apt-get
Goto Top

Zweites Gateway erreichbar machen

Hallo zusammen und einen schönen Sonntag.

Ich bin seit kurzer Zeit stolzer Besitzer eines MikroTik Routerboards und bin soweit auch mehr als zufrieden.


Ich stehe allerdings vor einem letzten Problem. Und zwar habe ich zwei DSL Anschlüsse.

Beide DSL Anschlüsse werden durch jeweils eine FritzBox aufgebaut. Hinter den Fritzboxen hängt der MikroTik. FritzBox 1 ist WAN1 (ether6), FritzBox 2 WAN2 (ether8).
Soweit so gut, der DHCP Client bekommt von jeder Fritzbox jeweils die IPs. (WAN1 192.168.177.2, WAN2 192.168.188.2)

Die Restlichen Ports sind der LAN Bridge zugeteilt.

Das Internet geht auch (über WAN1), bis hierhin ist alles in Ordnung.

ich verstehe nun einfach nicht wie ich das zweite Gateway erreichbar machen kann? Ich kann beide Fritzboxen über deren IP aus meinem LAN erreichen, ich weiß jedoch nicht wie ich das zweite WAN richtig konfiguriere.

Muss ich dafür zwingend einen weiteren DHCP Server aufsetzen? Ich hab schon so vieles versucht und gelesen, komme aber nicht zum Erfolg ob mit zweiten DHCP Server oder direkte IP der Fritzbox. Das einzige was ich hinbekommen habe war die zweite Fritzbox direkt mit in mein LAN zu schalten, finde die Lösung aber nicht so elegant und kann dadurch auch keine Traffic Regeln setzen weil dann ja "WAN"2 der Lan Bridge zugeteilt ist. Mit Firewall und Mangle Regeln konnte ich auch kein Erfolg erzielen.


Ich möchte kein Failover und auch keine Ausfallsicherheit, einfach nur die Möglichkeit per DHCP zwei Gateways an bestimmte Clients zu verteilen bzw. das zweite Gateway überhaupt verfügbar/erreichbar zu machen.


Ich weiß nicht ob das ausschlaggebend ist, aber damit ich nichts vergesse: ether3 und ether4 laufen im LACP Bond.

Es hat sich ja auch einiges im RouterOS getan weshalb vllt viele Anleitungen nicht mehr ganz aktuell sind? Und viele Videos auf Youtube sind auch schon einige Jahre alt.

Ich bin für jede kleine Hilfe sehr dankbar.

Liebe Grüße

Content-Key: 1183051582

Url: https://administrator.de/contentid/1183051582

Printed on: July 21, 2024 at 01:07 o'clock

Mitglied: 149062
149062 Aug 22, 2021 updated at 13:16:14 (UTC)
Goto Top
Nennt sich Policy Routing, und machst du entweder (Methode 1) über das Markieren der Pakete des/der jeweiligen Clients über den IP - Firewall - Mangle Abschnitt in der prerouting Chain, dort mit Aktion "Mark Routing" und einem entsprechenden Routing-Tag. Dann unter ip - routes einen weitere statische Route mit Ziel 0.0.0.0/0 anlegen welche dem Routing Tag zugeordnet ist.
/ip firewall mangle add chain=prerouting src-address=[interne IP des Client's/Subnets] action=mark-routing new-routing-mark=RouteOverFB2  
/ip route add gateway=[IPFritzbox2] Routing-Mark=RouteOverFB2

Methode 2: unter ip - routes - rule eine neue Regel anlegen z.B. Source-Subnet oder IP und ebenfalls das Routing Tag zuweisen, und dann wie oben neue statische Route mit den Tag anlegen, feddisch.
/ip route add gateway=[IPFritzbox2] Routing-Mark=RouteOverFB2
/ip route rule add src-address=[IP oder Subnetz im LAN] table=RouteOverFB2
Member: tikayevent
tikayevent Aug 22, 2021 at 13:04:53 (UTC)
Goto Top
Ich möchte kein Failover und auch keine Ausfallsicherheit, einfach nur die Möglichkeit per DHCP zwei Gateways an bestimmte Clients zu verteilen bzw. das zweite Gateway überhaupt verfügbar/erreichbar zu machen.
So, wie du dir das vorstellst, klappt es nicht, weil das Gateway MUSS im selben IP-Bereich sein wie der Client, der es nutzen will. Bedeutet für dich, dass du, wenn nicht bereits passiert, vom RB ein internes Netzwerk mit einem anderen IP-Netzwerk als die beiden Fritzboxen haben musst.

Zwei Ports des RB musst du aus der Bridge lösen und für deine Fritzboxen nutzen. Diese befinden sich dann nicht mehr im selben Netz wie deine Clients.
Zum Policy Based Routing von RouterOS kann ich dir nicht viel sagen, aber dieses benötigst du dann. Und dann zwingend ein Unterscheidungsmerkmal, anhand dessen du die Clients unterteilst, dass die beim Policy Based Routing unterschiedliche Default Routen zugewiesen bekommen. Dieses kann z.B. ein Bereich von IP-Adressen im internen Netzwerk sein, den du über DHCP-Reservierungen zuordnest.

Hat es einen besonderen Grund für den LACP-Trunk? Ausfallsicherheit kann es bei einem RB nicht sein, würde auch nichts bringen, weil eth3 und eth4 in der Regel am gleichen Switchchip hängen.
Member: apt-get
apt-get Aug 22, 2021 updated at 13:29:44 (UTC)
Goto Top
Danke für Eure schnellen Antworten!


Zitat von @tikayevent:
So, wie du dir das vorstellst, klappt es nicht, weil das Gateway MUSS im selben IP-Bereich sein wie der Client, der es nutzen will.


Um erstmal einen großen Denkfehler meinerseits auszuschließen:

Gehen wir mal davon aus ich habe nun zwei DHCP Netzwerke. LAN 1 ist 192.168.20.0/24 und LAN 2 ist 192.168.22.0/24
Könnte ich dann von LAN 1 das Gateway von LAN 2 erreichen und anders herum oder geht das nicht?


In dem Szenario wo es ging habe ich das DHCP der Fritzbox2 einfach abgeschaltet und diese statisch mit an die LAN Bridge gebunden. Ich hatte dann per DHCP Option einfach ein anderes Gateway zugewiesen (192.168.20.2) das lief dann auch einwandfrei.

Ich dachte ich könnte das schöner mittels zwei Netzwerke lösen.

@149062, ich hab gerade mal Methode 2 getestet und dadurch die Verbindung zu WAN1 verloren.


Villeicht ist es einfacher wenn ich meine Konfiguration mal poste? Kann mir jemand den Befehl dafür sagen?

Zitat von @tikayevent:
Hat es einen besonderen Grund für den LACP-Trunk? Ausfallsicherheit kann es bei einem RB nicht sein, würde auch nichts bringen, weil eth3 und eth4 in der Regel am gleichen Switchchip hängen.

Einfach weil ich den passenden Switch dafür habe nach dem Motto haben ist besser als brauchen ^^


EDIT:

Wenn ich einen zweiten DHCP Server aufsetze und einen LAN Port via Bridge mit dem zweiten Netzwerk verbinde und meinen Rechner per Kabel anschließe erhalte ich eine IP und auch Gateway und DNS werden korrekt gesetzt. Allerdings meldet Windows sofort dass das Netzwerk nicht identifiziert werden kann. Ich habe dann auch kein Netzwerk- und Internetzugriff.

Ich vermute dass hier irgendwas mit der Firewall nicht stimmt.
Member: tikayevent
tikayevent Aug 22, 2021 at 13:49:30 (UTC)
Goto Top
Simple Frage, also bitte auch eine simple Antwort: Was ist das Ziel, was du mit den Fritzboxen und dem RB erreichen willst?

Im Zweifelsfall: Ein Bild hilft mehr als tausend Worte.
Mitglied: 149062
149062 Aug 22, 2021 updated at 14:15:17 (UTC)
Goto Top
@149062, ich hab gerade mal Methode 2 getestet und dadurch die Verbindung zu WAN1 verloren
Soll ja auch du willst ja das der jeweilige Client über das andere GW routet ... funktioniert problemlos.
Beachte die Route-Distances der einzelnen Default-Routes.
Grundlagen zu Routing-Tabellen und wie diese arbeiten solltest du dir mal rein ziehen.
https://de.m.wikipedia.org/wiki/Routingtabelle
Member: apt-get
apt-get Aug 22, 2021 at 14:15:52 (UTC)
Goto Top
Im Grunde möchte ich zwei DHCP Netzwerke haben

192.168.20.0/24 und 192.168.22.0/24

In LAN1 soll WAN1 bereitgestellt werden, in LAN2 WAN2. Schön wäre es am Ende wenn ich beide Netzwerke aus dem anderen erreichen kann. Sollte das nicht funktionieren setze ich lieber auf ein DHCP Netzwerk.

Ich habe viele Clients und einige Server die ich so auf beide Anschlüsse aufteilen möchte.


Ich bin gerade ein Schritt weiter gekommen. LAN2 läuft plötzlich und ich kann auch alle Geräte im anderen Netzwerk erreichen. Allerdings läuft der Internetverkehr über WAN1 und ich kann im LAN2 den Mikrotik nicht erreichen.


Hier mal ein Bild von den Settings.
mikrotik
Member: BirdyB
BirdyB Aug 22, 2021 at 14:26:46 (UTC)
Goto Top
Moin,

warum bindest du die FritzBoxen nicht statisch als WAN1 und WAN2 an und erstellst deine beiden Netzwerke mit dem entsprechenden DHCP-Server auf dem Mikrotik? Dann kannst du darüber den Traffic steuern und der jeweiligen WAN-Verbindung zuordnen.

VG
Member: tikayevent
tikayevent Aug 22, 2021 updated at 14:46:56 (UTC)
Goto Top
Ich würde es dann so regeln, dass die Fritzboxen den DHCP-Server spielen.

Also die Fritzbox konfigurieren, wie du willst, das RB mit je einer Schnittstelle ins die beiden Fritzbox-Netze packen, das RB bekommt in jedem der Netzwerke eine statische, jeweils passende IP. Vorher das RB dumm machen und nach dem ersten Start die Defaultkonfiguration löschen, anschließend die IP-Vergabe machen.

Wenn das läuft, auf den Fritzboxen eine statische Route anlegen, die auf das jeweils andere Netz zeigt, mit der Gateway-IP-Adresse des RB im jeweiligen Netz.

Leider hab ich auf meinem privaten Rechner kein Visio, um das eben grafisch darzustellen.

PS: Sieht kacke aus, aber Paint geht manchmal auch.
unbenannt
Member: aqui
aqui Aug 22, 2021 updated at 14:50:30 (UTC)
Goto Top
Policy based Routing mit Mikrotik 750
Oder bei Dr. Google mal nach "Mikrotik dual wan" suchen. Da gibts jede Menge Treffer und auch ein paar YouTube Filmchen. face-wink

PS: Sieht kacke aus, aber Paint geht manchmal auch.
Das kostenlose "Dia" und Ciscos ICONs helfen dir sofort aus der Misere ! 😉
http://dia-installer.de/index.html.de
https://www.cisco.com/c/en/us/about/brand-center/network-topology-icons. ...
Mitglied: 149062
149062 Aug 22, 2021 updated at 15:14:54 (UTC)
Goto Top
Lasst ihn jetzt einfach mal machen, genug Input hat er ja jetzt wie man es auf unterschiedliche Weise lösen kann.
Er ist eben gerade dabei die steile Lernkurve eines Mikrotik durch zu machen, und da muss er jetzt erst mal selbst durch 😉🖖.
Nur vom Abtippen lernt man halt nix. Da muss man die Zusammenhänge erst mal verstehen und das er beim Mikroktik alles selbst bis ins Detail konfigurieren muss.
Member: aqui
aqui Aug 22, 2021 at 15:39:30 (UTC)
Goto Top
Nur vom Abtippen lernt man halt nix.
Absolut richtig ! 👍
Member: Lochkartenstanzer
Lochkartenstanzer Aug 22, 2021 updated at 17:29:13 (UTC)
Goto Top
Zitat von @apt-get:

Im Grunde möchte ich zwei DHCP Netzwerke haben

192.168.20.0/24 und 192.168.22.0/24

In LAN1 soll WAN1 bereitgestellt werden, in LAN2 WAN2. Schön wäre es am Ende wenn ich beide Netzwerke aus dem anderen erreichen kann. Sollte das nicht funktionieren setze ich lieber auf ein DHCP Netzwerk.

Moin,

das ist "ganz einfach".

  • Du läßt die Fritten in in Ihrer Standardkonfiguration mit den jeweiligen Netzen und DHCP.
  • Du vergibst dem Mikrotik statische IP-dressem zB. 192.168.20.2/24 und 192.168.22.2/24 und aktivierts Routing zwischen diesen Netzen.
  • Du trägst in der Fritte 1 (192.168.20.1/24) eine statische Route ins Netz 192.168.22.0/24 über Gateway 192.168.20.2 ein.
  • Du trägst in der Fritte 2 (192.168.22.1/24) eine statische Route ins Netz 192.168.22.0/24 über Fateway 192.168.22.2 ein.

fertsch würde der Saxe sogn.

lks

PS: Prinzipiell paßt auch aquis Anleitung Mit einem WLAN zwei LAN IP Netzwerke verbinden, wenn Du das W von WLAN wegstreichst. face-smile

