Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Mikrotik RB750 mit Trennung des Internet-Traffics auf 2 WAN-Ports

Frage Netzwerke Router & Routing

Mitglied: coltseavers

coltseavers (Level 2) - Jetzt verbinden

28.08.2014, aktualisiert 29.08.2014, 1779 Aufrufe, 5 Kommentare

Hallo zusammen,

ich bin kein Router-Experte, und so habe ich gerade ein paar Schwierigkeiten einen Mikrotik RB750 per Winbox korrekt zu konfigurieren.

Folgende Ausgangssitution:
Port 1 und 2 sind WAN1 und WAN2, jeweils eine PPPoE-Einwählverbindung
Port 3 ist LAN1, an dem ein Switch mit dem ganzen LAN hängt.
Im LAN ist auch ein Mailserver vorhanden.

Ich möchte den Router nun so konfigurieren, dass nur der Mail-Verkehr (Also TCP Port 25) über WAN2 geht, der Rest (http, https, ftp, später auch VPN) soll alles über WAN1 gehen.

Aktueller Stand ist, dass die PPPoE-Verbindungen funktionieren, und der Mail-Verkehr geht auch über WAN2.
Nur gehen http und https (teilweise oder ganz, da bin ich mir grad nicht ganz sicher) auch über WAN2.

Aktuell ist die Route zu 0.0.0.0/0 für jeden WAN-Port angelegt - vermutlich ist das nicht korrekt, aber keine Ahnung, wie der Router damit umgeht, und wie ich das ändern muss.
Ausserdem habe ich Port-Forwarding für ein- und ausgehenden Traffic für Port 25 eingerichtet - dies scheint auch zu funktionieren.


Es gibt ja nun vermutlich 2 Möglichkeiten die Sache einzurichten:
1) Explizit festlegen, welches Protokoll über WAN1 und welches über WAN2 gehen soll.
2) (dies würde ich bevorzugen) Festlegen, dass alles über WAN1 gehen soll (Standardgateway), mit der Ausnahme für ein- und ausgehenden Mail-Verkehr, da der nur über WAN2 laufen soll.

Wie kann ich den zweiten Weg am besten realisieren?

Vielen Dank vorab!
Mitglied: colinardo
LÖSUNG 28.08.2014, aktualisiert 29.08.2014
Moin Colt,
Stichwort: Policy Based Routing
Du setzt das Default-GW auf WAN1 (deine zweite angelegte Default Route löschst du oder vergibst ihr alternativ eine höhere Metrik, dann legst du eine Mangle-Rule an die Pakete welche aus deinem Netz auf den Dest. Port 25 in's Internet gehen, markiert.
Zum Schluss legst du eine statische Route an welche diese markierten Pakete über WAN2 leitet, feddich.

Grüße Uwe
Bitte warten ..
Mitglied: coltseavers
28.08.2014 um 18:59 Uhr
Hi Uwe,

vielen Dank für Deinen Beitrag!
Ich hab mir den Link durchgelesen, und auch verstanden, was PBR ist und wie das mit dem Markieren einzelner Pakete funktioniert.

Dein Beitrag hat mich aber auch noch auf eine viel einfachere Idee gebracht: Einfach die Default Route über WAN2 löschen, feddich.
Denn die Default Route über WAN1 existiert ja bereits, und das Routing von TCP 25 über WAN2 existiert ja ebenfalls.
Mehr brauchts doch gar nicht, oder?

(Mir ist klar, durch das Markieren von Paketen kann man auch komplexere Szenarien realisieren - PBR ist schon sehr mächtig.
Insbesondere in dem Szenario, das in dem Link beschrieben wird, ist es ja erforderlich innerhalb von Protokollen den Verkehr umzuleiten.
Die eine Webseite über WAN1 aufrufen, die andere über WAN2 - das ginge ja mit meinem Ansatz schon nicht mehr.)

Aber für mein Szenario reicht es doch auch so, oder hab ich irgendwas wesentliches übersehen?

Gruß,
Colt
Bitte warten ..
Mitglied: colinardo
28.08.2014, aktualisiert um 20:02 Uhr
Was meinst du mit Portforwarding für ausgehenden Traffic ?????

