Policy based Routing mit Mikrotik 750
08.02.2012
18:51:55 Uhr806 Aufrufe
44 Antworten
18:51:55 Uhr
44 Antworten
Anspruchsvoll +1
Guten abend zusammen,
ich bräuchte hilfe bei der Einrichtung des Mikrotik 750. Ich habe mir die Anleitung http://wiki.mikrotik.com/wiki/Load_Balanc ... durchgelesen, kann das aber leider nicht so umsetzten. Was mein Plan ist, zwei Porte sind fürs Internet. Und jetzt soll Computer A über Internet I ins internet, Computer B über II, Coputer C auch über II, usw. . Das ist ja das besagte Policy based Routing. Wenn mir jemand einen Anstubser geben kann wäre das echt toll (auf deutsch wäre besser, muss aber nicht sein). Beide Internetanschlüsse sind von der Telekom, weiß nicht ob das eine brauchbare Information ist.
Aktuell sieht es so aus, das Internetanschluss I über Gateway 192.168.1.111 und Internetanschluss II über Gateway 192.168.1.100. Muss ich das ändern, z.B auf 192.168.1.1 und den anderen auf 192.168.1.128? Der Mikrotik ist aktuell auf 192.168.1.122 geändert.
Wäre euch echt dankbar für Tipps. z.Z arbeite ich mit der Winbox, hab aber schon gelesen das die Kommandozeile besser zum programmieren des Routers geeignet ist.
ich bräuchte hilfe bei der Einrichtung des Mikrotik 750. Ich habe mir die Anleitung http://wiki.mikrotik.com/wiki/Load_Balanc ... durchgelesen, kann das aber leider nicht so umsetzten. Was mein Plan ist, zwei Porte sind fürs Internet. Und jetzt soll Computer A über Internet I ins internet, Computer B über II, Coputer C auch über II, usw. . Das ist ja das besagte Policy based Routing. Wenn mir jemand einen Anstubser geben kann wäre das echt toll (auf deutsch wäre besser, muss aber nicht sein). Beide Internetanschlüsse sind von der Telekom, weiß nicht ob das eine brauchbare Information ist.
Aktuell sieht es so aus, das Internetanschluss I über Gateway 192.168.1.111 und Internetanschluss II über Gateway 192.168.1.100. Muss ich das ändern, z.B auf 192.168.1.1 und den anderen auf 192.168.1.128? Der Mikrotik ist aktuell auf 192.168.1.122 geändert.
Wäre euch echt dankbar für Tipps. z.Z arbeite ich mit der Winbox, hab aber schon gelesen das die Kommandozeile besser zum programmieren des Routers geeignet ist.
dog schreibt am 08.02.2012 um 21:55:52 Uhr
01.
/ip route 02.
add comment="DSL A (Sonderfall)" dst-address=0.0.0.0/0 gateway=192.168.1.111 routing-mark=dslA 03.
add comment="DSL B (Standard)" dst-address=0.0.0.0/0 gateway=192.168.1.100 04.
05.
/ip firewall mangle 06.
add action=mark-routing chain=prerouting comment="Client 1 ueber DSL A" new-routing-mark=dslA passthrough=yes src-address=192.168.1.XAber wozu da PBR?
Bei dem Netzaufbau kannst du auch einfach bei Client A und den anderen jeweils einen anderen Router eintragen.
Bene007 schreibt am 09.02.2012 um 14:36:03 Uhr
Also ich glaub ich habe mich falsch ausgedrückt. Ich schildere jetzt nochmal.
Den MikroTik habe ich mit
resetet, damit ich einen simplen 5 Port Router habe.
Jetzt will ich 2 der Lananschlüsse dazu verwenden, die als WAN-Port fungieren. Also Lan-Anschluss 1 - Modem - Internet und Lan-Anschluss 2 - Modem - Internet. Ich stehte ich vor dem Problem, wie ich aus einem Lan-Anschluss einen WAN-Port mache.
Wenn ich das geschafft habe, das man über beide jeweils ins internet kommt, dann wollte ich eben, das Client 1-4 über den Internetanschluss an Lan-Anschluss 1 rein geht, Client 5-10 über den Internetanschluss 2. Das wird doch Ich bin wirklich neuling auf dem gebiet und bräuchte dem entsprechend einwenig hilfe
Policy based Routing gennant oder?
Ich hoffe es ist jetzt nicht komplizierter formuliert als es eh schon ist. Danke
Den MikroTik habe ich mit
01.
/system reset-conf skip-backup=yes no-defaults=yesJetzt will ich 2 der Lananschlüsse dazu verwenden, die als WAN-Port fungieren. Also Lan-Anschluss 1 - Modem - Internet und Lan-Anschluss 2 - Modem - Internet. Ich stehte ich vor dem Problem, wie ich aus einem Lan-Anschluss einen WAN-Port mache.
Wenn ich das geschafft habe, das man über beide jeweils ins internet kommt, dann wollte ich eben, das Client 1-4 über den Internetanschluss an Lan-Anschluss 1 rein geht, Client 5-10 über den Internetanschluss 2. Das wird doch Ich bin wirklich neuling auf dem gebiet und bräuchte dem entsprechend einwenig hilfe
Policy based Routing gennant oder?
Ich hoffe es ist jetzt nicht komplizierter formuliert als es eh schon ist. Danke
dog schreibt am 10.02.2012 um 00:05:05 Uhr
Ok, dann musst du zuerst mal zwei PPPoE-Clients anlegen
Die sollten sich auch direkt verbinden.
Dann brauchst du eine LAN-IP:
Jetzt musst du noch NAT zum Internet aktivieren:
Damit sollten schonmal alle Clients ins Internet kommen.
Jetzt machen wir das ganze noch etwas sicherer:
Und dann kommt noch Policy Based Routing:
Der Teil ist bei DSL etwas blöd.
Zuerst mal musst du bei beiden PPPoE-Client "Add Default Route" aktivieren, und dann unter IP > Routes sicherstellen, das in der Gateway-Spalte immer die selben Werte stehen (auch nach Verbindungstrennung) und die notieren.
Dann auf die Route für das zweite Interface klicken und Copy auswählen, im neuen Fenster bei Routing Mark "dslB" eingeben -> OK.
Danach für das Interface wieder "Add Default Route" deaktivieren.
Client der Verbindung zuordnen:
01.
/int ppoe-c 02.
# Der erste Client ist die Standardverbindung für alle alles 03.
add add-default-route=yes comment="Leitung 1" dial-on-demand=no interface=ether1 max-mru=1492 max-mtu=1492 name=pppoe1 use-peer-dns=yes user=... password=... 04.
