Probleme mit Dual WAN - Mangle auf Mikrotik / RouterOS

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

Probleme mit Dual WAN - Mangle auf Mikrotik / RouterOS

Beitragvon schilling » Mi 18 Jan, 2017 16:32

Hallo,

ich hoffe es kann mir jemand auf die Sprünge helfen. Ich fürchte ich bekomme schon einen "Tunnelblick" und sehe den Wald vor lauter Bäumen nicht mehr...

Mein Problem:
Nach meinem Wechsel von einem Mikrotik RB951G-2HnD (RouterOS 6.34.4) auf einen RB962UiGS-5HacT2HnT (RouterOS 6.38.1 bzw 6.39rc13), schaffe ich es partout nicht mehr meine bisher bestehende und funktionierende WAN Konfiguration neuzukonfigurieren. Ich habe 2 WAN Anschlüsse (Kabel und LTE) und möchte den ausgehenden Traffic je nach IP auf unterschiedliche WAN Links aufteilen. D.h. default WAN1 (Kabel) und per FW Rules (Mangle) diverse IPs auf WAN2 (LTE). Ich habe dazu schon unzählige How-Tos im Internet durchgelesen bzw. angeschaut und komme auf keinen grünen Zweig.

Ausgangssituation:

Code: Alles auswählen
Cisco EPC 3010
CableModem (DHCP)

   |CISCO| --------
213.153.41.1/24    \  213.153.41.204                         192.168.88.27
                    - MIKROTIK WAN1|----------|              |- Client1    
                                   | MIKROTIK |192.168.88.1--|            192.168.88.0/24
192.168.0.254/24    - MIKROTIK WAN2|----------|              |- Client2
   |TP-LINK| ------/  192.168.0.100                          192.168.88.69

   TL-MR3020 & Huawei E3372
(HiLink) LTE Stick



Was habe ich konfiguriert:
- ether1wan1 DHCP Client aktiviert; Add Default Route yes; Distance=10
- ether2wan2 aus Bridge genommen und dort ebenfalls DHCP Client aktiviert, Add Default Route no
- ether3 als neuen Master fĂĽr ether4 und ether5 definiert (Switch)
- FW Masquerade fĂĽr alle IPs aus dem lokalen LAN (192.168.88.0/24) aktiviert
- DNS auf 8.8.8.8 und 8.8.4.4 (Google DNS) gestellt
- Static route DST 0.0.0.0/0 via 192.168.0.254 distance 30, scope 30, target scope 10 und Routing Mark "WANLTE"
- FW Mangle - chain prerouting; SRC 192.168.88.69 (ein Client aus dem LAN), Action "mark routing" "WANLTE", Passthrough off

Es scheint Anfangs gleich zu funktionieren, wenn man aber genauer schaut, bricht der Traffic auf den Clients, für welche es eine Mangle Rule (WANLTE))gibt alle paar Sekunden ein und auch der Seitenaufbau ist sehr zäh. Für alle anderen Clients ohne Rule über WAN1 (Cable) läuft alles problemlos und in der erwarteten Geschwindigkeit.

Troubleshooting:
- Huawei E5770 Router statt TP-Link mit dem HiLink Huawei Stick liefert genau das gleiche Verhalten.
- T-Mobile LTE SIM statt 3 LTE SIM funktioniert wurde ebenso ohne Erfolg getestet
- Beide WAN Ports (ether1wan1 und ether2wan2)getrennt laufen einwandfrei sowohl mit Cable, als auch mit LTE Router. Das Problem tritt erst auf, wenn ich die Mangle Rules in Betrieb nehme.
- Update von RouterOS 6.38.1 auf 6.39rc13, keine Besserung.

Wie gesagt: Diese Konstellation hat mehr als ein Jahr lang problemlos funktioniert und tut es noch immer, wenn ich den "alten" Router wieder ins Netz hänge. Die beiden exportierten Konfigurationen scheinen sich Inhaltlich auch zu gleichen.

Hat jemand eine Idee was ich noch testen könnte? Wo kann ich noch in der Konfiguration nachschauen? Anbei hänge ich euch noch die alte und neue Konfig dran. Vielleicht erkennt jemand den Fehler.
Ich könnte mir auch vorstellen, dass es an der unterschiedlichen RouterOS Version liegt und ggf. schon vorher ein Fehler in der Konfig war, den man aber erst jetzt merkt.

Liebe GrĂĽĂźe,
Daniel

Router Config Neu:

Code: Alles auswählen
# jan/18/2017 16:26:14 by RouterOS 6.39rc13
# software id = GW43-00EJ
#
/interface bridge
add admin-mac=6C:3B:6B:11:DB:B1 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] name=ether1wan1
set [ find default-name=ether2 ] name=ether2wan2
set [ find default-name=ether3 ] name=ether3-master
set [ find default-name=ether4 ] disabled=yes master-port=ether3-master
set [ find default-name=ether5 ] disabled=yes master-port=ether3-master
set [ find default-name=sfp1 ] disabled=yes
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=PRISM \
    wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-Ceee disabled=no distance=indoors frequency=auto mode=\
    ap-bridge ssid=XKS wireless-protocol=802.11
/ip neighbor discovery
set ether1wan1 discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
    wpa2-pre-shared-key=***
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.100-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/caps-man manager interface
add disabled=no
/interface bridge port
add bridge=bridge comment=defconf interface=ether3-master
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf default-route-distance=10 dhcp-options=clientid,clientid \
    disabled=no interface=ether1wan1 use-peer-dns=no
add add-default-route=no dhcp-options=clientid,clientid disabled=no \
    interface=ether2wan2 use-peer-dns=no
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether1wan1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1wan1
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=WANLTE passthrough=\
    no src-address=192.168.88.27
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" src-address=\
    192.168.88.0/24
/ip route
add check-gateway=ping distance=30 gateway=192.168.0.254 routing-mark=WANLTE
/system clock
set time-zone-name=Europe/Vienna
/system ntp client
set enabled=yes primary-ntp=213.143.98.34 secondary-ntp=86.59.80.170
/system package update
set channel=release-candidate
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge


Router Config Alt:
Code: Alles auswählen
# jan/18/2017 13:42:32 by RouterOS 6.34.4
# software id = DY23-XCBR
#
/interface bridge
add admin-mac=00:0C:42:B7:B3:49 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] name=WANCable
set [ find default-name=ether2 ] name=WANLTE
set [ find default-name=ether3 ] name=ether3-master
set [ find default-name=ether4 ] master-port=ether3-master
set [ find default-name=ether5 ] master-port=ether3-master
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=PRISM \
    wireless-protocol=802.11
/ip neighbor discovery
set WANCable discover=no
set bridge comment=defconf
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys wpa-pre-shared-key=*** wpa2-pre-shared-key=\
    ***
/ip pool
add name=default-dhcp ranges=192.168.88.100-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether3-master
add bridge=bridge comment=defconf interface=wlan1
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf default-route-distance=10 dhcp-options=hostname,clientid \
    disabled=no interface=WANCable use-peer-dns=no
add add-default-route=no dhcp-options=hostname,clientid disabled=no \
    interface=WANLTE use-peer-dns=no
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="defconf: accept ICMP" protocol=icmp
add chain=input comment="defconf: accept establieshed,related" \
    connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=WANCable
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=WANCable
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=WANLTE passthrough=\
    no src-address=192.168.88.27
add action=mark-routing chain=prerouting new-routing-mark=WANLTE passthrough=\
    no src-address=192.168.88.69
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=WANLTE \
    passthrough=no src-address=192.168.88.20
add action=mark-routing chain=prerouting new-routing-mark=WANLTE src-address=\
    192.168.88.23
add action=mark-routing chain=prerouting new-routing-mark=WANLTE src-address=\
    192.168.88.26
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" src-address=\
    192.168.88.0/24
add action=dst-nat chain=dstnat dst-port=1234 in-interface=WANCable protocol=\
    tcp to-addresses=192.168.88.209 to-ports=1234
add action=dst-nat chain=dstnat disabled=yes dst-port=8022 in-interface=\
    WANCable protocol=tcp to-addresses=192.168.88.209 to-ports=22
/ip route
add check-gateway=ping distance=30 gateway=192.168.0.254 routing-mark=WANLTE
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24
set ssh address=192.168.88.0/24
set api address=192.168.88.0/24
set winbox address=192.168.88.0/24
set api-ssl address=192.168.88.0/24
/system clock
set time-zone-name=Europe/Vienna
/system leds
set 0 interface=wlan1
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge
Salzburg AG CableLink Extreme 20
schilling
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 85
Registriert: So 13 Jul, 2003 15:17
Wohnort: Salzburg

Re: Probleme mit Dual WAN - Mangle auf Mikrotik / RouterOS

Beitragvon dadaniel » Do 19 Jan, 2017 10:48

Versuch mal FastTrack abzuschalten
A1 Business Kombi 16/3 Mbit @ 20ms
dadaniel
Board-User Level 1
Board-User Level 1
 
Beiträge: 629
Registriert: So 16 Jan, 2005 14:10
Wohnort: Graz-Umgebung

Re: Probleme mit Dual WAN - Mangle auf Mikrotik / RouterOS

Beitragvon schilling » So 29 Jan, 2017 20:08

dadaniel hat geschrieben:Versuch mal FastTrack abzuschalten


Vielen Dank für deine Antwort. War jetzt 1 Woche auf Urlaub und hab es gleich ausprobiert. Scheint wirklich zu klappen. Kannst du vielleicht etwas dazu sagen, wo hier die technische Erklärung liegt?

LG,
Daniel
Salzburg AG CableLink Extreme 20
schilling
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 85
Registriert: So 13 Jul, 2003 15:17
Wohnort: Salzburg

Re: Probleme mit Dual WAN - Mangle auf Mikrotik / RouterOS

Beitragvon dadaniel » Mi 01 Feb, 2017 09:33

Weil je nachdem wie Fasttrack in die Config eingebaut ist, sämtliche anderen Regeln übersprungen werden.
Fasttracked packets bypass firewall, connection tracking, simple queues, queue tree with parent=global, ip accounting, ipsec, hotspot universal client, vrf assignment


Und zu Firewall und connection tracking gehört eben auch mangle
A1 Business Kombi 16/3 Mbit @ 20ms
dadaniel
Board-User Level 1
Board-User Level 1
 
Beiträge: 629
Registriert: So 16 Jan, 2005 14:10
Wohnort: Graz-Umgebung


ZurĂĽck zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast