Einige Clients aus dem VDSL-Netz müssen/sollen (trotz Multi-WAN) weiterhin mit der ersten Fritzbox verbunden bleiben (SIP/VoIP, FoIP), da diese Clients aus Gründen des Providers nur daran verwendet werden können.
Gesucht ist nun also folgende Multi-WAN Lösung:
- Bündelung von 2 WAN-Netzen (192.168.178.xxx)
- Möglichkeit, einzelne LAN-Ports explizit(!) dem Netz A oder Netz B zuzuweisen
- Lastverteilung nicht erforderlich, aber ein WAN-Backup auf das VDSL-Netz ist erwünscht
- Das Multi-WAN System soll einen integrierten, abschaltbaren WLAN-AP besitzen
Wer kann mir bei dieser Konfiguration helfen und Ratschläge geben? Entsprechende Hardware wird ebenfalls noch gesucht.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672058
Url: https://administrator.de/forum/vdsl-lte-5g-und-multi-wan-hardware-auswahl-und-konfiguration-netzwerk-672058.html
Ausgedruckt am: 17.04.2025 um 07:04 Uhr
33 Kommentare
Neuester Kommentar
Das ist ein simpler Klassiker den ALLE handelsüblichen Dual WAN Router bzw. Router oder Firewall mit mehreren frei konfigurierbaren Port wie z.B. Cisco usw. supporten. Du kannst also jeden dieser Router oder Firewall verwenden wie z.B. OPNsense / pfSense, Mikrotik oder die üblichen Verdächtigen von TP-Link und Co.
Wenn du nach Dual WAN mit dem entsprechenden Hersteller, Firewall Name googelst erhältst du zig Links zu der Thematik.
https://www.heise.de/select/ct/2016/24/1479992026108405
https://docs.opnsense.org/manual/how-tos/multiwan.html
2xWAN 2xLAN EIN Gateway an EINEM Mikrotik Router
Usw. usw.
Alles kein Hexenwerk und z.B. üblicher Standard in Firmennetzen mit WAN Redundanz.
Deine Anforderungen sind damit alle problemlos umsetzbar aber mit einigen Anpassungen:
Wenn du nach Dual WAN mit dem entsprechenden Hersteller, Firewall Name googelst erhältst du zig Links zu der Thematik.
https://www.heise.de/select/ct/2016/24/1479992026108405
https://docs.opnsense.org/manual/how-tos/multiwan.html
2xWAN 2xLAN EIN Gateway an EINEM Mikrotik Router
Usw. usw.
Alles kein Hexenwerk und z.B. üblicher Standard in Firmennetzen mit WAN Redundanz.
Deine Anforderungen sind damit alle problemlos umsetzbar aber mit einigen Anpassungen:
- Der Dual WAN Router geht dann mit seinen 2 WAN Ports einmal an die VDSL Fritte und einmal an die LTE Fritte und macht darüber dann ein Balancing, Failover oder Policy Routing je nachdem welche Balancing Regeln du dafür definierst. Da bist du frei in der Gestaltung denn diese Policies bestimmt immer DU selber als Admin mit deiner individuellen Konfig.
- Der Dual WAN Router / Firewall bedient die bestehenden Fritten über seine WAN Ports dann mit einer simplen Router Kaskade. Das bedeutet die Fritte auf die du keinen Zugriff hast kann so bleiben wie sie ist. Die 2te Fritte muss aber umgestellt werden in der IP Adressierung! Das ist logisch, denn mit zwei identischen IP Netzen am WAN Port ist ein IP Routing, sprich eine eindeutige Wegefindung technisch unmöglich. Weisst du auch selber...
- Alle anderen Anforderungen sind simpler Standard und supportet jedes Multi WAN Router oder Firewall System. Die Anforderung eines integrierten APs engt die Hardware allerdings etwas ein. Da bist du dann vermutlich mit einem Mikrotik hAP ax Lite oder hAP ax2 usw. am besten bedient. Denkbar ist auch ein Mikrotik der bereits auch LTE integriert hat wie den hAP ax Lite mit LTE. Dann hast du eine einzige Box für kleines Geld die dir LTE, WLAN, LAN und Dual WAN Load Balancing bzw. Failover realisiert.
1
Danke für deine ausführliche Rückmeldung!
Ja, das mit den zwei verschiedenen IP-Netzen hatte ich mir fast gedacht. Ist aber auch kein Hexenwerk, die einzurichten.
Da die Auswahl an Multi-WAN-Routern mit integriertem WLAN Access Point aber wirklich verschwindend gering ist, würde ich mich noch über ein paar weitere Empfehlungen freuen. Natürlich schaue ich selbst auch weiter!
(Einen separaten Access Point dafür aufzustellen wollte ich vermeiden!)
P.S., es dürfen auch gerne mehr wie 4 LAN-Ports vorhanden sein. Aktuell muss ich noch schauen, wie viele wirklich an meinem Cisco angeschlossen (und auch benutzt) werden.
Ja, das mit den zwei verschiedenen IP-Netzen hatte ich mir fast gedacht. Ist aber auch kein Hexenwerk, die einzurichten.