Also nochmal: Du leitest eingehenden Traffic auf WAN2 Port 25 via DSTNAT an den Mailserver, gut, das ist aber nur die eingehende Seite inkl. "related" Traffic.
Für ausgehenden Traffic auf Port 25 wie oben: Mangle Rule und Route drauf, reicht.
Wenn du den letzten Teil nicht hast wird der Mailserver ansonsten mit von sich aus aufgebauten Verbindungen über WAN1 gehen, wegen der Default-Route!
Bitte warten ..
Mitglied: coltseavers
29.08.2014 um 00:47 Uhr
Hi Uwe,

hab grad nochmal nachgeschaut - es ist bei mir wie folgt eingerichtet.

Der Mailserver im LAN versendet Mails nicht selbst, sondern leitet sie weiter an einen anderen Mailserver im Rechenzentrum, und dann werden sie von dort aus verschickt. (Ein sogenanntes Mail-Relay).
Das heisst: Alle Mails, die aus dem LAN rausgehen, gehen an eine bestimmte IP-Adresse (nämlich an die Serveradresse des Mailrelays im Rechenzentrum), sagen wir 1.1.1.1

Zusätzlich zur Default-Route habe ich eine weitere Route angelegt: Alles, was an 1.1.1.1 geht, soll über WAN2 gehen.
Das scheint auch zu funktionieren.


Was ich aber eigentlich mit "Portforwarding für ausgehenden Traffic" gemeint habe:
Mails kommen ja auf Port 25 per TCP über WAN2 rein. Diese werden an die feste IP des Mailservers im LAN weitergeleitet, sagen wir 192.168.0.1.
Das gleiche müsste doch auch rückwärts möglich sein: Alles was von 192.168.0.1 über Port 25 per TCP nach draussen geht über WAN2 leiten.
Das wäre dann eine scrnat-Regel, oder?

Gruß,
Colt
Bitte warten ..
Mitglied: colinardo
LÖSUNG 29.08.2014, aktualisiert um 12:28 Uhr
Der Mailserver im LAN versendet Mails nicht selbst, sondern leitet sie weiter an einen anderen Mailserver im Rechenzentrum, und dann werden sie von dort aus verschickt.
Ah OK, die Info hatte mir gefehlt ... klar so kannst du es dann natürlich auch machen. In diesem Fall fliest dann aber auch jeglicher Traffic an die IP 1.1.1.1 über WAN2, aber das ist vermutlich kein Problem für dich, wenn das nur ein Mailserver ist.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
2 Wan Port an Mikrotik
Frage von roeggiLAN, WAN, Wireless10 Kommentare

Hallo Zusammen Ich stehe vor einem kleinen Problem. Habe eine Mikrotik RB 3011 bei der ich 2 Ports als ...

Router & Routing
Mikrotik RB750 - 2 Subnetze an einem Port möglich?
Frage von coltseaversRouter & Routing6 Kommentare

Hallo zusammen, ich habe folgende Netzwerk-Situation: An einem Mikrotik RB750 hängt an Ether1 der Internetzugang. An Ether2 hängt das ...

Router & Routing
Mikrotik - Limitierung d. gesamten Traffics
Frage von lars2015Router & Routing5 Kommentare

Guten Abend zusammen, ich habe folgendes Problem und finde keinen Lösungsansatz im Netz. Ich habe verschiedene externe ip adressen ...

Router & Routing
Trennung auf Layer 3 mit Mikrotik RB750GL
Frage von garlicRouter & Routing1 Kommentar

Hi zusammen, ich habe (siehe) vor zwei Privathaushalte zu vernetzen. Da ich mit Layer 2 und VLAN nicht weiterkomme, ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 19 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 23 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 5 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Windows 10
Probleme mit Dateien, deren Pfad + Dateiname länger als 256 Zeichen sind
Frage von FalaffelWindows 109 Kommentare

Guten Tag, unter Windows 10 scheint es immer noch das Problem zu geben, dass der Pfad + Dateiname einer ...