5
Mikrotik RB750 mit Trennung des Internet-Traffics auf 2 WAN-Ports
Hallo zusammen,
ich bin kein Router-Experte, und so habe ich gerade ein paar Schwierigkeiten einen Mikrotik RB750 per Winbox korrekt zu konfigurieren.
Folgende Ausgangssitution:
Port 1 und 2 sind WAN1 und WAN2, jeweils eine PPPoE-Einwählverbindung
Port 3 ist LAN1, an dem ein Switch mit dem ganzen LAN hängt.
Im LAN ist auch ein Mailserver vorhanden.
Ich möchte den Router nun so konfigurieren, dass nur der Mail-Verkehr (Also TCP Port 25) über WAN2 geht, der Rest (http, https, ftp, später auch VPN) soll alles über WAN1 gehen.
Aktueller Stand ist, dass die PPPoE-Verbindungen funktionieren, und der Mail-Verkehr geht auch über WAN2.
Nur gehen http und https (teilweise oder ganz, da bin ich mir grad nicht ganz sicher) auch über WAN2.
Aktuell ist die Route zu 0.0.0.0/0 für jeden WAN-Port angelegt - vermutlich ist das nicht korrekt, aber keine Ahnung, wie der Router damit umgeht, und wie ich das ändern muss.
Ausserdem habe ich Port-Forwarding für ein- und ausgehenden Traffic für Port 25 eingerichtet - dies scheint auch zu funktionieren.
Es gibt ja nun vermutlich 2 Möglichkeiten die Sache einzurichten:
1) Explizit festlegen, welches Protokoll über WAN1 und welches über WAN2 gehen soll.
2) (dies würde ich bevorzugen) Festlegen, dass alles über WAN1 gehen soll (Standardgateway), mit der Ausnahme für ein- und ausgehenden Mail-Verkehr, da der nur über WAN2 laufen soll.
Wie kann ich den zweiten Weg am besten realisieren?
Vielen Dank vorab!
ich bin kein Router-Experte, und so habe ich gerade ein paar Schwierigkeiten einen Mikrotik RB750 per Winbox korrekt zu konfigurieren.
Folgende Ausgangssitution:
Port 1 und 2 sind WAN1 und WAN2, jeweils eine PPPoE-Einwählverbindung
Port 3 ist LAN1, an dem ein Switch mit dem ganzen LAN hängt.
Im LAN ist auch ein Mailserver vorhanden.
Ich möchte den Router nun so konfigurieren, dass nur der Mail-Verkehr (Also TCP Port 25) über WAN2 geht, der Rest (http, https, ftp, später auch VPN) soll alles über WAN1 gehen.
Aktueller Stand ist, dass die PPPoE-Verbindungen funktionieren, und der Mail-Verkehr geht auch über WAN2.
Nur gehen http und https (teilweise oder ganz, da bin ich mir grad nicht ganz sicher) auch über WAN2.
Aktuell ist die Route zu 0.0.0.0/0 für jeden WAN-Port angelegt - vermutlich ist das nicht korrekt, aber keine Ahnung, wie der Router damit umgeht, und wie ich das ändern muss.
Ausserdem habe ich Port-Forwarding für ein- und ausgehenden Traffic für Port 25 eingerichtet - dies scheint auch zu funktionieren.
Es gibt ja nun vermutlich 2 Möglichkeiten die Sache einzurichten:
1) Explizit festlegen, welches Protokoll über WAN1 und welches über WAN2 gehen soll.
2) (dies würde ich bevorzugen) Festlegen, dass alles über WAN1 gehen soll (Standardgateway), mit der Ausnahme für ein- und ausgehenden Mail-Verkehr, da der nur über WAN2 laufen soll.
Wie kann ich den zweiten Weg am besten realisieren?
Vielen Dank vorab!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 247701
Url: https://administrator.de/contentid/247701
Printed on: April 16, 2024 at 04:04 o'clock
5 Comments
Latest comment
Moin Colt,
Stichwort: Policy Based Routing
Du setzt das Default-GW auf WAN1 (deine zweite angelegte Default Route löschst du oder vergibst ihr alternativ eine höhere Metrik, dann legst du eine Mangle-Rule an die Pakete welche aus deinem Netz auf den Dest. Port 25 in's Internet gehen, markiert.
Zum Schluss legst du eine statische Route an welche diese markierten Pakete über WAN2 leitet, feddich.
Grüße Uwe
Stichwort: Policy Based Routing
Du setzt das Default-GW auf WAN1 (deine zweite angelegte Default Route löschst du oder vergibst ihr alternativ eine höhere Metrik, dann legst du eine Mangle-Rule an die Pakete welche aus deinem Netz auf den Dest. Port 25 in's Internet gehen, markiert.
Zum Schluss legst du eine statische Route an welche diese markierten Pakete über WAN2 leitet, feddich.
Grüße Uwe
Hi Uwe,
vielen Dank für Deinen Beitrag!
Ich hab mir den Link durchgelesen, und auch verstanden, was PBR ist und wie das mit dem Markieren einzelner Pakete funktioniert.
Dein Beitrag hat mich aber auch noch auf eine viel einfachere Idee gebracht: Einfach die Default Route über WAN2 löschen, feddich.
Denn die Default Route über WAN1 existiert ja bereits, und das Routing von TCP 25 über WAN2 existiert ja ebenfalls.
Mehr brauchts doch gar nicht, oder?
(Mir ist klar, durch das Markieren von Paketen kann man auch komplexere Szenarien realisieren - PBR ist schon sehr mächtig.