Da die Auswahl an Multi-WAN-Routern mit integriertem WLAN Access Point aber wirklich verschwindend gering ist, würde ich mich noch über ein paar weitere Empfehlungen freuen. Natürlich schaue ich selbst auch weiter!
(Einen separaten Access Point dafür aufzustellen wollte ich vermeiden!)
P.S., es dürfen auch gerne mehr wie 4 LAN-Ports vorhanden sein. Aktuell muss ich noch schauen, wie viele wirklich an meinem Cisco angeschlossen (und auch benutzt) werden.
Das ist doch viel zu teuer, eine eierlegende Wollmilchsau in großer Ausbaustufe zu kaufen. Nimm einen Multi-Wan-Router, einen Switch, einen AP. Vor allem beim AP sind die integrierten in der Regel nicht ansatzweise so leistungsfähig, wie ein kleiner separater.
Wenn du Cisco affin bist kannst du dir auch einen preiswerten refurbished Cisco 896er holen. Der löst deine Anforderung ebenso mit links... 
Guckst du dazu auch HIER.
Guckst du dazu auch HIER.
Auf Grund der eventuell benötigten Ethernet-Ports (4+), bin ich gerade auf den MikroTik RB4011iGS+5HacQ2HnD-IN gestoßen. Habe allerdings auf die Schnelle nichts zu mehreren WAN/Dual-WAN Ports gefunden.
Ob dieser das unterstützt?
Ob dieser das unterstützt?
Die Ports auf diesen Routern sind alle frei konfigurierbar und NICHT an eine feste Verwendung WAN / LAN gebunden.
Bei professionellen bzw. semiprofessionellen Routern ist sowas üblicher Standard. Feste Zuweisungen gibt es in der Regel nur bei Billo Consumer Plaste Routern.
Bei professionellen bzw. semiprofessionellen Routern ist sowas üblicher Standard. Feste Zuweisungen gibt es in der Regel nur bei Billo Consumer Plaste Routern.
1
Ich habe mir soeben den MikroTik RB4011iGS+5HacQ2HnD-IN gekauft. Mal schauen!
1
So, der Mikrotik ist da und wartet auf seine Einrichtung!
An dieser Stelle aber gleich nochmal eine Frage zum integrierten WLAN-Modul, welches als PCI-Express-Karte ausgeführt sein soll:
Es wird max. WLAN-AC unterstützt. Die Karte lässt sich zwar austauschen, aber kann man einfach eine mit WLAN-AX nachrüsten?
Unterstützt das neueste RouterOS diese Hardware überhaupt und wenn ja, wo finde ich dazu weitere Informationen?
An dieser Stelle aber gleich nochmal eine Frage zum integrierten WLAN-Modul, welches als PCI-Express-Karte ausgeführt sein soll:
Es wird max. WLAN-AC unterstützt. Die Karte lässt sich zwar austauschen, aber kann man einfach eine mit WLAN-AX nachrüsten?
Unterstützt das neueste RouterOS diese Hardware überhaupt und wenn ja, wo finde ich dazu weitere Informationen?
@aqui irgendwie ist dein letzter Kommentar hier nicht zu lesen (trotz Benachrichtigung). Hattest du ihn wieder entfernt?
Bist du dir wirklich sicher das du "WLAN" also WiFi oben meinst??
WLAN Module gibt es bei Mikrotik gar nicht zum Nachrüsten, es gibt nur Mobilfunk Module! Im Gegensatz zu WiFi macht es da auch Sinn wegen der unterschiedlichen HF Bänder die in unterschiedlichen Ländern verwendet werden.
https://help.mikrotik.com/docs/spaces/ROS/pages/13500447/Peripherals
WLAN Module gibt es bei Mikrotik gar nicht zum Nachrüsten, es gibt nur Mobilfunk Module! Im Gegensatz zu WiFi macht es da auch Sinn wegen der unterschiedlichen HF Bänder die in unterschiedlichen Ländern verwendet werden.
https://help.mikrotik.com/docs/spaces/ROS/pages/13500447/Peripherals
@aqui ja, der Mikrotik soll eine PCIe-Karte für die WLAN-Standards 802.11bgn (2,4GHz) sowie 802.11ac (5GHz) an Bord haben - ich habe auch 2 verfügbare Zugangspunkte.
Das war so schon richtig ausgedrückt - ein extra Mobilfunk-Modul benötige ich nicht, da ja bereits die zweite Fritzbox als LTE/5G Gateway fungiert.
Diese PCIe-Karten mit 802.11ax gibt es ja wie Sand am Meer auf dem Markt - interessant wäre eine Kompatibilitätsliste, was den jeweiligen Wireless-Chip angeht und ob dieser mit dem Mikrotik zusammenarbeitet (soll also nur eine Austauschkarte sein).
Das war so schon richtig ausgedrückt - ein extra Mobilfunk-Modul benötige ich nicht, da ja bereits die zweite Fritzbox als LTE/5G Gateway fungiert.