PPS: In dem Abschnitt Lösung mit Mikrotik Accesspoint steht prinzipiell schon alles drin, was Du machen mußt, nur, aß Du da genausogut einen normaler MT-Router statt einem AP nehmen kannst.
Member: colinardo
colinardo Aug 23, 2021 updated at 09:40:11 (UTC)
Goto Top
Servus @149062 & @apt-get,

man muss bei der Nutzung der Routing-Rules fürs Policy Routing beachten das bei so einer generellen Routing-Rule wie src-address=192.168.1.0/24 mit der Umleitung auf eine andere Routing-Tabelle auch die schon Konnektierten lokalen Netze in dieser Tabelle hinzufügt denn sonst lenkt der Mikrotik auch Anfragen an lokale Netze über das Default-GW mit diesem Routing-Tag und das führt dann dazu das du Devices in anderen lokalen Subnetzen nicht erreichst (wie du selbst erfahren hast) weil es dann entweder zu einen Routing-Loop mit der vorgelagerten Fritzbox kommt (wenn statische Routen zu den Netzen eingetragen sind) oder aber die Fritzbox die Pakete ins Internet weiterleitet bzw. verwirft da RFC1918.
Will man diese aber nicht von Hand erneut mit dem Routing-tag einpflegen ist es oft sinnvoller über eine Mangle Rule nur die Pakete zu markieren die nicht lokal ausgeliefert werden sollen, und das ganze dann kombiniert mit einer Adress-List, also bspw. so
# create firewall address list with all local lans
/ip firewall address-list 
add address=192.168.1.0/24 list=local-lans
add address=192.168.2.0/24 list=local-lans
add address=192.168.3.0/24 list=local-lans

# mangle rule which marks only external targeted packets
/ip firewall mangle add chain=prerouting src-address=[LAN Subnetz das anderes GW benutzen soll] dst-address-list=!local-lans action=mark-routing new-routing-mark=RouteOverFB2

# default route with routing mark
/ip route add gateway=[IP von Fritzbox2] Routing-Mark=RouteOverFB2

Grüße Uwe
Member: apt-get
apt-get Aug 23, 2021 at 18:30:49 (UTC)
Goto Top
Guten Abend und sorry wegen der späten Antwort, ich habe immer nur begrenzte Zeit für mein Hobby.


Zitat von @149062:
Er ist eben gerade dabei die steile Lernkurve eines Mikrotik durch zu machen, und da muss er jetzt erst mal selbst durch 😉🖖.
Nur vom Abtippen lernt man halt nix. Da muss man die Zusammenhänge erst mal verstehen und das er beim Mikroktik alles selbst bis ins Detail konfigurieren muss.

Oh ja, ich hab den MT seit einer Woche, wenn ich bedenke wo ich letzte Woche noch mit meinem Wissensstand war.. :D Aber ich wusste auf was ich mich einlasse, hatte den MT schon lange auf meiner Wunschliste.
Abtippen möchte ich auch nichts, aber Tutorials sind manchmal eine große Hilfe beim Einstieg.


Bevor ich mich jetzt auf eine Lösung festlege werde ich erst mal in Ruhe eure Antworten und die Links studieren und dann noch mal Rückmeldung geben sofern weitere Fragen entstehen oder ich nicht weiter komme.

Ich bedanke mich erst mal für die vielen Antworten =)
Member: aqui
aqui Aug 23, 2021 at 19:38:12 (UTC)
Goto Top
Die meisten (Administratoren) hier verdienen mit dem "Hobby" ihren Lebensunterhalt !
Member: apt-get
apt-get Sep 05, 2021 updated at 07:54:10 (UTC)
Goto Top
Guten Morgen zusammen. Ich brauche leider noch weitere Hilfe...

Ich hab nun alles mögliche versucht aber bekomm einfach nicht das Ergebnis was ich möchte.
Ich schaffe es nicht WAN2 zu erreichen. Bzw. Ich kann die FritzBox aus meinem LAN an WAN2 erreichen. Versuche ich jedoch einen Ping oder eine Traceroute am Mikrotik über das WAN2 Interface auszuführen erhalte ich immer ein Timeout.

Mein CollectD/InfluxDB kann auf die FritzBox über WAN2 ebenfalls zugreifen. Das Routing scheint also zu laufen, nur ich bekomm keine Route ins Internet.

Ich bin mit meinem Latein am Ende, in Anleitungen und Videos sieht das alles so einfach aus, ich bekomme es nicht zum laufen.

Versuche ich was mit Mangle Rules, sperre ich mich aus WAN1 aus, lösche ich diese wieder erreiche ich WAN1 wieder. Ich würde jetzt sagen ein Konfigurationsfehler aber das gleiche passiert bei einer frischen Konfig mit den minimalsten Einstellungen. Ich hab auch etliche Routen ausprobiert, jedoch ohne Erfolg und der Mikrotik hat mich nun einige Nächte gekostet. Ich bin kurz davor mir morgen einfach einen zweiten fürs zweite WAN zu kaufen, wäre ja aber irgendwie Blödsinn da ich das ja eigentlich auch mit einem Mikrotik hinbekommen sollte.


Aktuell ist es jetzt so dass ich nur noch ein LAN habe und hierraus WAN1 und WAN2 erreichen möchte. WAN1 läuft. WAN2 keine Ahnung. Keine Ideen mehr.

Kann sich mal jemand meine Konfig anschauen? Ansonsten bin ich nach all den Nerven auch bereit da was für zu bezahlen um die korrekte Hilfestellung zu bekommen.

Danke und schönen Sonntag.
Member: aqui
aqui Sep 05, 2021 at 08:50:14 (UTC)
Goto Top
Du hast also weiter einen Konfig Fehler in den Balancing Policies gemacht.
Kann sich mal jemand meine Konfig anschauen?
Ja, natürlich, nur WO ist die denn ? Ohne die aktuellen, jetzt verwendeten Settings zu kennen oder einen Auszug mit "export" vom Konfig CLI, ist eine zielführende Hilfe sehr schwer wie du dir vermutlich selber denken kannst. Wir müssten dann wild ins Blaue raten. Es sei denn deine Settings vom obigen Screenshot gelten noch und du hast diese nicht verändert nach den obigen Tips ?!
Member: apt-get
apt-get Sep 05, 2021 at 09:22:45 (UTC)
Goto Top
Ich wollte nicht einfach meine Konfig anhängen alà "Hier, helft mir"


Ich habe mich erst mal von dem vorhaben 2 unterschiedliche LAN Netzwerke zu haben verabschiedet.
Erstmal das WAN2 zum laufen bekommen :D