Insbesondere in dem Szenario, das in dem Link beschrieben wird, ist es ja erforderlich innerhalb von Protokollen den Verkehr umzuleiten.
Die eine Webseite über WAN1 aufrufen, die andere über WAN2 - das ginge ja mit meinem Ansatz schon nicht mehr.)
Aber für mein Szenario reicht es doch auch so, oder hab ich irgendwas wesentliches übersehen?
Gruß,
Colt
vielen Dank für Deinen Beitrag!
Ich hab mir den Link durchgelesen, und auch verstanden, was PBR ist und wie das mit dem Markieren einzelner Pakete funktioniert.
Dein Beitrag hat mich aber auch noch auf eine viel einfachere Idee gebracht: Einfach die Default Route über WAN2 löschen, feddich.
Denn die Default Route über WAN1 existiert ja bereits, und das Routing von TCP 25 über WAN2 existiert ja ebenfalls.
Mehr brauchts doch gar nicht, oder?
(Mir ist klar, durch das Markieren von Paketen kann man auch komplexere Szenarien realisieren - PBR ist schon sehr mächtig.
Insbesondere in dem Szenario, das in dem Link beschrieben wird, ist es ja erforderlich innerhalb von Protokollen den Verkehr umzuleiten.
Die eine Webseite über WAN1 aufrufen, die andere über WAN2 - das ginge ja mit meinem Ansatz schon nicht mehr.)
Aber für mein Szenario reicht es doch auch so, oder hab ich irgendwas wesentliches übersehen?
Gruß,
Colt
Was meinst du mit Portforwarding für ausgehenden Traffic ?????
Also nochmal: Du leitest eingehenden Traffic auf WAN2 Port 25 via DSTNAT an den Mailserver, gut, das ist aber nur die eingehende Seite inkl. "related" Traffic.
Für ausgehenden Traffic auf Port 25 wie oben: Mangle Rule und Route drauf, reicht.
Wenn du den letzten Teil nicht hast wird der Mailserver ansonsten mit von sich aus aufgebauten Verbindungen über WAN1 gehen, wegen der Default-Route!
Also nochmal: Du leitest eingehenden Traffic auf WAN2 Port 25 via DSTNAT an den Mailserver, gut, das ist aber nur die eingehende Seite inkl. "related" Traffic.
Für ausgehenden Traffic auf Port 25 wie oben: Mangle Rule und Route drauf, reicht.
Wenn du den letzten Teil nicht hast wird der Mailserver ansonsten mit von sich aus aufgebauten Verbindungen über WAN1 gehen, wegen der Default-Route!
Hi Uwe,
hab grad nochmal nachgeschaut - es ist bei mir wie folgt eingerichtet.
Der Mailserver im LAN versendet Mails nicht selbst, sondern leitet sie weiter an einen anderen Mailserver im Rechenzentrum, und dann werden sie von dort aus verschickt. (Ein sogenanntes Mail-Relay).
Das heisst: Alle Mails, die aus dem LAN rausgehen, gehen an eine bestimmte IP-Adresse (nämlich an die Serveradresse des Mailrelays im Rechenzentrum), sagen wir 1.1.1.1
Zusätzlich zur Default-Route habe ich eine weitere Route angelegt: Alles, was an 1.1.1.1 geht, soll über WAN2 gehen.
Das scheint auch zu funktionieren.
Was ich aber eigentlich mit "Portforwarding für ausgehenden Traffic" gemeint habe:
Mails kommen ja auf Port 25 per TCP über WAN2 rein. Diese werden an die feste IP des Mailservers im LAN weitergeleitet, sagen wir 192.168.0.1.
Das gleiche müsste doch auch rückwärts möglich sein: Alles was von 192.168.0.1 über Port 25 per TCP nach draussen geht über WAN2 leiten.
Das wäre dann eine scrnat-Regel, oder?
Gruß,
Colt
hab grad nochmal nachgeschaut - es ist bei mir wie folgt eingerichtet.
Der Mailserver im LAN versendet Mails nicht selbst, sondern leitet sie weiter an einen anderen Mailserver im Rechenzentrum, und dann werden sie von dort aus verschickt. (Ein sogenanntes Mail-Relay).
Das heisst: Alle Mails, die aus dem LAN rausgehen, gehen an eine bestimmte IP-Adresse (nämlich an die Serveradresse des Mailrelays im Rechenzentrum), sagen wir 1.1.1.1
Zusätzlich zur Default-Route habe ich eine weitere Route angelegt: Alles, was an 1.1.1.1 geht, soll über WAN2 gehen.
Das scheint auch zu funktionieren.
Was ich aber eigentlich mit "Portforwarding für ausgehenden Traffic" gemeint habe:
Mails kommen ja auf Port 25 per TCP über WAN2 rein. Diese werden an die feste IP des Mailservers im LAN weitergeleitet, sagen wir 192.168.0.1.
Das gleiche müsste doch auch rückwärts möglich sein: Alles was von 192.168.0.1 über Port 25 per TCP nach draussen geht über WAN2 leiten.
Das wäre dann eine scrnat-Regel, oder?
Gruß,
Colt
Der Mailserver im LAN versendet Mails nicht selbst, sondern leitet sie weiter an einen anderen Mailserver im Rechenzentrum, und dann werden sie von dort aus verschickt.
Ah OK, die Info hatte mir gefehlt ... klar so kannst du es dann natürlich auch machen. In diesem Fall fliest dann aber auch jeglicher Traffic an die IP 1.1.1.1 über WAN2, aber das ist vermutlich kein Problem für dich, wenn das nur ein Mailserver ist.