Diese PCIe-Karten mit 802.11ax gibt es ja wie Sand am Meer auf dem Markt - interessant wäre eine Kompatibilitätsliste, was den jeweiligen Wireless-Chip angeht und ob dieser mit dem Mikrotik zusammenarbeitet (soll also nur eine Austauschkarte sein).
der Mikrotik soll eine PCIe-Karte für die WLAN-Standards an Bord haben
Gut, wenn dem so ist und die wechselbar sind müsste der 4011er ja einen Wartungsschacht, Erweiterungsslot etc. dafür haben. Kannst du den denn sehen und auch die aktuell verbauten Karten dort sehen?Ich kenne das 4011er Modell jetzt nicht aus dem FF und das 4011er Hardware Handbuch hat keinerlei Hinweise dazu. In der offiziellen Router HW Übersicht bei MT taucht das Modell auch nicht mehr auf. Zudem sind mir wechselbare WiFi Module mit Ausnahme von externen WiFi USB Sticks bei Mikrotik generell unbekannt aber das muss nichts heissen. Wenn das 4011er Hardware Handbuch darauf hinweist sind die ja dann auch tauschbar. Eine offizielle Doku dazu gibt es aber nicht, zu mindestens findet man diese nicht.
In der offiziellen Kompatibilitätsliste taucht deshalb auch keinerlei WiFi Hardware auf.
Wenn sie in den Innereien im Gehäuse selber verbaut sind ohne Wechseloption durch den Benutzer musst du dir gut überlegen die dann zu tauschen, denn das ist Bastelei at your own risk und hat natürlich Einfluss auf die Gewährleistung.
Mikrotik verbaut in der Regel Atheros oder Qualcom Chipsätze in der WiFi Hardware. Wenn du also entsprechende Karten findest stehen die Chancen nicht schlecht das das rennt zumal du ja auch handelsübliche WiFi USB Sticks an den Modellen mit USB Port betreiben kannst.
Allerdings ist das Frickelei auf eigene Gefahr wenn es nicht offiziell ist, was du ja auch selber weisst. Mikrotik ist keine offene Bastelplattform wie OPNsense oder pfSense. Versuch macht da also klug wenn du das Risiko eingehen willst...
Andernfalls steht es dir ja frei ein kurzes Email an den Mikrotik Support zu senden und sicherheitshalber nachzufragen. In der Regel sind die sehr enagiert und freundlich und antworten immer zeitnah.
1
@aqui Ich weiß, dass von den zwei Frequenzbändern ein Atheros-Chipsatz verbaut ist. Für den anderen müsste ich nochmals im GUI nachsehen, die Chipsätze sind dort aufgelistet. Und ja, ich bin mir auch ziemlich sicher, dass ich nach einem Blick von unten ins Gehäuse eine Steckkarte gesehen habe.
Ich werde diesbezüglich mal den Support kontaktieren, was die Kompatibilität der Steckkarten betrifft.
Ich habe das zwar anfangs befürchtet, aber ist es möglich, das RouterOS auch auf Deutsch umzustellen? Das ist jetzt für mich kein Problem, aber nur der Interesse halber. Ersten Recherchen nach soll das nur über bestimmte "Skins" möglich sein?
Nebenbei fehlt mir auch noch eine Bedienungsanleitung; diese war vom Verkäufer nicht mehr vorhanden.
Gibt es diese als PDF (und auf deutsch)?
Ich werde diesbezüglich mal den Support kontaktieren, was die Kompatibilität der Steckkarten betrifft.
Ich habe das zwar anfangs befürchtet, aber ist es möglich, das RouterOS auch auf Deutsch umzustellen? Das ist jetzt für mich kein Problem, aber nur der Interesse halber. Ersten Recherchen nach soll das nur über bestimmte "Skins" möglich sein?
Nebenbei fehlt mir auch noch eine Bedienungsanleitung; diese war vom Verkäufer nicht mehr vorhanden.
Gibt es diese als PDF (und auf deutsch)?
aber ist es möglich, das RouterOS auch auf Deutsch umzustellen?
Ist du denn auch deutsche Bananen??Ist m.E. nicht supportet. Macht auch so gut wie kein Hersteller nicht mal die Premium Hersteller.
Gibt es diese als PDF
Ist alles auf der Herstellerseite zu finden. Auch auf YouTube gibt es entsprechende Herstellerfilmchen. https://help.mikrotik.com/docs/spaces/UM/pages/19136528/RB4011iGS+RM
Router OS selber ist ja nicht Hardware abhängig, da das auf allen Routerplattformen.
Als Mikrotik Anfänger ist es zum Starten deutlich einfacher das WinBox Konfig Tool zu verwenden als WebGUI oder CLI.
Du findest das Tool zum Download für alle Betriebssysteme auf der Mikrotik Download Seite:
https://mikrotik.com/download
Achte auch darauf das du zum Starten den RB4011 auf das aktuelle Stable Release upgedatet hast inkl. des Bootloaders. Unter System -> Routerboard in der WinBox.
@aqui Ich habe gestern schon mal die WAN/LAN-Clients angeschlossen sowie Winbox eingerichtet. Der IP-Bereich der zweiten Fritzbox wurde entsprechend auch abgeändert.
Somit habe ich nun folgendes Setup, wobei es nun gilt, Multi WAN entsprechend einzurichten. Das Interface "WAN2" habe ich gestern auch schon mal eingestellt. Eth3-Eth10 sind als normale LAN-Zugänge konfiguriert:
Im Allgemeinen muss ich mich erst noch etwas durch die Settings fummeln; die sind schon sehr umfangreich und ich hatte bislang noch kaum Zeit dafür.