# Der zweite ist der Sonderfall 05.
add add-default-route=no comment="Leitung 2" dial-on-demand=no interface=ether1 max-mru=1492 max-mtu=1492 name=pppoe2 use-peer-dns=no user=... password=...Die sollten sich auch direkt verbinden.
Dann brauchst du eine LAN-IP:
01.
/ip addr 02.
add address=192.168.1.1/24 interface=ether3 comment="LAN-IP"Jetzt musst du noch NAT zum Internet aktivieren:
01.
/ip firew nat 02.
add action=masquerade chain=srcnat comment="NAT fuer DSL1" disabled=no out-interface=pppoe1 03.
add action=masquerade chain=srcnat comment="NAT fuer DSL2" disabled=no out-interface=pppoe2Damit sollten schonmal alle Clients ins Internet kommen.
Jetzt machen wir das ganze noch etwas sicherer:
01.
/ip neigh disc 02.
set ether1 dis=yes 03.
set ether2 dis=yes 04.
05.
/ip firew filter 06.
#SPI-Regeln 07.
add action=accept chain=spi comment="Bereits vorhandene Verbindungen akzeptieren" connection-state=established disabled=no 08.
add action=accept chain=spi comment="Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related disabled=no 09.
add action=drop chain=spi comment="Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no 10.
add action=return chain=spi comment="Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no 11.
#Input filtern 12.
add action=jump chain=input jump-target=spi 13.
add action=accept chain=input comment="Ping immer annehmen" disabled=no icmp-options=8:0 protocol=icmp 14.
add action=accept chain=input in-interface=ether3 comment="Alles aus dem LAN annehmen" 15.
add action=drop chain=input comment="Alles andere verwerfen" 16.
#Forward filtern (alles vom und ins Internet) 17.
add action=jump chain=forward jump-target=spi 18.
add action=accept chain=forward in-interface=ether3 comment="Alles ueberall hin vom LAN erlauben" 19.
add action=drop chain=input comment="Alles andere verwerfen"Und dann kommt noch Policy Based Routing:
Der Teil ist bei DSL etwas blöd.
Zuerst mal musst du bei beiden PPPoE-Client "Add Default Route" aktivieren, und dann unter IP > Routes sicherstellen, das in der Gateway-Spalte immer die selben Werte stehen (auch nach Verbindungstrennung) und die notieren.
Dann auf die Route für das zweite Interface klicken und Copy auswählen, im neuen Fenster bei Routing Mark "dslB" eingeben -> OK.
Danach für das Interface wieder "Add Default Route" deaktivieren.
Client der Verbindung zuordnen:
01.
/ip firewall mangle 02.
add action=mark-routing chain=prerouting comment="Client 1 ueber DSL B" new-routing-mark=dslB passthrough=yes src-address=192.168.1.X
Bene007 schreibt am 10.02.2012 um 16:29:28 Uhr
So dann melde ich mich mal wieder. Erstmal vielen dank für deine bemühungen.
Habe das genau gemacht was du gesagt hast
Du hast gemeint, das sich der mikrotik sofort einwählen müsste, tut er aber nicht. habe dann erstmal einen wan-port gemacht über ether1. das wird der mit dem speedport als Modem. bei dem obersten Punkt, dort wo alles aufgelistet ist steht dann der die 5 lanport, und der erstelle pppoe. Wenn ich dann rechtsklick enable mache, dann steht immer unten link disconnected. Ich hab schon überprüft bzgl. kennwort falsch, kann da aber keinen fehler erkennen. Es ist sehr komisch....
dann das mit der LAN-IP
habe 1.3 verwendet, da 1.1 (wlan-router) und 1.2 (server) schon vergeben sind
Das mit dem NAT habe ich auch gemacht, auch das mit den firewall einstellungen.
Ich verstehe aber nicht ganz den punkt Policy Based Routing
"zuerst mal musst du bei beiden PPPoE-Client "Add Default Route" aktivieren"
wo finde ich den Punkt? ich hab mal alles durchgeklickt, hab aber nichts gefunden, und das internet hat auch nicht besonders viel hergegeben
Habe das genau gemacht was du gesagt hast
01.
/int pppoe-c 02.
# Der erste Client ist die Standardverbindung für alle alles 03.
add add-default-route=yes comment="Leitung 1" dial-on-demand=no interface=ether1 max-mru=1492 max-mtu=1492 name=pppoe1 use-peer-dns=yes user=xxx@t-online.de password=xxx 04.
# Der zweite ist der Sonderfall 05.
add add-default-route=no comment="Leitung 2" dial-on-demand=no interface=ether2 max-mru=1492 max-mtu=1492 name=pppoe2 use-peer-dns=no user=xxx@t-online.de password=xxxDu hast gemeint, das sich der mikrotik sofort einwählen müsste, tut er aber nicht. habe dann erstmal einen wan-port gemacht über ether1. das wird der mit dem speedport als Modem. bei dem obersten Punkt, dort wo alles aufgelistet ist steht dann der die 5 lanport, und der erstelle pppoe. Wenn ich dann rechtsklick enable mache, dann steht immer unten link disconnected. Ich hab schon überprüft bzgl. kennwort falsch, kann da aber keinen fehler erkennen. Es ist sehr komisch....
dann das mit der LAN-IP
01.
/ip addr 02.
add address=192.168.1.3/24 interface=ether3 comment="LAN-IP"Das mit dem NAT habe ich auch gemacht, auch das mit den firewall einstellungen.
Ich verstehe aber nicht ganz den punkt Policy Based Routing
"zuerst mal musst du bei beiden PPPoE-Client "Add Default Route" aktivieren"
wo finde ich den Punkt? ich hab mal alles durchgeklickt, hab aber nichts gefunden, und das internet hat auch nicht besonders viel hergegeben
dog schreibt am 10.02.2012 um 17:09:44 Uhr
Dann deaktiviere den PPPoE-Client und füge diese Regel hinzu:
Dann aktivierst du den PPPoE-Client für maximal(!) 5 Sekunden und postest dann die Ausgabe von
(Achtung, kann Passwörter enthalten!)
Danach kannst du die Regel oben wieder löschen.
01.
/system logging 02.
add action=memory disabled=no prefix="" topics=pppoe,debugDann aktivierst du den PPPoE-Client für maximal(!) 5 Sekunden und postest dann die Ausgabe von
01.
/log printDanach kannst du die Regel oben wieder löschen.
Bene007 schreibt am 10.02.2012 um 17:19:27 Uhr
01.
00:00:13 interface,info ether3 link up (speed 100M, full duplex) 02.
00:00:19 interface,info ether1 link up (speed 100M, full duplex) 03.
00:00:55 system,info,account user admin logged in via winbox 04.
00:01:01 system,info,account user admin logged in via local 05.
