xDSL.at

[stoneii]

MikroTikRB750GL

Hallo guten tag,
ich such jemanden der sich mit Mikrotik Router auskennt.
Der mir einen Support geben kann.
Ich habe einige Dinge die ich gerne hätte dass die funktionieren.
Komm aber leider mit dem Mikrotik Wiki nicht ganz klar und versteh das meiste auch nicht.

Folgende Situation:

2 ISPs
1x A1 Business Internet 4M/786kbs fix IP
1x Richt Funk 10/10M
Router ist derzeit als Load Balancing konfiguriert.

Das funktioniert soweit auch.

Wan 1 ist Richtfunk über pptp - Verbindung pptp macht auch der MikroTik auf
Wan 2 ist A1 Modem auf Routing

1. Loadbalancer reagiert langsam bei Ausfall.
2. Möchte gerne Mangel einstellen das ich z.B. das Port 80 von einer internen ip(Rechner) fix über das Wan1 raus geht.
Und z.B. Port 443 über Wan2 raus geht.
Dann hätte ich auch das ich sagen kann Rechner xyz darf aller Services nur über das Wan x y aufbauen.
3. Würde ich gerne Quality of Service (QoS) konfigurieren. auf Port und IP ebene.

Hätte da noch so einiges aber dazu später.


Erstmal Danke für Antwort
mfg

[zid]

beim roteros sind routing und firewall sehr schöne verbrämungen von iproute2 und iptables, sodaß die ganze sache für uns user noch einfacher wird als sie ohnehin schon ist:

- pakete mit dst-port tcp/80 und tcp/443 markieren:

Code: Alles auswählen

> ip f m a ch prerouting ac mark-r new-r tcp80 pas n pr tcp dst-p 80 di n
> ip f m a ch prerouting ac mark-r new-r tcp443 pas n pr tcp dst-p 443 di n

- default routen für die markierten pakete setzen:

Code: Alles auswählen

>ip r a dst 0.0.0.0/0 gate <ip.von.gate.1> routing-m tcp80
>ip r a dst 0.0.0.0/0 gate <ip.von.gate.2> routing-m tcp443

die regeln der mangle table sollten möglichst früh durchlaufen werden (i.e. einen möglichst niedrigen index haben), weils sonst zoff mim load balancing geben könnte (pcc z.b.).
kontrolle mit dem sniffer des tikerls (nimm vielleicht nmap, sodaß du beim tracen nicht zugemüllt wirst) sollte ca. so aussehen:

Code: Alles auswählen

0 time=3.653 num=1 direction=rx interface=ether1-local
   src-address=*.*.*.172:57206 dst-address=91.237.143.222:80 (http)
   protocol=ip ip-protocol=tcp size=46 ip-packet-size=40 ip-header-size=20
   dscp=0 identification=49975 fragment-offset=0 ttl=45 tcp-flags=syn

1 time=3.653 num=2 direction=rx interface=bridge
   src-address=*.*.*.172:57206 dst-address=91.237.143.222:80 (http)
   protocol=ip ip-protocol=tcp size=46 ip-packet-size=40 ip-header-size=20
   dscp=0 identification=49975 fragment-offset=0 ttl=45 tcp-flags=syn

2 time=3.653 num=3 direction=tx interface=james-bond
   src-address=*.*.*.172:57206 dst-address=91.237.143.222:80 (http)
   protocol=ip ip-protocol=tcp size=40 ip-packet-size=40 ip-header-size=20
   dscp=0 identification=49975 fragment-offset=0 ttl=44 tcp-flags=syn
...
...
0 time=6.21 num=1 direction=rx interface=ether1-local
   src-address=*.*.*.172:33416 dst-address=91.237.143.222:443 (https)
   protocol=ip ip-protocol=tcp size=46 ip-packet-size=40 ip-header-size=20
   dscp=0 identification=13213 fragment-offset=0 ttl=44 tcp-flags=syn

1 time=6.21 num=2 direction=rx interface=bridge
   src-address=*.*.*.172:33416 dst-address=91.237.143.222:443 (https)
   protocol=ip ip-protocol=tcp size=46 ip-packet-size=40 ip-header-size=20
   dscp=0 identification=13213 fragment-offset=0 ttl=44 tcp-flags=syn