Eine Anfrage an Mikrotik bezüglich eines Upgrades des WiFi-Moduls auf 802.11ax ist ebenfalls gestern raus.
Somit habe ich nun folgendes Setup, wobei es nun gilt, Multi WAN entsprechend einzurichten. Das Interface "WAN2" habe ich gestern auch schon mal eingestellt. Eth3-Eth10 sind als normale LAN-Zugänge konfiguriert:
- WAN1: Netz A (192.168.178.0)
- WAN2: Netz B (192.168.188.0)
- Eth3-Eth10: Netz A/B (Zuweisung)
Im Allgemeinen muss ich mich erst noch etwas durch die Settings fummeln; die sind schon sehr umfangreich und ich hatte bislang noch kaum Zeit dafür.
Eine Anfrage an Mikrotik bezüglich eines Upgrades des WiFi-Moduls auf 802.11ax ist ebenfalls gestern raus.
Suche nach "Mikrotik dual WAN" oder auch "Mikrotik Load Balancing" auch mit der hiesigen Such Funktion. Es gibt zig Beispiele zu der Thematik. Z.B.
Mikrotik Dual WAN PCC
usw.
Mikrotik Dual WAN PCC
usw.
1
Wenn das denn nun die Lösung war bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
@aqui leider noch nicht ganz; ich stehe noch vor einigen Hürden, die ich noch nicht überwinden konnte. Sorry, ich hatte noch keine Zeit gefunden um mich wieder zu melden. Folgendes klappt mit meiner Config noch nicht oder ist fehlerhaft:
Dazu nochmal kurz erwähnt: Load-Balancing benötige ich nicht.
- der DNS-Server der 2. Fritz!Box (wan2) übersetzt die lokalen IP-Adressen nach Anpassung des IP-Netzes auf 192.168.188.0/24 nicht auf die Hostnamen (ein Ping auf einen lokalen Hostnamen spuckt die vorherige IP aus dem Standard-Netz 192.168.178.0/24 aus)
- WAN-Failover funktioniert nur, wenn der zweite Port am Switch unter Bridge->Ports (wan2) deaktiviert wurde (unter Interfaces ist er jedoch weiterhin aktiviert!)
- explizite Zuweisung einzelner LAN-Clients auf entsprechender WAN-Schnittstelle, die nicht vom Failover berührt werden sollen, problematisch
- Verknüpfung von Netz A (192.168.178.0/24) mit Netz B (192.168.188.0/24) problematisch (Interfaces WiFi1/WiFi2 kann jeweils nur ein Netz zugewiesen werden)
- geplant ist ein MikroTik Netz C (192.168.88.0/24), wobei der MikroTik seine Standard-Adresse als zentralen Zugriffspunkt behält (static) und die Clients nur per DHCP vom Netz A/B bedient werden
- die IP-Routen sind möglicherweise fehlerhaft
Dazu nochmal kurz erwähnt: Load-Balancing benötige ich nicht.
- Wie ist die 2te Fritte diesbezüglich eingerichtet? Screenshots vom Setup? Die 2te Fritte sollte ebenso wie die Erste den DNS Server vom an ihr angeschlossenen Provider dynamisch lernen.
- Der 2te WAN Port darf keinesfalls Memberport der Bridge sein!! Logisch, denn dan ist er ein Layer 2 Port. Er MUSS ein dedizierter Routing Port sein und darf niemals irgendei Memberport einer Bridge sein! Hier hast du einen gravierenden Fehler im MT Setup gemacht!
- Die Zuweisung der LAN Client machst du über eine Routing Policy über die Client IP. Diese muss dann via Mac Reservierung erfolgen damit der Client immer eine feste IP hat. Ist das geschehen? Wie sieht die Policy aus? WinBox Screenshots des Policy Setups?
- Verknüpfung von Netz A und B muss erwartungsgemäß problematisch sein wenn der 2te WAN Port Memberport einer L2 Bridge ist. Das das dann niemals funktionieren kann ist klar und erwartbar.
- Das das Netz C am Mikrotik liegt ist klar und ein klassisches Standard Setup. Das ist das LAN Netz was über die Bridge realisiert ist mit der entspr. 88.1er Bridge IP. Das die Clients von den DHCP Servern der Fritten A und B bedient werden ist kompletter Unsinn und kann so natürlich niemals klappen, da die Fritten an routebaren WAN Ports die nicht Member einer Bridge sind angeschlossen sind. Routing blockt bekanntlich jegliches Broadcasting auf dem DHCP basiert. Folglich werden DHCP Broadcasts aus dem .88.0er Netz niemals an den Fritten landen. Hier machst du einen gravierenden Denkfehler eines Dial WAN Setups!
Die Clients bleiben immer im .88.0er Netz und bekommen auch nur das ihre IPs. Auf Basis der Routing Policy (deshalb heisst es auch PBR Policy Based Routing) über ihre 88er IP und ggf. auch Dienst (TCP UDP Port) wird dann entschieden ob ihr Traffic über WANport 1 (Fritte 1) oder WANport 2 (Fritte 2) ins Internet geroutet wird. Beides mit gleichzeitigem Failover.
Eben das klassische Setup und Verhalten eines Dual WAN Balancing Routers.