00:02:10 system,info device added by admin 06.
00:02:24 system,info device changed by admin 07.
00:03:29 system,info log rule added by admin 08.
00:03:35 pppoe,ppp,info pppoe1: initializing... 09.
00:03:35 system,info device changed by admin 10.
00:03:35 pppoe,ppp,info pppoe1: dialing... 11.
00:03:35 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 12.
00:03:35 pppoe,debug,packet session-id=0x0000 13.
00:03:35 pppoe,debug,packet host-uniq=0x0 14.
00:03:35 pppoe,debug,packet service-name= 15.
00:03:36 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 16.
00:03:36 pppoe,debug,packet session-id=0x0000 17.
00:03:36 pppoe,debug,packet host-uniq=0x0 18.
00:03:36 pppoe,debug,packet service-name= 19.
00:03:37 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 20.
00:03:37 pppoe,debug,packet session-id=0x0000 21.
00:03:37 pppoe,debug,packet host-uniq=0x0 22.
00:03:37 pppoe,debug,packet service-name= 23.
00:03:38 pppoe,ppp,info pppoe1: terminating... - disconnected 24.
00:03:38 pppoe,ppp,debug pppoe1: LCP lowerdown 25.
00:03:38 pppoe,ppp,debug pppoe1: LCP down event in initial state 26.
00:03:38 pppoe,ppp,info pppoe1: disconnected 27.
00:03:38 pppoe,ppp,info pppoe1: initializing... 28.
00:03:38 pppoe,ppp,info pppoe1: dialing... 29.
00:03:38 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 30.
00:03:38 pppoe,debug,packet session-id=0x0000 31.
00:03:38 pppoe,debug,packet host-uniq=0x1 32.
00:03:38 pppoe,debug,packet service-name= 33.
00:03:39 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 34.
00:03:39 pppoe,debug,packet session-id=0x0000 35.
00:03:39 pppoe,debug,packet host-uniq=0x1 36.
00:03:39 pppoe,debug,packet service-name= 37.
00:03:40 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 38.
00:03:40 pppoe,debug,packet session-id=0x0000 39.
00:03:40 pppoe,debug,packet host-uniq=0x1 40.
00:03:40 pppoe,debug,packet service-name= 41.
00:03:41 pppoe,ppp,info pppoe1: terminating... - disconnected 42.
00:03:41 pppoe,ppp,debug pppoe1: LCP lowerdown 43.
00:03:41 pppoe,ppp,debug pppoe1: LCP down event in initial state 44.
00:03:41 pppoe,ppp,info pppoe1: disconnected 45.
00:03:41 pppoe,ppp,info pppoe1: initializing... 46.
00:03:41 pppoe,ppp,info pppoe1: dialing... 47.
00:03:41 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 48.
00:03:41 pppoe,debug,packet session-id=0x0000 49.
00:03:41 pppoe,debug,packet host-uniq=0x2 50.
00:03:41 pppoe,debug,packet service-name= 51.
00:03:42 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 52.
00:03:42 pppoe,debug,packet session-id=0x0000 53.
00:03:42 pppoe,debug,packet host-uniq=0x2 54.
00:03:42 pppoe,debug,packet service-name= 55.
00:03:43 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 56.
00:03:43 pppoe,debug,packet session-id=0x0000 57.
00:03:43 pppoe,debug,packet host-uniq=0x2 58.
00:03:43 pppoe,debug,packet service-name= 59.
00:03:44 pppoe,ppp,info pppoe1: terminating... - disconnected 60.
00:03:44 pppoe,ppp,debug pppoe1: LCP lowerdown 61.
00:03:44 pppoe,ppp,debug pppoe1: LCP down event in initial state 62.
00:03:44 pppoe,ppp,info pppoe1: disconnected 63.
00:03:45 pppoe,ppp,info pppoe1: initializing... 64.
00:03:45 pppoe,ppp,info pppoe1: dialing... 65.
00:03:45 pppoe,debug,packet ether1: sent PADI to FF:FF:FF:FF:FF:FF 66.
00:03:45 pppoe,debug,packet session-id=0x0000 67.
00:03:45 pppoe,debug,packet host-uniq=0x3 68.
00:03:45 pppoe,debug,packet service-name= 69.
00:03:45 pppoe,ppp,info pppoe1: terminating... 70.
00:03:45 pppoe,ppp,debug pppoe1: LCP lowerdown 71.
00:03:45 pppoe,ppp,debug pppoe1: LCP down event in initial state 72.
00:03:45 pppoe,ppp,info pppoe1: disabled 73.
00:03:45 system,info device changed by admin
dog schreibt am 10.02.2012 um 17:26:34 Uhr
Ok, der Mikrotik findet kein DSL.
Darum nochmal zurück zum vorigen Schritt:
Poste von dem Fenster mal einen Screenshot.
Oder mach es auf der Kommandozeile und poste die Ausgabe:
Darum nochmal zurück zum vorigen Schritt:
Klick im PPPoE-Client auf "PPPoE Scan" und guck mal ob überhaupt in der Tabelle was auftaucht.
Poste von dem Fenster mal einen Screenshot.
Oder mach es auf der Kommandozeile und poste die Ausgabe:
01.
/int pppoe-cl scan interface=ether1 duration=5
dog schreibt am 10.02.2012 um 17:38:31 Uhr
Das kommt mir etwas spanisch vor.
Der Scanner und der Verbindungsaufbau funktionieren nach dem selben Prinzip, aber einer findet was und der andere nicht.
Welche Version hast du installiert (steht in der Titelzeile von Winbox)?
Poste mal die Ausgabe von
(Ohne Passwörter natürlich)
Der Scanner und der Verbindungsaufbau funktionieren nach dem selben Prinzip, aber einer findet was und der andere nicht.
Welche Version hast du installiert (steht in der Titelzeile von Winbox)?
Poste mal die Ausgabe von
01.
/int pppoe-cl export
Bene007 schreibt am 10.02.2012 um 17:42:19 Uhr
01.
# jan/02/1970 00:27:13 by RouterOS 5.4 02.
# software id = 4KRB-190T 03.
# 04.
/interface pppoe-client 05.
add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=\ 06.
"Leitung 1" dial-on-demand=no disabled=yes interface=ether1 max-mru=1492 \ 07.
max-mtu=1492 mrru=disabled name=pppoe1 password=********* profile=default \ 08.
service-name="" use-peer-dns=yes user=\ 09.
********************************************0001@t-online.deEDIT: Winbox 5.4
dog schreibt am 10.02.2012 um 17:48:10 Uhr
OK, ich kann da erstmal keinen Fehler erkennen.