Hier mein Export


[admin@MikroTikRouterBoard] > export
# sep/05/2021 11:19:58 by RouterOS 6.48.4
# software id = TMZV-BNFN
#
# model = RB2011UiAS
# serial number = D51D0C4B033B
/interface bridge
add admin-mac=2C:C8:1B:73:40:8E auto-mac=no comment=defconf name=br-lan
add name=br-lan-bond
/interface ethernet
set [ find default-name=ether1 ] loop-protect=on mac-address=2C:C8:1B:73:40:8D name=eth1-WLAN rx-flow-control=auto tx-flow-control=auto
set [ find default-name=ether2 ] loop-protect=on mac-address=2C:C8:1B:73:40:8E name=eth2 rx-flow-control=auto tx-flow-control=auto
set [ find default-name=ether3 ] loop-protect=on mac-address=2C:C8:1B:73:40:8F name=eth3 rx-flow-control=auto tx-flow-control=auto
set [ find default-name=ether4 ] loop-protect=on mac-address=2C:C8:1B:73:40:90 name=eth4 rx-flow-control=auto tx-flow-control=auto
set [ find default-name=ether5 ] loop-protect=on mac-address=2C:C8:1B:73:40:91 name=eth5 rx-flow-control=auto tx-flow-control=auto
set [ find default-name=ether6 ] loop-protect=on loop-protect-disable-time=10s mac-address=2C:C8:1B:73:40:92 name=eth6-WAN-TKOM rx-flow-control=auto tx-flow-control=auto
set [ find default-name=ether7 ] loop-protect=on mac-address=2C:C8:1B:73:40:93 name=eth7 rx-flow-control=auto tx-flow-control=auto
set [ find default-name=ether8 ] loop-protect=on mac-address=2C:C8:1B:73:40:94 name=eth8 rx-flow-control=auto tx-flow-control=auto
set [ find default-name=ether9 ] loop-protect=on mac-address=2C:C8:1B:73:40:95 name=eth9-WAN-EWE rx-flow-control=auto tx-flow-control=auto
set [ find default-name=ether10 ] loop-protect=on mac-address=2C:C8:1B:73:40:96 name=eth10 rx-flow-control=on tx-flow-control=on
set [ find default-name=sfp1 ] disabled=yes loop-protect=on mac-address=2C:C8:1B:73:40:8C rx-flow-control=auto tx-flow-control=auto
/interface bonding
add name=ZyxelBond slaves=eth3,eth4 transmit-hash-policy=layer-2-and-3
/interface ethernet switch
set 0 name=switch1-LAN-Gigabit
set 1 name=switch2-WAN-Fast
/interface list
add comment=WAN-EWE name=WAN-EWE
add comment=LAN name=LAN
add comment=WAN-TKOM name=WAN-TKOM
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip kid-control
add fri="" mon="" name=trafficcontrol sat="" sun="" thu="" tue="" wed=""  
/ip pool
add name=dhcp ranges=192.168.20.101-192.168.20.199
/ip dhcp-server
add address-pool=dhcp disabled=no interface=br-lan lease-time=30s name=DHCP-LAN
/queue simple
add max-limit=1100k/0 name=WAN-TKOM-QOS-High packet-marks=StorjPrio_TCP,StorjPrio_UDP priority=2/2 target=eth6-WAN-TKOM
add max-limit=1M/0 name=WAN-TKOM-QOS-Main packet-marks=no-mark queue=default/default target=eth6-WAN-TKOM
/snmp community
add addresses=::/0 name=SamysNet
/interface bridge port
add bridge=br-lan comment="LAN Bridged Ports" interface=eth2  
add bridge=br-lan interface=sfp1
add bridge=br-lan interface=eth5
add bridge=br-lan comment=" ether3 & ether4 Bonding" interface=ZyxelBond  
add bridge=br-lan interface=eth1-WLAN
add bridge=br-lan interface=eth8
/ip neighbor discovery-settings
set discover-interface-list=all
/ip settings
set rp-filter=strict tcp-syncookies=yes
/interface list member
add comment=LAN-Interfaces interface=br-lan list=LAN
add interface=eth6-WAN-TKOM list=WAN-TKOM
add comment=WAN-Interfaces interface=eth9-WAN-EWE list=WAN-EWE
add interface=ZyxelBond list=LAN
/ip address
add address=192.168.20.1/24 comment=defconf interface=br-lan network=192.168.20.0
/ip arp
add address=192.168.20.139 interface=br-lan mac-address=A8:5E:45:E4:D1:5C
add address=192.168.20.5 interface=br-lan mac-address=18:C0:4D:94:63:A7
add address=192.168.20.6 interface=br-lan mac-address=18:C0:4D:91:66:7D
add address=192.168.20.8 interface=br-lan mac-address=DC:A6:32:37:2C:DB
add address=192.168.20.101 interface=br-lan mac-address=44:D2:44:72:A2:9E
add address=192.168.20.104 interface=br-lan mac-address=48:43:DD:CD:04:99
add address=192.168.20.251 comment=InfluxDB2 interface=br-lan mac-address=F2:1F:76:9D:D6:37
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add add-default-route=no comment="WAN-DHCP Clients" disabled=no interface=eth6-WAN-TKOM use-peer-dns=no  
add add-default-route=no disabled=no interface=eth9-WAN-EWE use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.20.51 client-id=LenovoG50 mac-address=B8:EE:65:1F:0C:73 server=DHCP-LAN
add address=192.168.20.12 client-id=1:98:d:67:7:a0:fd mac-address=98:0D:67:07:A0:FD server=DHCP-LAN
add address=192.168.20.224 mac-address=56:F9:0A:3E:BD:06 server=DHCP-LAN
add address=192.168.20.222 comment=DNS mac-address=4A:27:C2:7D:F3:19 server=DHCP-LAN
add address=192.168.20.223 mac-address=E6:76:7B:1E:E7:09 server=DHCP-LAN
add address=192.168.20.11 mac-address=B0:BE:76:E9:86:0E server=DHCP-LAN
add address=192.168.20.13 mac-address=06:7D:10:72:E1:C5 server=DHCP-LAN
add address=192.168.20.3 mac-address=DC:A6:32:69:A1:86 server=DHCP-LAN
add address=192.168.20.15 mac-address=46:E6:6B:A6:AD:D6 server=DHCP-LAN
add address=192.168.20.16 mac-address=86:F8:39:6D:97:DF server=DHCP-LAN
add address=192.168.20.93 client-id=1:28:c2:1f:25:f2:d2 comment=SamsungGalaxyS10 mac-address=28:C2:1F:25:F2:D2 server=DHCP-LAN
add address=192.168.20.94 client-id=1:ac:af:b9:ab:f6:ee comment=SamsungGalaxyA5 mac-address=AC:AF:B9:AB:F6:EE server=DHCP-LAN
add address=192.168.20.250 client-id=ff:d4:49:d2:9a:0:1:0:1:28:55:42:28:8a:72:d4:49:d2:9a comment=Proxmox2 mac-address=8A:72:D4:49:D2:9A server=DHCP-LAN
add address=192.168.20.10 client-id=1:32:91:ab:2d:b2:e1 mac-address=32:91:AB:2D:B2:E1 server=DHCP-LAN
add address=192.168.20.90 client-id=1:1c:93:c4:22:1e:70 comment=FireHD mac-address=1C:93:C4:22:1E:70 server=DHCP-LAN
add address=192.168.20.95 client-id=1:d8:68:c3:ee:a1:e9 comment=SamsungGalaxyJ3 mac-address=D8:68:C3:EE:A1:E9 server=DHCP-LAN
add address=192.168.20.99 client-id=1:44:d2:44:72:a2:9e comment=Epson-XP332 mac-address=44:D2:44:72:A2:9E server=DHCP-LAN
add address=192.168.20.251 mac-address=F2:1F:76:9D:D6:37 server=DHCP-LAN
add address=192.168.20.98 comment=TapoSmartPlug mac-address=00:5F:67:FE:B8:C9 server=DHCP-LAN
add address=192.168.20.91 client-id=1:48:43:dd:cd:4:99 comment=FireTVCube mac-address=48:43:DD:CD:04:99 server=DHCP-LAN
add address=192.168.20.92 comment=Echo mac-address=94:3A:91:DF:D5:6E server=DHCP-LAN
add address=192.168.20.50 client-id=1:0:1b:21:88:2:ee mac-address=00:1B:21:88:02:EE server=DHCP-LAN
add address=192.168.20.7 mac-address=DC:A6:32:37:2C:DB server=DHCP-LAN
/ip dhcp-server network
add address=192.168.20.0/24 comment=defconf dhcp-option=*3 dns-server=192.168.20.222,192.168.20.223,192.168.20.224 domain=lan gateway=192.168.20.1 netmask=24 ntp-server=192.168.20.1