Besonders die beiden vorletzten Sätze oben lassen leider befürchten das du das gesamte Setup nicht oder nicht richtig verstanden hast?!
"IP Routen" benötigt man bis auf die beiden Default Routen auf Fritte 1 und Fritte 2 nicht.
Eine kurze Skizze und ein paar WinBox Screenshots über dein aktuelles Setup würde bei Troubleshooting allen helfen...
@aqui
Danke für deine ausführliche Rückmeldung. Es stimmt, hier sind mir wohl einige Fehler unterlaufen.
Derzeit kann ich zwar keine Anhänge mitsenden, da ich noch auf der Arbeit bin, aber vielleicht könntest Du mir mal erklären, wie sich bestimmte Interfaces (in meinem Fall wan2) von der Bridge entfernen lassen? Ich habe dazu nämlich keine Möglichkeit gefunden.
Außerdem wäre da noch - wie bereits erwähnt - das Problem, dass das Failover nur auf bestimmte Clients konfiguriert werden soll. Andere sollen davon unberührt bleiben.
Ich habe mir diesbezüglich mehrere Tutorials angesehen und die Config läuft bislang immer noch nicht...
Und die Zeit zum Einrichten hält sich derzeit auch sehr in Grenzen.
Danke für deine ausführliche Rückmeldung. Es stimmt, hier sind mir wohl einige Fehler unterlaufen.
Derzeit kann ich zwar keine Anhänge mitsenden, da ich noch auf der Arbeit bin, aber vielleicht könntest Du mir mal erklären, wie sich bestimmte Interfaces (in meinem Fall wan2) von der Bridge entfernen lassen? Ich habe dazu nämlich keine Möglichkeit gefunden.
Außerdem wäre da noch - wie bereits erwähnt - das Problem, dass das Failover nur auf bestimmte Clients konfiguriert werden soll. Andere sollen davon unberührt bleiben.
Ich habe mir diesbezüglich mehrere Tutorials angesehen und die Config läuft bislang immer noch nicht...
Und die Zeit zum Einrichten hält sich derzeit auch sehr in Grenzen.
wie sich bestimmte Interfaces (in meinem Fall wan2) von der Bridge entfernen lassen?
Na ja, das ist eigentlich selbsterklärend und hättest du bestimmt auch selber gefunden... - Auf den Menüpunkt "Bridge" gehen und deine Bridge auswählen
- Dort, wie der Name schon sagt, auf den Reiter "Ports" gehen und den Port markieren
- Dann oben das rote Kreuz klicken und so den Port aus der Bridge Memberlist entfernen.
Andere sollen davon unberührt bleiben.
Dein Internet Zugang ist dann aber bei einem Ausfall dann komplett tot. Aber OK, das ist kein Problem. Über die Policy Liste nagelst du die dann fest auf einen der WAN Ports. Wenn der mal ausfällt geht halt nix mehr.Wie gesagt, welchen Client (IP) du mit welchem Dienst (TCP UDP) über welches WAN Interface schickst ist einzig und allein eine Frage der Policy die du dafür einrichtest.
und die Config läuft bislang immer noch nicht...
Fang doch erstmal ganz einfach mit einer simplen Banalkonfig an.- Default Konfig löschen
- Bridge erstellen und Bridgeports (Lokales LAN) zuweisen. Die 2 WAN Ports sind nicht Member der Bridge!!
- IP Adresse des lokalen LANs aufs Bridge Interface legen und dazu DHCP Server, mit Pool definieren
- WAN Port 1 mit IP 192.168.178.254/24 versehen und WAN Port 2 mit 192.168.188.254/24
- 2 statische Default Routen definieren 0.0.0.0/0 einmal auf die .178.1 (Fritte 1) und die .188.1 (Fritte 2)
- Auf den Fritten je eine statische Route ins .88.0er Netz über .178.254 (Fritte 1) und .188.254 (Fritte 2)
- Fritte 1 an WAN1 stöpseln, Fritte 2 an WAN 2
- Test: Unter WinBox Tools aufs Ping Tool gehen und einmal unter Advanced die Absender IP auf die Bridge IP setzen .88.1 und einmal auf Fritte 1 .178.1 und auf Fritte 2 .188.1 einen Ping Check machen. Sollte klappen. Danach einen Ping Check auf 8.8.8.8 (Internet)
Solltest du eine Konfig mit NAT an den WAN Ports wollen, entfällt die statische Route auf den Fritten und du musst dann Source NAT (Masquerading) an den WAN Ports in der Firewall aktivieren.
Damit kannst du dann schonmal grundsätzlich testen.
Dann definierst du deine Policies welche IP und ggf. Port über welche Fritte und Failover ja oder nein.
So gehst du strategisch und Schritt für Schritt vor und passt die Balancing Konfig entsprechend an.
@aqui
Ich habe erstmal (fast) soweit vorgearbeitet wie von dir beschrieben - der Rest folgt:
Sowie hier die eingerichtete statische Route auf der 2. Fritte:
Auf den Fritten je eine statische Route ins .88.0er Netz über .178.254 (Fritte 1) und .188.254 (Fritte 2)
Da gibt es ja leider das Problem, dass ich auf die Fritte 1 keinen Zugriff habe und daher keine statische Route einrichten kann. Auf der Fritte 2 ist das wiederum kein Problem.Ich habe erstmal (fast) soweit vorgearbeitet wie von dir beschrieben - der Rest folgt:
Sowie hier die eingerichtete statische Route auf der 2. Fritte:
dass ich auf die Fritte 1 keinen Zugriff habe und daher keine statische Route einrichten kann.