Lad dir aber mal eine neuere Version runter: http://download2.mikrotik.com/routeros-mi ...
Die Datei einfach auf das Winbox-Fenster ziehen und danach den Router neustarten.
Hast du VDSL?
Lad dir aber mal eine neuere Version runter: http://download2.mikrotik.com/routeros-mi ...
Die Datei einfach auf das Winbox-Fenster ziehen und danach den Router neustarten.
Hast du VDSL?
Bene007 schreibt am 11.02.2012 um 20:31:37 Uhr
So guten abend,
ich habe nun erfolgreich nach der Anleitung oben das Internet aufbauen können und das PBR funktioniert auch wunderbar. Danke.
2 abschließende Fragen habe ich noch:
Wie kann ich dyndns einrichten. Am besten für 2 Interanschlüsse getrennt, also für jeden einen acc.
Ist es möglich VPN einzurichten bzw. auf den server weiterzuleiten (GRE protokoll und Port forwarding)
ich habe nun erfolgreich nach der Anleitung oben das Internet aufbauen können und das PBR funktioniert auch wunderbar. Danke.
2 abschließende Fragen habe ich noch:
Wie kann ich dyndns einrichten. Am besten für 2 Interanschlüsse getrennt, also für jeden einen acc.
Ist es möglich VPN einzurichten bzw. auf den server weiterzuleiten (GRE protokoll und Port forwarding)
dog schreibt am 11.02.2012 um 21:00:17 Uhr
ich habe nun erfolgreich nach der Anleitung oben das Internet aufbauen können und das PBR funktioniert auch wunderbar. Danke.
Einfach so?
Wie kann ich dyndns einrichten. Am besten für 2 Interanschlüsse getrennt, also für jeden einen acc.
Kopier dir das Script 2x mit den entsprechenden Einstellungen nach System > Scripts (als Name update-dyndns1 und update-dyndns2)
01.
02.
:local ddnsuser "username" 03.
:local ddnspass "passwort" 04.
:local theinterface "pppoe1" 05.
:local ddnshost "hostname.dyndns.org" 06.
07.
:local ipddns [:resolve $ddnshost]; 08.
:local iplocal [ /ip address get [/ip address find interface=$theinterface ] address ] 09.
10.
:if ([ :typeof $iplocal ] = nil ) do={ 11.
:log info ("DynDNS: No ip address on $theinterface .") 12.
} else={ 13.
# IP Adresse ist 1.2.3.4/32 also muss das /32 erstmal weg 14.
:for i from=( [:len $iplocal] - 1) to=0 do={ 15.
:if ( [:pick $iplocal $i] = "/") do={ 16.
:set iplocal [:pick $iplocal 0 $i]; 17.
} 18.
} 19.
20.
:if ($ipddns != $iplocal) do={ 21.
:log info ("DynDNS: IP-DynDNS = $ipddns <> local IP = $iplocal UPDATE") 22.
:local str "/nic/update?hostname=$ddnshost&myip=$iplocal&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG" 23.
/tool fetch address=members.dyndns.org src-path=$str mode=http user=$ddnsuser password=$ddnspass keep=no 24.
} 25.
} 26.
Bei Policy wählst du "read, test" aus.
Dann musst du dafür noch einen Scheduler anlegen:
01.
/system scheduler 02.
add disabled=no interval=1m30s name=update-dynamic-stuff on-event="/system script run update-dyndns1\r\n/system script run update-dyndns2\r\n" start-date=jan/01/2012 start-time=00:00:00Wenn du echten DynDNS-Support willst musst du an support@mikrotik.com schreiben, vielleicht geben die irgendwann nach
Ist es möglich VPN einzurichten bzw. auf den server weiterzuleiten (GRE protokoll und Port forwarding)
Dazu musst du zuerst mit NAT den Port weiterleiten:
01.
/ip firewall nat 02.
add action=dst-nat chain=dstnat comment="PPTP Negotiation -> Server" dst-port=1723 protocol=tcp to-addresses=192.168.1.X in-interface=pppoe1 03.
add action=dst-nat chain=dstnat comment="GRE -> Server" protocol=gre to-addresses=192.168.1.X in-interface=pppoe1Und dann in der Firewall noch frei geben:
01.
/ip firewall filter 02.
add action=accept chain=forward comment="PPTP-Negotiation erlauben" dst-port=1723 protocol=tcp dst-address=192.168.1.X 03.
add action=accept chain=forward comment="GRE erlauben" protocol=gre dst-address=192.168.1.X
Bene007 schreibt am 12.02.2012 um 12:31:50 Uhr
Super danke probier ich gleich aus. Auf di frage "einfach so" muss ich antworten, das wenn man ein Speedport als Modem verwenden will, dass man nicht nur einen haken bei "Gerät als Modem verwenden" setzen muss, sondern die dauerverbindung deaktivieren und die zugangsdaten im speedport löschen muss .
Eine letzte frage zu PBR: Kann man Breiche (...1.4-...1.99) erstellen oder muss man jede ip einzeln eintragen?
Danke
EDIT: Funkitoniert dyndns auch noch mit anderen Anbietern als dyndns.com?
Eine letzte frage zu PBR: Kann man Breiche (...1.4-...1.99) erstellen oder muss man jede ip einzeln eintragen?
Danke
EDIT: Funkitoniert dyndns auch noch mit anderen Anbietern als dyndns.com?
dog schreibt am 12.02.2012 um 14:22:27 Uhr
Eine letzte frage zu PBR: Kann man Breiche (...1.4-...1.99) erstellen oder muss man jede ip einzeln eintragen?
Ja, du kannst Bereiche angeben, als "192.168.1.100-192.168.1.199"
EDIT: Funkitoniert dyndns auch noch mit anderen Anbietern als dyndns.com?
Ja, solange die eine änhliche Technik verwenden. Du musst dir nur die entsprechenden URLs raussuchen.
Bene007 schreibt am 12.02.2012 um 16:40:25 Uhr
Tut mir echt leid, das ich jetzt nochmal nerve. das PBR funktioniert doch nicht. bei erstmal einrichten schon, aber dann nicht mehr. Ich habe mal hier was für dich
Ich hab doch alles richtig gemacht, kannst du mir bitte nochmal helfen
Danke
und ich gesehen, als ich nochmal neu aufgesetzt habe, das wenn ich
eingebe, das dann
kommt. muss das
heißen?
01.
[admin@MikroTik] > /ip firewall export 02.
# jan/02/1970 00:06:39 by RouterOS 5.12 03.
# software id = 4KRB-190T 04.
# 05.
/ip firewall connection tracking 06.
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=\ 07.
5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s 08.