/ip dns
set servers=192.168.20.222,192.168.20.223,192.168.20.224
/ip dns static
add address=192.168.20.1 comment=defconf name=router.lan
/ip firewall address-list
add address=192.0.0.0/24 list=Local
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid disabled=yes  
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp  
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related  
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked  
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" disabled=yes dst-address=127.0.0.1  
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN  
add action=accept chain=forward comment="defconf: accept in ipsec policy" disabled=yes ipsec-policy=in,ipsec  
add action=accept chain=forward comment="defconf: accept out ipsec policy" disabled=yes ipsec-policy=out,ipsec  
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid  
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN-TKOM  
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=WAN-EWE
/ip firewall mangle
add action=accept chain=forward disabled=yes out-interface-list=LAN
add action=change-ttl chain=prerouting comment="Set TTL to 64 due Ping Loss " new-ttl=set:64 passthrough=yes  
add action=mark-connection chain=prerouting comment="Rules for QOS" dst-port=28967 new-connection-mark=StorjPrio_TCP passthrough=yes protocol=tcp  
add action=mark-connection chain=prerouting dst-port=28968 new-connection-mark=StorjPrio_TCP passthrough=yes protocol=tcp
add action=mark-connection chain=prerouting dst-port=28967 new-connection-mark=StorjPrio_UDP passthrough=yes protocol=udp
add action=mark-connection chain=prerouting dst-port=28968 new-connection-mark=StorjPrio_UDP passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=Storj1Prio new-packet-mark=StorjPrio_TCP passthrough=yes
add action=mark-packet chain=prerouting connection-mark=Storj1Prio new-packet-mark=StorjPrio_UDP passthrough=yes
add action=mark-packet chain=prerouting connection-mark=Storj1Prio new-packet-mark=StorjPrio_UDP passthrough=yes
add action=mark-packet chain=prerouting connection-mark=Storj6Prio_TCP new-packet-mark=StorjPrio_TCP passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN-EWE  
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN-TKOM  
add action=dst-nat chain=dstnat comment=StorjNode1 dst-port=28967 in-interface=eth6-WAN-TKOM protocol=udp to-addresses=192.168.20.20 to-ports=28967
add action=dst-nat chain=dstnat dst-port=28967 in-interface=eth6-WAN-TKOM protocol=tcp to-addresses=192.168.20.20 to-ports=28967
add action=dst-nat chain=dstnat comment=StorjNode6 dst-port=28968 in-interface=eth6-WAN-TKOM protocol=udp to-addresses=192.168.20.21 to-ports=28968
add action=dst-nat chain=dstnat dst-port=28968 in-interface=eth6-WAN-TKOM protocol=tcp to-addresses=192.168.20.21 to-ports=28968
add action=dst-nat chain=dstnat comment=StorjNode2 dst-port=28969 in-interface=eth6-WAN-TKOM protocol=udp to-addresses=192.168.20.240 to-ports=28969
add action=dst-nat chain=dstnat dst-port=28969 in-interface=eth6-WAN-TKOM protocol=tcp to-addresses=192.168.20.240 to-ports=28969
add action=dst-nat chain=dstnat comment=StorjNode4 dst-port=28970 in-interface=eth6-WAN-TKOM protocol=udp to-addresses=192.168.20.241 to-ports=28970
add action=dst-nat chain=dstnat dst-port=28970 in-interface=eth6-WAN-TKOM protocol=tcp to-addresses=192.168.20.241 to-ports=28970
add action=dst-nat chain=dstnat comment=StorjNode7 dst-port=28972 in-interface=eth6-WAN-TKOM protocol=udp to-addresses=192.168.20.243 to-ports=28972
add action=dst-nat chain=dstnat dst-port=28972 in-interface=eth6-WAN-TKOM protocol=tcp to-addresses=192.168.20.243 to-ports=28972
add action=dst-nat chain=dstnat comment="OpenVPN Server" dst-port=2097 in-interface=eth6-WAN-TKOM protocol=tcp to-addresses=192.168.20.40 to-ports=2097  
add action=dst-nat chain=dstnat comment=StorjNode5 dst-port=28971 in-interface=eth6-WAN-TKOM protocol=tcp to-addresses=192.168.20.242 to-ports=28971
add action=dst-nat chain=dstnat dst-port=28971 in-interface=eth6-WAN-TKOM protocol=udp to-addresses=192.168.20.242 to-ports=28971
add action=dst-nat chain=dstnat comment=HTTP disabled=yes dst-port=80 in-interface=eth6-WAN-TKOM protocol=tcp to-addresses=192.168.20.224 to-ports=80
add action=dst-nat chain=dstnat disabled=yes protocol=tcp to-addresses=192.168.20.222 to-ports=53
add action=dst-nat chain=dstnat disabled=yes protocol=udp to-addresses=192.168.20.222 to-ports=53
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip kid-control device
add mac-address=CE:D0:E3:22:DA:16 name=device1 user=trafficcontrol
/ip route
add distance=1 gateway=192.168.188.1 routing-mark=via-WAN-EWE
add check-gateway=ping distance=1 gateway=192.168.177.1
add distance=1 gateway=192.168.188.1
add distance=1 dst-address=172.3.0.0/24 gateway=192.168.20.11
add disabled=yes distance=1 dst-address=192.168.188.0/24 gateway=192.168.20.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www-ssl certificate="Gateway Zertifikat" disabled=no  
set api-ssl certificate="Gateway Zertifikat"  
/ip smb
set allow-guests=no
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=br-lan type=internal
/lcd
set backlight-timeout=never default-screen=stat-slideshow
/lcd pin
set pin-number=2907
/lcd interface
set sfp1 disabled=yes
set eth1-WLAN timeout=5s
set eth2 disabled=yes timeout=1m
set eth3 disabled=yes
set eth4 disabled=yes
set eth5 disabled=yes
set eth7 disabled=yes
set eth8 disabled=yes timeout=1m
set eth9-WAN-EWE disabled=yes
set eth10 disabled=yes
add interface=br-lan timeout=5s
add disabled=yes interface=ZyxelBond timeout=1m
/lcd screen
set 2 disabled=yes
set 3 disabled=yes
set 5 disabled=yes
/snmp
set enabled=yes trap-community=SamysNet trap-target=192.168.20.3
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=MikroTikRouterBoard
/system ntp client
set primary-ntp=62.141.38.38 secondary-ntp=88.99.86.9 server-dns-names=""  
/tool e-mail
set address=xx.xyz.net from=alert@xyz.net password="securemailpassword" port=587 start-tls=yes user=alert@xyz.net  
/tool graphing interface
add interface=eth6-WAN-TKOM
add interface=br-lan
add interface=eth1-WLAN
add interface=eth9-WAN-EWE
/tool graphing resource
add
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin@MikroTikRouterBoard] > 
Member: aqui
aqui Sep 05, 2021 updated at 10:36:49 (UTC)
Goto Top
Ich wollte nicht einfach meine Konfig anhängen
Hättest du auch gar nicht gemusst, denn rein nur die Auszüge der Balancing Konfig hätten gereicht.. face-wink