Dann bist du gezwungen zu mindestens auf diesem Port NAT / Masquerading zu machen. Mit normalem, transparenten IP Routing sind statische Routen immer erforderlich.Kannst du diese dort nicht konfigurieren bleibt dir nichts anderes als Source NAT dort zu machen.
Mit Source NAT "sieht" die Fritte keine Absender IPs aus Netzen dahinter weil die Absender IP durch das Masquerading auf eine IP Adresse des Fritten LANs umgesetzt wird. Die Fritte "denkt" dann der Absender kommt aus ihrem lokalen Netz. Folglich sind damit dann auch keine statischen Routen erforderlich.
Nur das du das auf dem Radar hast...
Ich habe in der NAT-Firewall eine Regel (Masquerading) auf den Port wan1 erstellt:
Der Zugriff vom MikroTik-Netz 10.10.0.0 aus auf die anderen 2 Netze .178.0 sowie .188.0 klappt nun reibungslos und ich kann auch die beiden Fritten erreichen.
Aber ich habe keinen Internetzugriff vom Netz 10.10.0.0 aus. Hier scheint immer noch etwas nicht zu stimmen.
Liegt es eventuell an noch fehlenden Policy-Regeln? Da ich auch die Ports noch nicht zugewiesen habe, welche nicht vom Failover betroffen sein sollen. Hier fehlt mir erneut das How-To, aber ich schaue in der Zwischenzeit weiter!
Der Zugriff vom MikroTik-Netz 10.10.0.0 aus auf die anderen 2 Netze .178.0 sowie .188.0 klappt nun reibungslos und ich kann auch die beiden Fritten erreichen.
Aber ich habe keinen Internetzugriff vom Netz 10.10.0.0 aus. Hier scheint immer noch etwas nicht zu stimmen.
Liegt es eventuell an noch fehlenden Policy-Regeln? Da ich auch die Ports noch nicht zugewiesen habe, welche nicht vom Failover betroffen sein sollen. Hier fehlt mir erneut das How-To, aber ich schaue in der Zwischenzeit weiter!
Aber ich habe keinen Internetzugriff vom Netz 10.10.0.0 aus
WAS genau bedeutet für dich die Aussage kein Internet ??Scheitert es schon an der nackten IP Connectivity wenn du ohne DNS einmal eine nackte Internet IP wie 8.8.8.8 pingst und das sowohl von einem Client als auch über das Mikrotik Ping Tool wenn du da unter "Advanced" als Absender IP die lokale 10.10.0.0er IP setzt??
Hast du diese 2 Ping Tests ausgeführt??
Oder hast du schlicht und einfach nur ein DNS Problem so das nur Hostnamen nicht aufgelöst werden können. Da wäre es dann etwas laienhaft ein einfaches DNS Problem als kein Internet zu bezeichnen?
Hier wäre es sehr hilfreich auf dem Client (Winblows) einmal ein ipconfig -all einzugeben um zu checken WELCHEN DNS Server du den Clients mitgibst.
Ein nslookup www.heise.de zeigt dir dann auch explizit welcher DNS Server zur Auflösung verwendet wird.
Ebenso kannst du einen DNS Server erzwingen wenn deiner Hostnamen nicht auflösen kann z.B. Quad9 was dann mit nslookup www.heise.de 9.9.9.9 passiert.
Die Kardinalsfrage bei einer möglichen DNS Problematik ist also was im Mikrotik bei dir unter IP --> DNS konfiguriert ist sofern du den Mikrotik als Proxy DNS verwendest und ob dort der Haken "Allow remote requests" gesetzt ist.
2ter Punkt ist der DHCP Server im 10.10.0.0/24er Netz welche DNS Server IP dort an die Clients propagiert wird. Leider dazu wenig Infos von dir!
Traceroute (tracert bei Winblows) wäre auch ein Tool die Routing Hops genau nachvollziehen zu können.
Es wäre sehr hilfreich wenn du diesen Sachverhalt zu mindestens einmal etwas eingrenzen könntest um zu wissen wo genau man mit dem Troubleshooting zur Thematik kein "Internet" ansetzen muss!
2ter Punkt ist der DHCP Server im 10.10.0.0/24er Netz welche DNS Server IP dort an die Clients propagiert wird.
Daran hatte es gelegen; es war kein DNS-Server für die Namensauflösung hinterlegt. Ich habe nun für das Netz 10.10.0.0/24 dort die DNS-Server der beiden Fritten eingetragen, wobei der DNS-Server .188.1/24 als primär und .178.1/24 als sekundär hinterlegt wurde. Das dürfte das Problem behoben haben.Die getesteten Pings vom Client sowie MikroTik wurden zwar beantwortet, aber es war schlicht und einfach keine Namensauflösung möglich; ipconfig -all hatte 3 unbekannte DNS-Adressen ausgespuckt und mir wurde klar, dass da etwas nicht stimmt.