/ip firewall filter 09.
add action=accept chain=spi comment="Bereits vorhandene Verbindungen akzeptieren" connection-state=established disabled=no 10.
add action=accept chain=spi comment="Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related disabled=no 11.
add action=drop chain=spi comment="Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no 12.
add action=return chain=spi comment="Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no 13.
add action=jump chain=input disabled=no jump-target=spi 14.
add action=accept chain=input comment="Ping immer annehmen" disabled=no icmp-options=8:0 protocol=icmp 15.
add action=accept chain=input comment="Alles aus dem LAN annehmen" disabled=no in-interface=ether3 16.
add action=drop chain=input comment="Alles andere verwerfen" disabled=no 17.
add action=jump chain=forward disabled=no jump-target=spi 18.
add action=accept chain=forward comment="Alles ueberall hin vom LAN erlauben" disabled=no in-interface=ether3 19.
add action=drop chain=input comment="Alles andere verwerfen" disabled=no 20.
/ip firewall mangle 21.
add action=mark-routing chain=prerouting comment="Client 1 ueber DSL B" disabled=no new-routing-mark=dslB passthrough=yes src-address=192.168.1.2-192.168.1.99 22.
/ip firewall nat 23.
add action=masquerade chain=srcnat comment="NAT fuer DSL1" disabled=no out-interface=pppoe1 24.
add action=masquerade chain=srcnat comment="NAT fuer DSL2" disabled=no out-interface=pppoe2 25.
/ip firewall service-port 26.
set ftp disabled=no ports=21 27.
set tftp disabled=no ports=69 28.
set irc disabled=no ports=6667 29.
set h323 disabled=no 30.
set sip disabled=no ports=5060,5061 sip-direct-media=yes 31.
set pptp disabled=noIch hab doch alles richtig gemacht, kannst du mir bitte nochmal helfen
Dankeund ich gesehen, als ich nochmal neu aufgesetzt habe, das wenn ich
01.
/ip neigh disc 02.
set ether1 dis=yes 03.
set ether2 dis=yeseingebe, das dann
01.
expected end of command (line 1 column 12)kommt. muss das
01.
/ip neigh disc 02.
set ether1 disc=yes 03.
set ether2 disc=yesheißen?
Bene007 schreibt am 13.02.2012 um 18:18:15 Uhr
01.
[admin@MikroTik] > /ip rout export 02.
# jan/02/1970 00:01:13 by RouterOS 5.12 03.
# software id = 4KRB-190T 04.
# 05.
/ip route 06.
add disabled=no distance=1 dst-address=217.0.116.80/32 gateway=pppoe2 \ 07.
pref-src=84.152.50.76 routing-mark=dslB scope=10 target-scope=10
Bene007 schreibt am 13.02.2012 um 18:48:47 Uhr
super, klasse. Danke, bin echt froh das das jetzt geht.
Und jetzt eine weitere Frage. Wie kann ich den Port 80 freigeben auf die ipadresse 192.168.1.2?
funkioniert irgendwie nicht
Und jetzt eine weitere Frage. Wie kann ich den Port 80 freigeben auf die ipadresse 192.168.1.2?
01.
/ip firewall nat add chain=dstnat dst-address=192.168.1.2 protocol=tcp dst-port=80\ 02.
action=dst-nat to-addresses=192.168.1.2 to-ports=80funkioniert irgendwie nicht
dog schreibt am 13.02.2012 um 19:51:06 Uhr
dst-address wird nicht angegeben. Stattdessen das In. Interface (pppoeX).
To Ports kannst du ebenfalls weglassen, das ist ja identisch.
Denk daran, das es dann auch noch in der Firewall unter Forward freigegeben werden muss (oder man deaktiviert den Fwd-Filter)
To Ports kannst du ebenfalls weglassen, das ist ja identisch.
Denk daran, das es dann auch noch in der Firewall unter Forward freigegeben werden muss (oder man deaktiviert den Fwd-Filter)
Bene007 schreibt am 13.02.2012 um 20:04:59 Uhr
ok passt das dann so
interface=ether1-ether2, da ich ich will, das man den webserver über pppoe1 und pppoe2 erreichen kann, oder macht man das dann anders
das ist doch so richtig oder?
Entschuldigung, dass ich so viel frage :/
EDIT: Also das mit "interface=ether1-ether2" geht so nicht, "interface" generell sagt er "expected end of command (line 1 column 35)". Und wenn ich meine Internetip eingebe, dann lande ich z.Z. in meinem Routermenü. Ist das so korrekt, scheint mir eher falsch zu sein.
Ziel der Sache ist, das der Server mit beiden Internetanschlüssen gleichzeitig kommunizieren kann
01.
/ip firewall nat add chain=dstnat interface=ether1-ether2 protocol=tcp dst-port=80\ 02.
action=dst-nat to-addresses=192.168.1.2interface=ether1-ether2, da ich ich will, das man den webserver über pppoe1 und pppoe2 erreichen kann, oder macht man das dann anders
01.
/ip firewall filter 02.
add action=accept chain=forward comment="Website" dst-port=80 protocol=tcp dst-address=192.168.1.2das ist doch so richtig oder?
Entschuldigung, dass ich so viel frage :/
EDIT: Also das mit "interface=ether1-ether2" geht so nicht, "interface" generell sagt er "expected end of command (line 1 column 35)". Und wenn ich meine Internetip eingebe, dann lande ich z.Z. in meinem Routermenü. Ist das so korrekt, scheint mir eher falsch zu sein.
Ziel der Sache ist, das der Server mit beiden Internetanschlüssen gleichzeitig kommunizieren kann
dog schreibt am 13.02.2012 um 21:15:49 Uhr
ok passt das dann so
Nein, über ether1/2 läuft kein Traffic, sondern über pppoe1/2 und es heißt in-interface.
Außerdem glaube ich nicht, dass du Schnittstellen so als Bereich angeben kannst (mach zwei Regeln).
interface=ether1-ether2, da ich ich will, das man den webserver über pppoe1 und pppoe2 erreichen kann, oder macht man das dann anders
Das ist eine ganz andere Kategorie von hässlich als PBR!
Aus dem Kopf würde ich sagen dafür musst die Connection marken und dann auf Basis der Connection Mark die Routing-Tabelle bestimmen.
das ist doch so richtig oder?
Ja, du musst nur auf die Reihenfolge der Regeln achten.
Und wenn ich meine Internetip eingebe, dann lande ich z.Z. in meinem Routermenü. Ist das so korrekt, scheint mir eher falsch zu sein.
Bei der Art von NAT in den Regeln ist das korrekt.
Die Variante wo auch das Port Forwarding von Intern funktioniert heißt Hairpin-NAT:
01.