2 time=6.21 num=3 direction=tx interface=pptp-out2
   src-address=*.*.*.217:33416 dst-address=91.237.143.222:443 (https)
   protocol=ip ip-protocol=tcp size=40 ip-packet-size=40 ip-header-size=20
   dscp=0 identification=13213 fragment-offset=0 ttl=43 tcp-flags=syn
...
...

du siehst, daß der rechner .172 ein syn packerl auf die dst-ports tcp/80 und tcp/443 rausschickt. das 80er geht über den bond-link ("james-bond") und das 443er geht über die 2. leitung ("pptp-out2").
ich selbst verwend das ganze praktisch für sip, weil bei mir der bond-link automatisch deaktiviert wird, wenn die glotze rennt.

lg
zid

[stoneii]

Hallo zid,

Danke für deine Antwort.
das mit - pakete mit dst-port tcp/80 und tcp/443 markieren und - default routen für die markierten pakete setzen
habe ich verstanden. soweit so gut.

Habe es auch mittlerweile zusammen gebraucht das ich an Rechner direkt über einen ISP schicke.

Code: Alles auswählen

/ip firewall address-list
add address=192.168.2.6 disabled=no list=DSL1_USERS_LIST
add address=192.168.2.7 disabled=no list=DSL2_USERS_LIST

/ip firewall mangle
add action=mark-routing chain=prerouting disabled=no new-routing-mark=wan1_user passthrough=no src-address-list=DSL1_USERS_LIST
add action=mark-routing chain=prerouting disabled=no new-routing-mark=wan2_user passthrough=no src-address-list=DSL2_USERS_LIST
   
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.5.2 routing-mark=wan1_user scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.6.2 routing-mark=wan2_user scope=30 target-scope=10


Jetzt versteh ich nur nicht welcher load balancer der besser ist und vor allem welchen ich eingerichtet habe *gg*
es gibt ja so einige load balancer. pcc,nth,ecmp!
ich finde bevor ich am router os weitere Einstellungen treffe sollte ich den load balancer auf vorder man bringen so dass er im Regelfall auch funktioniert.
Dazu meine bitte könntest du dir meine derzeitige config anschauen?

[zid]

"...ip firewall address-list..."
hm, also wenn du die routing policies wirklich nur src-ip based (i.e. "klassisch") brauchst, dann würd ich das ganze nicht über die firewall, sondern gleich über routing rules schaukeln. hat zwar den nachteil, daß du keine address lists (netze aber sehr wohl!) anlegen kannst, dafür bleibt aber die firewall schön schlank:

Code: Alles auswählen

> ip r ru a 192.168.2.6 a lookup t  wan1_user
> ip r ru a 192.168.2.7 a lookup t  wan2_user

die routen bleiben wie gehabt.

>"...vor allem welchen ich eingerichtet habe..."
ja, ich kenn mich bei meinem herumgemurkse auch nie aus...

>"...es gibt ja so einige load balancer. pcc,nth,ecmp!..."
ich hab den pcc am liebsten, weil dieser mechanismus sehr intuitiv ist. durch die restklassenbildung veranstaltest du
de facto ein würfelspiel, das nach dem schwachen gesetz der großen zahlen gegen die gewünschte grenzverteilung, i.e. bb-verhältnis, (eben schwach) konvergiert. in der praxis mußt du nur "hinreichend" viele verbindungen offen haben, und alles is paletti. einfacher gehts nimmer...
intuitive einfachheit ist zwar nett, aber nicht das entscheidungskriterium. frage ist, was *du* brauchst. wenn du z.b. im laufenden betrieb nur wenige verbindungen öffnest, dann kanns mit dem ppc zoff geben (das schwache gesetz der großen zahlen ist eben nur ein lim -> unendlich)...

>"...könntest du dir meine derzeitige config anschauen?..."
nur "in natura". dazu müßtest du den sshd des tikerls wanseitig für meine netze/ips öffnen.

lg
zid

[stoneii]

Also Leute ich muss mal ein echtes Dankeschön an zid Sagen ein Echt super Braver Kerl und ein echt Hammer Service.
Da können sich so manche Firmen alle zehn Finger abschlecken. Vor allem Zahlt man für das Service auch noch was und meistens geht’s auch nicht gleich.
Also zid 1000 Dank für das tolle Service.
Und wenn jemand Hilfe braucht mit dem Ding dann wisst ihr wo ihr euch meldet.