Die Kardinalsfrage bei einer möglichen DNS Problematik ist also was im Mikrotik bei dir unter IP --> DNS konfiguriert ist sofern du den Mikrotik als Proxy DNS verwendest und ob dort der Haken "Allow remote requests" gesetzt ist.
Unter diesen Punkten habe ich (zunächst) keine Server hinterlegt und auch den Punkt "Allow Remote Requests" deaktiviert gelassen (in einem Guide habe ich aber erfahren, dass hier die öffentlichen Google-DNS eingetragen werden sollen)?dass hier die öffentlichen Google-DNS eingetragen werden sollen
Na ja, das machen heutzutage ja nichtmal mehr Dummies. Google erstellt, wie jederman weiss, ein Nutzerprofil deines Internet Verhaltens und vermarktet das mit Dritten. Datensicherheit sieht sicher anders aus. Jeder vernünftige Admin setzt dort die DNS Server seines jeweiligen Providers ein die er auf dessen Setup und Doku Seite findet.Sofern man dynamische IP Adressen an den WAN Ports verwendet lernt der Mikrotik das erwartungsgemäß alles dynamisch. Wenn nicht, muss man natürlich eine Weiterleitungs DNS Server IP hinterlegen wenn man eine DNS Serverfunktion auf dem Mikrotik haben möchte, wie es ja durch die Bank bei Routern oder Firewalls üblich ist. Bei Fritten usw. ja auch nicht anders...
Will man dies nicht, kann man es auch weglassen muss dann aber natürlich erreichbare DNS Server IPs auf den Clients verwenden damit die Namensauflösung dort klappt. Du kannst also auch den Clients direkt die Fritten DNS per DHCP mitgeben. Beides funktioniert.
Mit den 2 DNS über den Mikrotik hast du aber immer eine Backup Funktion.
Alles natürlich simple DNS Binsenweisheiten beim Schwerpunkt Netzwerk...
Mit den 2 DNS über den Mikrotik hast du aber immer eine Backup Funktion.
Das heißt, ich kann mein DNS-Setup so beibehalten? Oder würdest du noch etwas daran ergänzen?Ich komme nun noch zu einigen (hoffentlich letzten) Punkten:
- Du hattest anfangs von Routing Policy Regeln geschrieben. Welche Schritte muss ich nun noch durchführen, um zu bestimmen, welche Clients explizit den WAN-Port 1 oder 2 nutzen und unabhängig(!) vom Failover agieren?
- Der Cisco SPA112 am MikroTik überträgt keine eingehenden/ausgehenden Faxe mehr an meinen Drucker. Der SIP-Proxy ist zwar definitiv auf 192.168.178.1 registriert+aktiv und die DNS-Adressen auf .188.1/.178.1 angepasst, aber die Fehlermeldung am Faxgerät besagt nur "keine Antwort". Der SPA112 selbst bezieht seine IP per DHCP vom MikroTik-Netz
- Der ISP des WAN1 unterstützt IPv4+IPv6, der ISP von WAN2 jedoch nur IPv4. Bei einem Failover von WAN2 auf WAN1 ist jedoch keine IPv6-Unterstützung/Weiterleitung seitens MikroTik gegeben
Ersteres machst du immer über Mangle Rules. Siehe auch YT Tutorials wie z.B.
https://www.youtube.com/watch?v=nlb7XAv57tw (ab 9:50)
Statt Netzwerk gibst du hier dedizierte Client IPs an die fest WAN1 oder 2 nutzen sollen oder müssen
Was den Cisco anbetrifft ist die Beschreibung leider etwas oberflächlich, denn man muss nur wild raten ob das ein Problem der VoIP Verbindung an sich oder schlicht und einfach nur der Verbindung zw. SPA und Drucker ist oder, worst case, beides. Hilfreich wäre also zu wissen ob Faxe generell überhaupt ankommen.
Auffällig ist hier ein (vermutlicher) Fehler. VoIP erzwingt immer den DNS Server des jeweiligen VoIP Proviers zu nutzen um Providerspezifische VoIP Parameter für die Endgeräte zu erhalten. Es ist also zwingend das diese Geräte immer nur den WAN Port zu ihrem Provider nutzen und auch zwingend den dazu korrespondierenden DNS. Hier nutzt du die .178.1er Fritte aber den (primären) DNS der .188.1er Fritte so das es eine DNS Diskrepanz der Provider gibt was für VoIP zum Fehler führt. Das Endgerät MUSS immer den DNS nutzen der zum korrespondierenden VoIP Provider gehört.
Beim Failover ist das egal. Wenn die Endgeräte keine v6 Verbindung herstellen können weichen sie bekanntlich automatisch auf v4 aus.
https://www.youtube.com/watch?v=nlb7XAv57tw (ab 9:50)
Statt Netzwerk gibst du hier dedizierte Client IPs an die fest WAN1 oder 2 nutzen sollen oder müssen
Was den Cisco anbetrifft ist die Beschreibung leider etwas oberflächlich, denn man muss nur wild raten ob das ein Problem der VoIP Verbindung an sich oder schlicht und einfach nur der Verbindung zw. SPA und Drucker ist oder, worst case, beides. Hilfreich wäre also zu wissen ob Faxe generell überhaupt ankommen.