/ip firewall nat 02.
add chain=dstnat dst-address-type=local dst-address=!192.168.1.3 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.2
Bene007 schreibt am 14.02.2012 um 12:17:21 Uhr
Nein, über ether1/2 läuft kein Traffic, sondern über pppoe1/2 und es heißt in-interface.
Außerdem glaube ich nicht, dass du Schnittstellen so als Bereich angeben kannst (mach zwei Regeln).
Außerdem glaube ich nicht, dass du Schnittstellen so als Bereich angeben kannst (mach zwei Regeln).
ok, das wäre dann
01.
/ip firewall nat 02.
add chain=dstnat in-interface=pppoe1 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.2 03.
add chain=dstnat in-interface=pppoe2 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.2Das ist eine ganz andere Kategorie von hässlich als PBR!
Aus dem Kopf würde ich sagen dafür musst die Connection marken und dann auf Basis der Connection Mark die
Routing-Tabelle bestimmen.
Aus dem Kopf würde ich sagen dafür musst die Connection marken und dann auf Basis der Connection Mark die
Routing-Tabelle bestimmen.
Verstehe nicht ganz, was du meinst
01.
> /ip firewall nat 02.
> add chain=dstnat dst-address-type=local dst-address=!192.168.1.3 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.2 03.
Jo hab ich eingefügt, nun kann man das Routermenü über das Internet nicht mehr erreichen, gut. Aber zugriff auf den server habe ich immer noch nicht
Hier der export meiner Firewall
01.
/ip firewall connection tracking 02.
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=\ 03.
5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s 04.
/ip firewall filter 05.
add action=accept chain=forward comment="PPTP-Negotiation erlauben" disabled=no dst-address=192.168.1.2 dst-port=1723 protocol=tcp 06.
add action=accept chain=forward comment=Website disabled=no dst-address=192.168.1.2 dst-port=80 protocol=tcp 07.
add action=accept chain=forward comment="GRE erlauben" disabled=no dst-address=192.168.1.2 protocol=gre 08.
add action=accept chain=spi comment="Bereits vorhandene Verbindungen akzeptieren" connection-state=established disabled=no 09.
add action=accept chain=spi comment="Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related disabled=no 10.
add action=drop chain=spi comment="Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no 11.
add action=return chain=spi comment="Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no 12.
add action=jump chain=input disabled=no jump-target=spi 13.
add action=accept chain=input comment="Ping immer annehmen" disabled=no icmp-options=8:0 protocol=icmp 14.
add action=accept chain=input comment="Alles aus dem LAN annehmen" disabled=no in-interface=ether3 15.
add action=drop chain=input comment="Alles andere verwerfen" disabled=no 16.
add action=jump chain=forward disabled=no jump-target=spi 17.
add action=accept chain=forward comment="Alles ueberall hin vom LAN erlauben" disabled=no in-interface=ether3 18.
add action=drop chain=input comment="Alles andere verwerfen" disabled=no 19.
/ip firewall mangle 20.
add action=mark-routing chain=prerouting comment="Client 1 ueber DSL B" disabled=no new-routing-mark=dslB passthrough=yes src-address=192.168.1.2-192.168.1.99 21.
/ip firewall nat 22.
add action=masquerade chain=srcnat comment="NAT fuer DSL1" disabled=no out-interface=pppoe1 23.
add action=masquerade chain=srcnat comment="NAT fuer DSL2" disabled=no out-interface=pppoe2 24.
add action=dst-nat chain=dstnat comment="PPTP Negotiation -> Server" disabled=no dst-port=1723 in-interface=pppoe1 protocol=tcp to-addresses=192.168.1.2 25.
add action=dst-nat chain=dstnat comment="GRE -> Server" disabled=no in-interface=pppoe1 protocol=gre to-addresses=192.168.1.2 26.
add action=dst-nat chain=dstnat comment="PPTP Negotiation -> Server" disabled=no dst-port=1723 in-interface=pppoe2 protocol=tcp to-addresses=192.168.1.2 27.
add action=dst-nat chain=dstnat comment="GRE -> Server" disabled=no in-interface=pppoe2 protocol=gre to-addresses=192.168.1.2 28.
add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=pppoe1 protocol=tcp to-addresses=192.168.1.2 29.
add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=pppoe2 protocol=tcp to-addresses=192.168.1.2 30.
add action=dst-nat chain=dstnat disabled=no dst-address=!192.168.1.3 dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.1.2 31.
/ip firewall service-port 32.
set ftp disabled=no ports=21 33.
set tftp disabled=no ports=69 34.
set irc disabled=no ports=6667 35.
set h323 disabled=no 36.
set sip disabled=no ports=5060,5061 sip-direct-media=yes 37.
set pptp disabled=no
dog schreibt am 14.02.2012 um 20:27:45 Uhr
ok, das wäre dann
Ja
Jo hab ich eingefügt, nun kann man das Routermenü über das Internet nicht mehr erreichen, gut.
Das konnte man nie aus dem Internet erreichen.
Es war lediglich aus dem internen Netz mit der öffentlichen IP auch erreichbar (logisch, denn die gehört ja auch dem Router).
Die Reihenfolge deiner Regeln ist durcheinander.
Die Jump->SPI Regel muss in jedem Chain ganz oben sein.
Dein Forward-Chain hat auch keine abschließende Drop-Regel (gut, die Telekom filtert hinreichend, darum ist die optional), dafür hat dein Input-Chain zwei.
01.
add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=pppoe1 protocol=tcp to-addresses=192.168.1.2 02.
add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=pppoe2 protocol=tcp to-addresses=192.168.1.2 03.
04.
add action=dst-nat chain=dstnat disabled=no dst-address=!192.168.1.3 dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.1.2Das ist auch doppelt. Die 3. Regel ersetzt die beiden anderen.
Bene007 schreibt am 15.02.2012 um 11:19:05 Uhr
Dürfte doch jetzt soweit stimmen oder?
Wenn ich jetzt meine Internetip eingebe kommt:
Fehler: Netzwerk-Zeitüberschreitung
Der Server unter *Meine Internetip* braucht zu lange, um eine Antwort zu senden.
Ich hoffe du kannst mir noch weiterhelfen. Danke
01.
# jan/03/1970 16:31:01 by RouterOS 5.12 02.
# software id = 4KRB-190T 03.
# 04.
/ip firewall connection tracking 05.
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=\ 06.
5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s 07.