PS: Bei Fragen wegen Richt Funk Internet bitte an mich wenden.

LG
Stoneii

Danke

[lordpeng]

>Da können sich so manche Firmen alle zehn Finger abschlecken. Vor allem Zahlt
>man für das Service auch noch was und meistens geht’s auch nicht gleich
du könntest ja dem zid auch was zahlen ... is ja ned selbstverständlich ...

[zid]

naja, beim stoneii gabs jetzt net soo viel zu tun, weil er eh schon einiges getan hatte. und für jeden furz rechnen ma jetzt net ab...
im wesentlichen gings einmal um die umstellung beim load balancing von 1:1 auf 1:2, weil er einen 4-Mbps-link (bia ta) und einen 8-Mbps-link (richtfunk) hat. ja, und dann noch ein paar kleine nebengeräusche in der firewall und beim routing- fertig.
btw. der richtfunk-link kann was. so niedrige latenzen mit so wenig jitter hab ich noch nie gesehen. vor allem nicht auf diese entfernung- wir reden von 20 bzw. 40 km (je nachdem, wo er sich reinhängt).

lg
zid

[jutta]

> btw. der richtfunk-link kann was. so niedrige latenzen mit so wenig jitter hab ich noch nie gesehen. vor allem nicht auf diese entfernung- wir reden von 20 bzw. 40 km (je nachdem, wo er sich reinhängt).

maria plutzar (www.anw.at) hat mir einmal gesagt, dass sie bei manchen kunden im raum wien latenzen von 1-2 ms hat. ich hatte sie darauf angesprochen, weil ich bemerkt hatte, dass der ftp-server einer sw-firma, mit der ich beruflich zu tun habe, an einem anw-anschluss haengt und die verbindung dorthin *sauschnell* war. also: ja, richtfunk kann was.
<ot>vielleicht schaffe ich es ja einmal, dass ihr beide gleichzeitig beim brunch oder beim grillen bei mir seid. der gespraechsstoff geht sicher nicht aus.</ot>

[zid]

>"...vielleicht schaffe ich es ja einmal, dass ihr beide gleichzeitig beim brunch oder beim grillen bei mir seid..."
nun, das vergnügen, die maria bei dir kennenlernen zu dürfen, hatte ich bereits vor 2, 3 jahren (neujahrsbrunch oder sowas?? der andreas aus graz war damals auch dabei)- ein sprühendes mädl, ich war schwerstens beeindruckt. da ist mir wirklich das herz aufgegangen.
jetzt hamma nur noch ein prob: wir müßten den stoneii und die maria zusammenbringen. zusammen versorgen die zwei ganz .at mit richtfunk...

lg
zid

[dadaniel]

jetzt hamma nur noch ein prob: wir müßten den stoneii und die maria zusammenbringen. zusammen versorgen die zwei ganz .at mit richtfunk...

Welches Bundesland versorgt er denn?

[zid]

hallo daniel,

die maria versorgt das rechte donau-ufer, wiener becken. (blöderweise bin ich am linken do-ufer zhaus, und genau das war mein diskussionsthema mit der maria, als ich sie damals bei der ju kennenlernte).
und der stoneii ist in raum leibnitz-graz angesiedelt- könnte für dich an deinem standort durchaus interessant sein. schick ihm halt mal 'ne pn.

lg
zid

[stoneii]

Hallo Daniel,

Also die Sache schaut so aus.
Von Spielfeld bis Graz Funken die.
Es gibt in Leibnitz einen Knoten und in Graz einen Knoten!
Was ich so erfragt habe sind derzeit ca 200 User dabei.
Im Raum Lb machen das 2 Leute. Und auf den weg nach Graz haben sie Partner.
So irgend wie. Haben auch a fixe Funk Lizenz!
Ich kann nur sagen das es super geht. Und dass heißt was bei mir weil ich bin genau!

Für mehr Info einfach melden!