Auffällig ist hier ein (vermutlicher) Fehler. VoIP erzwingt immer den DNS Server des jeweiligen VoIP Proviers zu nutzen um Providerspezifische VoIP Parameter für die Endgeräte zu erhalten. Es ist also zwingend das diese Geräte immer nur den WAN Port zu ihrem Provider nutzen und auch zwingend den dazu korrespondierenden DNS. Hier nutzt du die .178.1er Fritte aber den (primären) DNS der .188.1er Fritte so das es eine DNS Diskrepanz der Provider gibt was für VoIP zum Fehler führt. Das Endgerät MUSS immer den DNS nutzen der zum korrespondierenden VoIP Provider gehört.
Beim Failover ist das egal. Wenn die Endgeräte keine v6 Verbindung herstellen können weichen sie bekanntlich automatisch auf v4 aus.
Das Endgerät MUSS immer den DNS nutzen der zum korrespondierenden VoIP Provider gehört
Hier besteht leider das Problem seitens Cisco, dass 2 DNS-Server eingetragen sein müssen.Ansonsten wird die Config nicht gespeichert. Wenn ich mich recht erinnere, war als sekundärer DNS sogar ein öffentlicher Google-DNS eingetragen.
seitens Cisco
Welches ominöse Cisco Endgerät soll das denn sein? Ich kenne keins was das erzwingt?Cisco Telefone für All IP Anschluss, FritzBox und andere VoIP Anlagen fit machen
ein öffentlicher Google-DNS eingetragen.
Bei Cisco ganz sicher nicht... Außerdem würde damit sofort die VoIP Auflösung scheitern weil der DNS immer zum SIP Provider passen muss. Externe DNS Requests auf interne SIP Geräte supportet kein Provider der eigene Infrastruktur hat.Wenn du meinst aber doch, trägst du als DNS halt die dazu korrespondierende Fritte ein und als sekundären DNS die DNS Server IP des dazugehörigen Providers. Jeder Provider hat eigene DNS Server. Im Zweifel erfährst du dir zur dazugehörigen Fritte welchen DNS die dynmaiscxh vom Provider lernt.
Auf solch einfachen Tricks kommt man doch auch von selber...
Was den Cisco anbetrifft ist die Beschreibung leider etwas oberflächlich, denn man muss nur wild raten ob das ein Problem der VoIP Verbindung an sich oder schlicht und einfach nur der Verbindung zw. SPA und Drucker ist
Ich ergänze hier noch mal der Verständnis halber einige Infos zum Setup meines SPA112:- SPA112-Verbindung zum Faxgerät über Line 1 (RJ11-Telefonkabel)
- SPA112-Anschluss (LAN) an MikroTik-Port eth5 (10.10.0.239)
- SPA112-Anmeldung als SIP-Client an die 1. Fritzbox (192.168.178.1) zwingend notwendig
- SIP-Account in der 1. Fritzbox verweist auf eine von drei Rufnummern, die als Fax genutzt wird
- Als Proxy/Registrar wurde 192.168.178.1 hinterlegt
- Die DNS-Server im SPA wurden nun auf (1.) 192.168.178.1 sowie (2.) 0.0.0.0 hinterlegt
- Faxübertragung mit T.38 (abwärtskompatibel eingestellt)
Nochmal zusammengefasst:
Die Verbindung vom SPA zur 1. Fritzbox steht zwar und SIP ist auch registriert, aber das Faxgerät "antwortet" scheinbar nicht. Merkwürdig ist, dass vor dieser Umstellung auf MikroTik (alle Clients waren zuvor im .178.0 Netz) es noch problemlos lief.
Eventuell handelt es sich hier doch um einen lokalen Netzwerkfehler? Oder besteht ein Zusammenhang mit einem noch nicht konfigurierten Mangle Rule auf wan1?
Ersteres machst du immer über Mangle Rules. Siehe auch YT Tutorials wie z.B.
https://www.youtube.com/watch?v=nlb7XAv57tw (ab 9:50)
Statt Netzwerk gibst du hier dedizierte Client IPs an die fest WAN1 oder 2 nutzen sollen oder müssen
Nichtsdestotrotz benötige ich hier (trotz Guide) erneut noch etwas Hilfe bei der Einrichtung der Mangle Rules, da ich dem nicht ganz folgen kann. Welche Schritte muss ich hier explizit ausführen, um explizit Clients am wan1/wan2 zuzuordnen und vom Failover auszuschließen?https://www.youtube.com/watch?v=nlb7XAv57tw (ab 9:50)
Statt Netzwerk gibst du hier dedizierte Client IPs an die fest WAN1 oder 2 nutzen sollen oder müssen
Ich werde in der Zwischenzeit weitere Tests mit dem SPA112 und Faxen unternehmen.
aber das Faxgerät "antwortet" scheinbar nicht.
Scheinbar?? 🤔Hast du mal mit der Torch Funktion oder einem Wireshark Trace den IP Traffic vom SPA überprüft was genau der macht wenn ein SIP Request von der Fritte kommt?
Man kann nur vermuten das der Reply Traffic des SPA dann über den falschen WAN Port rausgeht und damit ins Nirwana. Das solltest du mal checken.