/ip firewall filter 08.
add action=jump chain=forward disabled=no jump-target=spi 09.
add action=jump chain=input disabled=no jump-target=spi 10.
add action=accept chain=spi comment="Bereits vorhandene Verbindungen akzeptieren" connection-state=established disabled=no 11.
add action=accept chain=spi comment="Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related disabled=no 12.
add action=return chain=spi comment="Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no 13.
add action=accept chain=forward comment="PPTP-Negotiation erlauben" disabled=no dst-address=192.168.1.2 dst-port=1723 protocol=tcp 14.
add action=accept chain=forward comment=Website disabled=no dst-address=192.168.1.2 dst-port=80 protocol=tcp 15.
add action=accept chain=forward comment="GRE erlauben" disabled=no dst-address=192.168.1.2 protocol=gre 16.
add action=accept chain=input comment="Ping immer annehmen" disabled=no icmp-options=8:0 protocol=icmp 17.
add action=accept chain=input comment="Alles aus dem LAN annehmen" disabled=no in-interface=ether3 18.
add action=accept chain=forward comment="Alles ueberall hin vom LAN erlauben" disabled=no in-interface=ether3 19.
add action=drop chain=input comment="Alles andere verwerfen" disabled=no 20.
add action=drop chain=spi comment="Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no 21.
add action=drop chain=input comment="Alles andere verwerfen" disabled=no 22.
/ip firewall mangle 23.
add action=mark-routing chain=prerouting comment="Client 1 ueber DSL B" disabled=no new-routing-mark=dslB passthrough=yes src-address=192.168.1.2-192.168.1.99 24.
/ip firewall nat 25.
add action=masquerade chain=srcnat comment="NAT fuer DSL1" disabled=no out-interface=pppoe1 26.
add action=masquerade chain=srcnat comment="NAT fuer DSL2" disabled=no out-interface=pppoe2 27.
add action=dst-nat chain=dstnat comment="PPTP Negotiation -> Server" disabled=no dst-port=1723 in-interface=pppoe1 protocol=tcp to-addresses=192.168.1.2 28.
add action=dst-nat chain=dstnat comment="GRE -> Server" disabled=no in-interface=pppoe1 protocol=gre to-addresses=192.168.1.2 29.
add action=dst-nat chain=dstnat comment="PPTP Negotiation -> Server" disabled=no dst-port=1723 in-interface=pppoe2 protocol=tcp to-addresses=192.168.1.2 30.
add action=dst-nat chain=dstnat comment="GRE -> Server" disabled=no in-interface=pppoe2 protocol=gre to-addresses=192.168.1.2 31.
add action=dst-nat chain=dstnat disabled=no dst-address=!192.168.1.3 dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.1.2 32.
/ip firewall service-port 33.
set ftp disabled=no ports=21 34.
set tftp disabled=no ports=69 35.
set irc disabled=no ports=6667 36.
set h323 disabled=no 37.
set sip disabled=no ports=5060,5061 sip-direct-media=yes 38.
set pptp disabled=noWenn ich jetzt meine Internetip eingebe kommt:
Fehler: Netzwerk-Zeitüberschreitung
Der Server unter *Meine Internetip* braucht zu lange, um eine Antwort zu senden.
Ich hoffe du kannst mir noch weiterhelfen. Danke
dog schreibt am 18.02.2012 um 19:23:54 Uhr
Der Server unter *Meine Internetip* braucht zu lange, um eine Antwort zu senden.
Das liegt an deinen NAT-Regeln, die werden nur auf ausgehenden Traffic angewendet (und nicht auf Hairpin-Traffic).
01.
add action=masquerade chain=srcnat comment="NAT fuer DSL1" disabled=no out-interface=pppoe1 02.
add action=masquerade chain=srcnat comment="NAT fuer DSL2" disabled=no out-interface=pppoe2Dort muss noch hinzugefügt werden:
01.
add action=masquerade chain=srcnat comment="Lokal <-> Lokal NATen" disabled=no src-address=192.168.1.0/24 dst-address=192.168.1.0/24Du könntest auch das Problem den Server von beiden IPs zu erreichen gleich damit erschlagen, wenn du stattdessen schreibst:
01.
add action=masquerade chain=srcnat comment="-> Server NAT" disabled=no dst-address=192.168.1.0/24Dann würde aber jeder Client von überall im Server-Log mit der IP des Routers stehen.
Bene007 schreibt am 20.02.2012 um 13:00:42 Uhr
So Danke für deine Antwort. Aber es funktioniert irgendwie nicht.
Der Server ist standardmäßig mit DSL-B verbunden. Wenn ich jetzt die Internet-IP von Internetanschluss DSL-B eingebe komme ich auf die Webseite, wenn jetzt die Internet-IP von DSL-A eingebe kommt "Fehler: Server nicht gefunden"
Auch das VPN geht (dann logischer weise) nur über DSL-B. Kannst du mir weiterhelfen?
Der Server ist standardmäßig mit DSL-B verbunden. Wenn ich jetzt die Internet-IP von Internetanschluss DSL-B eingebe komme ich auf die Webseite, wenn jetzt die Internet-IP von DSL-A eingebe kommt "Fehler: Server nicht gefunden"
Auch das VPN geht (dann logischer weise) nur über DSL-B. Kannst du mir weiterhelfen?
Bene007 schreibt am 21.02.2012 um 11:28:57 Uhr
Export Firewall
Export Route
Bei beiden kommt "Fehler: Netzwerk-Zeitüberschreitung"
01.
# jan/02/1970 00:02:07 by RouterOS 5.12 02.
# software id = 4KRB-190T 03.
# 04.
/ip firewall connection tracking 05.
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \ 06.
tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=\ 07.
10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s \ 08.
tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s \ 09.
udp-stream-timeout=3m udp-timeout=10s 10.
/ip firewall filter 11.
add action=jump chain=forward disabled=no jump-target=spi 12.
add action=jump chain=input disabled=no jump-target=spi 13.
add action=accept chain=spi comment=\ 14.
"Bereits vorhandene Verbindungen akzeptieren" connection-state=established \ 15.
disabled=no 16.
add action=accept chain=spi comment=\ 17.
"Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=\ 18.
related disabled=no 19.
add action=accept chain=forward comment="PPTP-Negotiation erlauben" disabled=no \ 20.
dst-address=192.168.1.2 dst-port=1723 protocol=tcp 21.
add action=accept chain=forward comment="GRE erlauben" disabled=no dst-address=\ 22.
192.168.1.2 protocol=gre 23.
add action=accept chain=forward comment=Website disabled=no dst-address=\ 24.
192.168.1.2 dst-port=80 protocol=tcp 25.
add action=accept chain=forward comment="Alles ueberall hin vom LAN erlauben" \ 26.
disabled=no in-interface=ether3 27.
add action=accept chain=input comment="Ping immer annehmen" disabled=no \ 28.
icmp-options=8:0 protocol=icmp 29.
add action=accept chain=input comment="Alles aus dem LAN annehmen" disabled=no \ 30.
in-interface=ether3 31.
add action=return chain=spi comment=\ 32.
"Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no 33.
add action=drop chain=spi comment=\ 34.
"Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" \ 35.
connection-state=invalid disabled=no 36.
add action=drop chain=input comment="Alles andere verwerfen" disabled=no 37.
add action=drop chain=input comment="Alles andere verwerfen" disabled=no 38.
/ip firewall mangle 39.
add action=mark-routing chain=prerouting comment="Client 1 ueber DSL B" \ 40.
disabled=no new-routing-mark=dslB passthrough=yes src-address=\ 41.
192.168.1.2-192.168.1.99 42.
/ip firewall nat 43.
add action=masquerade chain=srcnat comment="NAT fuer DSL1" disabled=no \ 44.
out-interface=pppoe1 45.
add action=masquerade chain=srcnat comment="NAT fuer DSL2" disabled=no \ 46.
out-interface=pppoe2 47.
add action=dst-nat chain=dstnat comment="PPTP Negotiation -> Server" disabled=\ 48.
no dst-port=1723 in-interface=pppoe1 protocol=tcp to-addresses=192.168.1.2 49.
add action=dst-nat chain=dstnat comment="GRE -> Server" disabled=no \ 50.
in-interface=pppoe1 protocol=gre to-addresses=192.168.1.2 51.
add action=dst-nat chain=dstnat comment="PPTP Negotiation -> Server" disabled=\ 52.
no dst-port=1723 in-interface=pppoe2 protocol=tcp to-addresses=192.168.1.2 53.
add action=dst-nat chain=dstnat comment="GRE -> Server" disabled=no \ 54.
in-interface=pppoe2 protocol=gre to-addresses=192.168.1.2 55.
add action=dst-nat chain=dstnat disabled=no dst-address=!192.168.1.3 \ 56.
dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.1.2 57.
add action=masquerade chain=srcnat comment="-> Server NAT" disabled=no \ 58.
dst-address=192.168.1.0/24 59.
/ip firewall service-port 60.
set ftp disabled=no ports=21 61.
set tftp disabled=no ports=69 62.
set irc disabled=no ports=6667 63.
set h323 disabled=no 64.
set sip disabled=no ports=5060,5061 sip-direct-media=yes 65.
set pptp disabled=noExport Route
01.
# jan/02/1970 00:03:00 by RouterOS 5.12 02.
# software id = 4KRB-190T 03.
# 04.
/ip route 05.
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe2 routing-mark=\ 06.
dslB scope=10 target-scope=10Bei beiden kommt "Fehler: Netzwerk-Zeitüberschreitung"
dog schreibt am 21.02.2012 um 23:03:26 Uhr
Ändere die Firewall-Regeln so:
Danach deaktivierst du die Mangle-Regel, dann muss der Server zumindest über die 1. IP erreichbar sein.
01.
02.
/ip firewall filter 03.
add action=accept chain=spi comment="Bereits vorhandene Verbindungen akzeptieren" connection-state=established 04.
add action=accept chain=spi comment="Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related 05.
add action=drop chain=spi comment="Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid 06.
add action=return chain=spi comment="Zurueck, die restlichen Regeln sind Chain-spezifisch" 07.
08.
add action=jump chain=forward jump-target=spi 09.
add action=accept chain=forward comment="PPTP-Negotiation erlauben" dst-address=192.168.1.2 dst-port=1723 protocol=tcp 10.
add action=accept chain=forward comment="GRE erlauben" dst-address=192.168.1.2 protocol=gre 11.
add action=accept chain=forward comment=Website dst-address=192.168.1.2 dst-port=80 protocol=tcp 12.
add action=accept chain=forward comment="Alles ueberall hin vom LAN erlauben" in-interface=ether3 13.
add action=drop chain=forward comment="Alles andere verwerfen" 14.
15.
add action=jump chain=input jump-target=spi 16.
add action=accept chain=input comment="Ping immer annehmen" icmp-options=8:0 protocol=icmp 17.
add action=accept chain=input comment="Alles aus dem LAN annehmen" in-interface=ether3 18.
add action=drop chain=input comment="Alles andere verwerfen" 19.
20.
/ip firewall mangle 21.
add action=mark-routing chain=prerouting comment="Client 1 ueber DSL B" new-routing-mark=dslB passthrough=yes src-address=192.168.1.2-192.168.1.99 22.
23.
/ip firewall nat 24.
add action=masquerade chain=srcnat comment="NAT fuer DSL1" out-interface=pppoe1 25.
add action=masquerade chain=srcnat comment="NAT fuer DSL2" out-interface=pppoe2 26.
add action=masquerade chain=srcnat comment="-> Server NAT" dst-address=192.168.1.0/24 27.
28.
add action=dst-nat chain=dstnat dst-address=!192.168.1.3 dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.1.2 29.
add action=dst-nat chain=dstnat comment="PPTP Negotiation -> Server" dst-address=!192.168.1.3 dst-address-type=local dst-port=1723 protocol=tcp to-addresses=192.168.1.2 30.
add action=dst-nat chain=dstnat comment="GRE -> Server" dst-address=!192.168.1.3 dst-address-type=local protocol=gre to-addresses=192.168.1.2 31.
Danach deaktivierst du die Mangle-Regel, dann muss der Server zumindest über die 1. IP erreichbar sein.
Bene007 schreibt am 22.02.2012 um 10:39:32 Uhr
So habe ich gemacht. Jetzt kann man der Server über die 1. IP erreichen. Jetzt hab ich mir gedacht, da der Server die IP 192.168.1.2 hat, dass ich die PBR Regel ändere auf den Bereich 192.168.1.4 - 192.168.1.99. Nun kann man den Server über beide erreichen und das PBR geht auch. Echt super, danke, ich weiß gar nicht wie ich mich bedanken soll.
Ein Problem gibt es noch, ich kann jetzt über die 1. Internet-IP VPN aufbauen, über die 2. aber nicht. Wenn dieses Problem auch noch behoben ist, dann ist es perfekt. Kannst du mir da auch noch helfen
Ein Problem gibt es noch, ich kann jetzt über die 1. Internet-IP VPN aufbauen, über die 2. aber nicht. Wenn dieses Problem auch noch behoben ist, dann ist es perfekt. Kannst du mir da auch noch helfen
Bene007 schreibt am 22.02.2012 um 14:14:07 Uhr
Das stimmt, habs grad getestet, dann kann man den Server immer nur über die Internet-IP erreichen mit der er standardmäßig verbunden ist. Das ist ja nicht mein Ziel. Im will das man den Server über beide gleichzeitig erreichen kann, wenn das geht, geht ja logischerweise auch gleich VPN. Hast du dafür auch noch eine Lösung parat?