Nur damit wir jetzt nicht wieder alle aneinander vorbeireden. Dein finales Design soll so aussehen oder sieht aktuell so aus ?!:

mt-dualwan

Wichtig wäre jetzt noch zu erfahren welches LAN über welchen WAN Port gehen soll mit Failover oder nicht usw.
Member: apt-get
apt-get Sep 05, 2021 at 10:22:53 (UTC)
Goto Top
Das Finale Design sollte so aussehen richtig. Derzeit habe ich nur LAN 192.168.20.0/24 weil ich dachte erstmal soweit kommen dass beide WAN laufen.

Sonst ist das soweit korrekt. Außer dass in meinem Szenario nun eth6 WAN1 ist und eth9 WAN2. LAN ist eine Bridge. (Ist die Bridge ein Problem?) Load Balancing oder Failover möchte/brauche ich nicht.
Ich möchte am Ende zb. per DHCP Options Client XYZ das zweite WAN zuweisen.

Szenario nur 1LAN: Grundsätzlich soll alles über WAN1 laufen und nur wenn ich einem Clienten das spezifisch zuteile soll dieser dann über WAN2 laufen.

Oder Szenario 2 über 2 DHCP Netzwerke, aber so dass ich zb im 192.168.20.0/24 netz per DHCP Options festlegen kann dass ein Client dieses Netzes aber über zb das Gateway 192.168.22.1 ins Internet geht.


Da ich mich damit nicht wirklich auskenne frage ich hier was einfacher und/oder eine "schönere" Lösung ist. Das einfachste wäre wohl ein LAN oder?
Member: aqui
aqui Sep 05, 2021 updated at 10:47:23 (UTC)
Goto Top
Ist die Bridge ein Problem?
Nein generell nicht. Allerdings darf dann mit 2 lokalen LANs das 2te LAN kein Member Port der Bridge benutzen. Wenn du mehrere Ports benutzen willst musst du einen 2te Bridge erzeugen.
Wenn die 2 lokalen LANs nachher über separate Switches oder VLANs arbeiten solltest du besser direkte eth Interfaces nehmen. Bridges und dedizierte Router Ports michen ist keine gute Idee.
Ports sind angepasst oben.
per DHCP Options festlegen kann dass ein Client dieses Netzes aber über zb das Gateway 192.168.22.1 ins Internet geht.
Das das Quatsch ist weisst du auch selber. Ein Next Hop Gateway liegt ja immer im lokalen Netz. Es kann Prinzip bedingt logischerweise nie in Fremdnetzen liegen. Per DHCP bekommt der Client immer sein lokales Gateway .20.1 oder .22.1. Mehr kann DHCP auch gar nicht.
Die Policy WER welchen Internet Zugang nutzt legst du einzig und allein im Policy Routing Regelwerk des Routers fest !
Ob du das nach IP Netz, IP Host, plus Diensten (Web Mail) oder kombiniert regelst spielt dabei keine Rolle.
Einzig über diese Policy entscheidet der Router ob das Paket outbound an WAN 1 oder WAN 2 geht. Eigentlich eine simple Logik wie sie alle Balancing Router auf der Welt haben.
Das Grundprinzip dazu erklärt dir auch dieser Thread:
Cisco Router 2 Gateways für verschiedene Clients
Member: apt-get
apt-get Sep 05, 2021 at 11:02:51 (UTC)
Goto Top
Zitat von @aqui:
Das das Quatsch ist weisst du auch selber. Ein Next Hop Gateway liegt ja immer im lokalen Netz. Es kann Prinzip bedingt logischerweise nie in Fremdnetzen liegen.

Ahhh, nein so klar war mir das bislang nicht. Damit haben wir schon mal einen riesen Denkfehler aufgeklärt. Bislang war ich der 0815 OpenWRT User, mit nur einem Internetanschluss. Danke für die Aufklärung.


Dann lege ich mich lieber auf ein LAN fest, mir erscheint das mit der DHCP Option als einfachste Lösung und ich kann flexibel per DHCP oder eben statisch einfach das Gateway 192.168.20.2 festlegen.

Nehmen wir das LAN 192.168.22.0/24 also komplett aus und konzentrieren uns auf das einzige LAN.
Den Thread werde ich mir mal durchlesen, auf den ersten Blick scheint das ja die gleiche Ausgangslage zu sein.

Ich werde mich dann wieder zurückmelden. Danke für die Hilfe!
Member: apt-get
apt-get Sep 05, 2021 at 12:23:00 (UTC)
Goto Top
Wenn ich das nun richtig verstehe kann ich den Gedanken mit der DHCP Option verwerfen da das Routing nachher ausschließlich über die Routing Tables/Rules läuft richtig?

Ich habe das mal mit einer Routing Table versucht bzw. mit mehreren komme aber immer nur zu dem Ergebis dass ich dann kein Internet mehr am dem Clienten habe.

Ich kann die zweite Fritzbox aber auch nach wie vor nicht anpingen. Von einem Clienten aus dem LAN heraus aber schon.
tr
Member: aqui
aqui Sep 05, 2021 updated at 16:37:02 (UTC)
Goto Top
da das Routing nachher ausschließlich über die Routing Tables/Rules läuft richtig?
Genau so ist es ! 😉
Die Logik ist immer einfach. Über eine (ACL) Regel klassifizierst du zuerst den Traffic um den es geht. Also z.B. Marker rot für .22.0 nach any und Marker blau .20.0 nach any und markierst den so.
Dann sagst du dem Router: "Hey, alles was rot markiert ist bitte an next Hop Gateway FritzBox1" und "alles was blau markiert ist bitte an next Hop Gateway FritzBox2"

Geht auch mit nur einem Netz...
Beispiel:
Marker rot für .22.0 /25 nach any und Marker blau .20.128 /25 nach any
Das sorgt dann dafür das alle Hostadressen .22.1 bis .22.126 ans next Hop Gateway FritzBox1 und alle Hostadressen .22.129 bis .22.254 ans next Hop Gateway FritzBox2 gehen.
Oder nach Diensten...
Marker rot für TCP Destination Port 80 und TCP Destination Port 443 //
Das wiederum sorgt dann das sämtlicher Browser Traffic ans next Hop Gateway FritzBox1 geht alles andere was nicht HTTP ist über FB2 raus.

Usw. usw. das ließe sich jetzt beliebig fortsetzen je nachdem WIE du balancen willst. Es ist aber immer dieselbe simple Logik dahinter. face-wink
Ich kann die zweite Fritzbox aber auch nach wie vor nicht anpingen.
Dazu müsstest du der Community hier erstmal generell mitteilen ob du NAT (IP Adress Translation bzw. Masquerading) an deinen beiden WAN Ports zur FritzBox machst oder NICHT ? Das ist fürs Troubleshooting essentiell wichtig zu wissen !!
Normal musst und solltest du dort kein NAT/Masquerading machen weil das ja schon die beiden FBs zum Provider erledigen. Doppeltes NAT ist immer unsinnig.

Kein NAT erzwingt dann aber immer eine bzw. final dann zwei statische Route in deinen beiden FBs
FritzBox 1:
Ziel: 192.168.20.0, Maske: 255.255.255.0, Gateway: 192.168.177.254 (eth6 IP)
Ziel: 192.168.22.0, Maske: 255.255.255.0, Gateway: 192.168.177.254 (eth6 IP)
Analog dann auf der...
FritzBox 2:
Ziel: 192.168.20.0, Maske: 255.255.255.0, Gateway: 192.168.188.254 (eth9 IP)
Ziel: 192.168.22.0, Maske: 255.255.255.0, Gateway: 192.168.188.254 (eth9 IP)
Wenn du also kein NAT auf dem MT konfiguriert hast, hast du dann diese beiden Routen in den FBs definiert ??
Wenn ja solltest du einen Ping Check immer zuerst über das MT bordeigene Ping Tool machen !:
  • Ziel: 192.168.177.1 (FB1) eingeben und die Absender IP auf 192.168.177.254 (eth6) setzen ! Klappt das ?
  • Ziel: 192.168.188.1 (FB2) eingeben und die Absender IP auf 192.168.188.254 (eth9) setzen ! Klappt das ?
  • Wenn beides klappt, Ping auf die beiden FBs wiederholen, jetzt aber die Absender IP auf die lokale LAN IP 192.168.22.1 setzen. Auch das sollte klappen
Wenn ja ist erstmal IP Adress technisch alles richtig angeschlossen und erreichbar. Dann kommt es auf dein Balancing Regelwerk an !
Member: apt-get
apt-get Sep 05, 2021 updated at 22:35:53 (UTC)
Goto Top
Ich hab mich da falsch ausgedrückt glaube ich. Ich kann Gateway 2 anpingen mit 192.168.188.1, darüber hinaus zb 8.8.8.8 geht mit WAN2 nicht. (Nutze natürlich immer das MT Ping Tool)

NAT ist jetzt gerade aktiviert, ich habs aber auch schon mit komplett allen deaktivierten NAT Regeln versucht bzw. gar keine Filter und Rules bei einer versuchten Neukonfig gesetzt.
Auch habe ich schon in beide Fritzboxen die Routen eingetragen.

Ich weiß auch langsam nicht mehr wo ich noch was lesen soll. Die Anleitungen sind alle sehr Hilfreich und einfach umzusetzen, nichts desto trotz komme ich über WAN2 nicht ins Internet.
Mitglied: 149062
149062 Sep 06, 2021 updated at 06:09:42 (UTC)
Goto Top
Zitat von @apt-get:
Ich weiß auch langsam nicht mehr wo ich noch was lesen soll. Die Anleitungen sind alle sehr Hilfreich und einfach umzusetzen, nichts desto trotz komme ich über WAN2 nicht ins Internet.

Wundert ja auch nicht denn du hast in deiner Routing-Tabelle (letztes Bild von dir) beide Default Routes mit der selben Distance eingetragen (bzw. Hast das die DHCP Client's eintragen lassen) und zusätzlich eine statische Route über die TCom und da in diesem Fall der Mikrotik die erste in der Tabelle nimmt routet er nur über WAN2 wenn WAN1 komplett ausfällt und auch nur wenn ein Gateway Check aktiviert ist...

Lies dir auch nochmals den Kommentar von @colinardo oben aufmerksam durch, da steht ein wichtiger Hinweis bei Verwendung von Routing Tags und Zugriff auf andere lokale Netze wozu auch die Netze der Fritzboxen gehören.

Außerdem sind auch tracetroute Checks auf dem Mikroktik selbst von der Routing Tabelle abhängig, da bringt es nichts beim Tool das Interface auf den zweiten WAN zu setzen weil der Mikroktik eben weiterhin die Main-Routing Tabelle benutzt! Damit wird quasi nur die Absenderadresse des Mikroktik gesetzt, aber nicht das Routing verändert.

Du solltest dir erst mal die Grundlagen zu Routing-Tabellen verinnerlichen dann ist das Setup absolut easy.
Member: apt-get
apt-get Sep 06, 2021 at 08:17:35 (UTC)
Goto Top
Ich hatte gestern keine Nerven mehr und werde heute Abend den nächsten Versuch wagen ^^

Um noch eine weitere Unsicherheit zu klären:
Setze ich bei den DHCP Clienten die Default Route auf yes oder no? Bei beiden?

Ich hab das jetzt erstmal so gemacht dass ich die Routen manuell übernommen habe und die Default Routen auf no gesetzt habe. Vllt ist hier schon der erste Fehler.


Ich werde mir die Grundlagen nochmals in Ruhe durchlesen. Manchmal sieht man den Wald vor lauter Bäumen nicht mehr...


Erstmal einen guten Start in die Woche und Danke für Eure Hilfe. Ich werde mich wieder zurückmelden :D
Member: aqui
aqui Sep 06, 2021 updated at 08:26:41 (UTC)
Goto Top
Setze ich bei den DHCP Clienten die Default Route auf yes oder no? Bei beiden?
Einem guten und kundigem Netzwerker stellt sich so eine Frage gar nicht, denn der weiss aus guten Gründen das man Routern niemals dynamische IP Adressen oder Routen per DHCP vergibt ! Oder wenn überhaupt, dann nur mit einer entsprechenden Mac Adress Reservierung im DHCP Server das sie quasi statisch sind. Mehr muss man sicher dazu nicht sagen.... face-wink
Intuitiv hast du es allso dann erstmal richtig gemacht.
Ich werde mich wieder zurückmelden
Wir sind gespannt... 😉
Mitglied: 149062
Solution 149062 Sep 06, 2021 updated at 10:10:20 (UTC)
Goto Top
So damit das hier endlich mal ein Ende hat eine ganz einfache Beispiel Config (ohne Firewall gedöhns) die 100% Prozent funktioniert.

Das Beispiel nutzt 4 Interfaces
  • ether1 = WAN1 (192.168.177.2/24)
  • ether2 = WAN2 (192.168.188.2/24)
  • ether3 = LAN1 (192.168.100.1/24)
  • ether4 = LAN2 (192.168.200.1/24)

  • Clients an LAN1 benutzen hier ganz normal das Default-GW mit der niedrigeren Metric (1) über WAN1. Die Default-Route für WAN2 bekommt Metric 2 und wird von normalen Clients nur benutzt wenn WAN1 ausfällt.
  • Clients an LAN2 benutzen durch die Mangle-Rule die Route mit dem Routing-Tag wan2 und nutzen dadurch WAN2 als Route. Es hier nur getaggt so lange die Zieladresse nicht in der Firewall Addressliste für die lokalen LANs enthalten ist! Das ist wichtig, siehe Hinweis von @colinardo!

/ip pool
add name=pool_lan1 ranges=192.168.100.10-192.168.100.254
add name=pool_lan2 ranges=192.168.200.10-192.168.200.254
/ip dhcp-server
add address-pool=pool_lan1 disabled=no interface=ether3 name=server_lan1
add address-pool=pool_lan2 disabled=no interface=ether4 name=server_lan2
/ip address
add address=192.168.177.2/24 interface=ether1 network=192.168.177.0
add address=192.168.188.2/24 interface=ether2 network=192.168.188.0
add address=192.168.100.1/24 interface=ether3 network=192.168.100.0
add address=192.168.200.1/24 interface=ether4 network=192.168.200.0
/ip dhcp-server network
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1 netmask=24
add address=192.168.200.0/24 dns-server=192.168.200.1 gateway=192.168.200.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip firewall address-list
add address=192.168.100.0/24 list=LocalLANs
add address=192.168.200.0/24 list=LocalLANs
add address=192.168.188.0/24 list=LocalLANs
add address=192.168.177.0/24 list=LocalLANs
/ip firewall filter
add action=drop chain=forward connection-state=invalid
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=!LocalLANs new-routing-mark=wan2 passthrough=yes src-address=192.168.200.0/24
/ip route
add distance=1 gateway=192.168.188.1 routing-mark=wan2
add check-gateway=ping distance=1 gateway=192.168.177.1
add check-gateway=ping distance=2 gateway=192.168.188.1
Auf den vorgelagerten Fritten sind statische Routen für die den Mikrotiks nachgelagerte Netze zu hinterlegen

Statische Routen auf Fritte 1 an WAN1 des Mikrotik
Zielnetz 192.168.100.0/24 Gateway 192.168.177.2
Zielnetz 192.168.200.0/24 Gateway 192.168.177.2
Statische Routen auf Fritte 2 an WAN2 des Mikrotik
Zielnetz 192.168.100.0/24 Gateway 192.168.188.2
Zielnetz 192.168.200.0/24 Gateway 192.168.188.2
Feddisch.

So, in Ruhe ansehen, verstehen und nachmachen...

Works like it should face-wink.
Member: aqui
aqui Sep 06, 2021 updated at 09:55:04 (UTC)
Goto Top
...or as designed ! 😉
Mitglied: 149062
149062 Sep 06, 2021 updated at 09:56:49 (UTC)
Goto Top
Zitat von @aqui:

...or as designed ! 😉
Jepp wollte nur deinen Spruch hier nicht "clonen" face-smile.
Member: aqui
aqui Sep 06, 2021 at 10:00:22 (UTC)
Goto Top
Darfst du gerne ! Wenn er jetzt noch ein Problem mit der Konfiguration hat, ist ihm nicht mehr zu helfen...
Member: Lochkartenstanzer
Lochkartenstanzer Sep 06, 2021 updated at 10:08:08 (UTC)
Goto Top
Zitat von @aqui:

Setze ich bei den DHCP Clienten die Default Route auf yes oder no? Bei beiden?
Einem guten und kundigem Netzwerker stellt sich so eine Frage gar nicht, denn der weiss aus guten Gründen das man Routern niemals dynamische IP Adressen oder Routen per DHCP vergibt !

Naja, gewagter Spruch:

Wenn man schaut, was die ganzen ISPs mit den Kundenroutern machen, ist das schon (fast) widerlegt. face-smile

Man sollte genauer sagen: daß man das nur bei den Uplinks von Routern macht, die NAT machen, d.h. wenn keine Informationen von Netzen benötigt werden, die "hinter" diesem Router sind.

lks
Member: aqui
aqui Sep 06, 2021 at 10:07:32 (UTC)
Goto Top
Du hast recht, aber sein ISP Internet hört ja bei den beiden FritzBoxen auf, der MT ist dahinter. Also gilt es wieder, mehr oder weniger... 😉
Member: apt-get
apt-get Sep 06, 2021 updated at 19:09:39 (UTC)
Goto Top
Zitat von @aqui:

Einem guten und kundigem Netzwerker stellt sich so eine Frage gar nicht, denn der weiss aus guten Gründen das man Routern niemals dynamische IP Adressen oder Routen per DHCP vergibt ! Oder wenn überhaupt, dann nur mit einer entsprechenden Mac Adress Reservierung im DHCP Server das sie quasi statisch sind. Mehr muss man sicher dazu nicht sagen.... face-wink

Ich würde mich nicht als kundigen Netzwerker bezeichnen :D Ich beschäftige mich erst seit einem Jahr mit Netzwerken. Vorher war das eher OpenWRT aufn Router, bischen config, fertig.

Bin dann durch ein Forum auf den Mikrotik gekommen, das war einfach Liebe auf den ersten Blick und da ich jetzt 2 DSL Anschlüsse habe war der Zeitpunkt da um ihn zu kaufen.

Die meisten Geräte bekommen per DHCP eine statisch feste IP. Grundsätzlich trag ich die immer fest ein und bei Servern, Routern und Co sind die immer statisch gesetzt. Eigentlich alle Hosts die ich mit meinem Zabbix Server monitore.


@149062 Ich kann es kaum glauben... es läuft! Zugegeben, zum ersten Test hab ich erstmal stumpf alles per Copy & Paste übertragen um zu schauen ob es denn dann geht. Ich konnte es kaum glauben als es dann ging. Ich hab die Config dann auf meine Bedürfnisse angepasst und nun läuft es. Endlich! Danke!!!!

Noch eine Frage zum NAT.
Ich hatte vor die FritzBoxen in Zukunft als reine Modems zu betreiben und die PPPOE Verbindungen mit dem Mikrotik aufzubauen. Damit sollte das doppelte NAT dann erledigt sein richtig?


Zitat von @aqui:

Wenn er jetzt noch ein Problem mit der Konfiguration hat, ist ihm nicht mehr zu helfen...

Ich danke Euch für die Geduld mit mir. Ich weiß die Hilfe sehr zu schätzen!
Die Einrichtung eines Mikrotiks ist wirklich echte Arbeit. Dafür bieten sich so viel tolle Möglichkeiten und jetzt will ich es einfach vernünftig machen face-smile
Member: aqui
aqui Sep 06, 2021 updated at 19:17:49 (UTC)
Goto Top
Ich hatte vor die FritzBoxen in Zukunft als reine Modems zu betreiben
Das geht nicht mehr, denn AVM hat schon seit längerem diese Funktion (PPPoE Passthrough) in den FBs unterbunden. Es gibt nur noch einige sehr wenige die das mit alter Firmware noch können wie z.B. die 7412
https://www.spiegel.de/netzwelt/gadgets/fritzbox-7412-als-dsl-modem-dect ...
https://www.heise.de/select/ct/2020/2/1578238295698254
Aber es gibt mit dem Vigor 165/175 oder dem Zyxel VMG3006 und vielen anderen ja genügend Alternativen.
Damit sollte das doppelte NAT dann erledigt sein richtig?
Das ist richtig.
Allerdings kommt es darauf an ob du jetzt NAT am Mikrotik aktiviert hast. Normal macht man das in deinem jetzigen Setup ja nicht so das du auch nur einmal NAT machst was ja OK wäre.
Ich danke Euch für die Geduld mit mir.
Immer gerne ! 😊
Die Einrichtung eines Mikrotiks ist wirklich echte Arbeit.
Wie immer im Leben ist das relativ. Für jemanden der das 1 Jahr macht vielleicht. Für jemanden der sowas 20 Jahre macht eher nicht... face-wink

Wenn's das denn war bitte nicht vergessen den Thread zu schliessen:
How can I mark a post as solved?