HIFI-FORUM » PC, Netzwerk & Multimedia » Netzwerk / Router / NAS / Server » Router Mikrotik -> Routing
 

Router Mikrotik -> Routing

+A -A
Autor
Beitrag
promocore
Inventar
#1 erstellt: 23. Sep 2017, 02:03
Hallo

Ich möchte gerne nach bestimmten Filterkriterien ganze Verbindungen oder auch Pakete über unterschiedliche Gateways meines Routers Leiten.
Ziel ist es, dass z.B bestimmte Rechner auf Port 80 und 443 zukünftig über einen VPN Provider geroutet werden, aber auch das Gastnetz, Freifunk und sonstige Sachen; das ganze am besten recht dynamisch.,

Das Taggen der einzelnen Anforderung funktioniert soweit ohne Probleme. Auch das dynamische Routing funktioniert.
D.h mit einem Traceroute sehe ich genau, dass bestimmte Verbindungen über die virtualisierte Firewall mit VPN gehen(eth2->eth4 [eth4->eth5]->eth5-> eth1).
Alledings habe ich keine hohe Bandbreite (10 KB/s) und große Latenz.

Ein vereinfachtes Bild meiner Netzstruktur hilft bestimmt:
netzwerk1

-Nehm ich das Gateway am Router von eth2/eth3 nach eth1 down, habe ich voll Bandbreite über die virtualisierte Firewall/VPN. Alles was zum dem Zeitpunkt nicht für das Gateway eth4 getagged ist, hat zu diesem Zeitpunkt auch kein Internet.

Erklärung Bild:
- bestimmter Traffic auf vom Router eth2 und eth3 soll nach eth4 (bzw Gateway) geroutet werden.
- Traffic wird auf dem Server in eine VPN Verbindung gepackt.
- Traffic geht über den VPN Tunnel über eth 5 des Router an eth1 ins Internet



Es scheint einen Denkfehler in meinem Entwuf zu geben.
Kann z.B. Unix/Linux dynmisch auf unterschiedlichen Gateways routen?
Muss evt. eth4 mit eth1 mit Loadbalance im WAN betrieben werden, um hier die markierten Pakete für die VPN Verbindung auf eth4 auszugeben und den unmarkierten Traffic auf eth1? - hier gäbe es nur ein aktives Gateway für den Router.


[Beitrag von promocore am 23. Sep 2017, 03:05 bearbeitet]
jonath
Inventar
#2 erstellt: 24. Sep 2017, 10:19
Letztendlich ersetzt hier dein Server den Router. Wieso willst du also alles vom Router an den Server forwarden lassen wenn du den Server auch direkt als Gateway einsetzen kannst? Erspart dir einige Regeln und die Performance verbessert sich enorm.

Im einfachsten Fall lässt du vom Router einfach die IP des Servers als Gateway verteilen, nun musst du nur noch am Server das Routing in die VPN übernehmen. Allerdings verstehe ich ehrlich gesagt nicht wieso man die VPN nicht einfach direkt vom Router erledigen lässt, OpenVPN/IPsec sollte der Router doch selbst können. Zwischen 10 Kisten hin und her zu routen erscheint mir etwas überflüssig.

Wozu willst du Freifunk nochmals über eine VPN leiten? Freifunk selbst nutzt doch bereits schon eine VPN. Zwar nicht verschlüsselt, aber das ist ja egal.
promocore
Inventar
#3 erstellt: 24. Sep 2017, 23:42
Ich möchte nur bestimmten Traffic über VPN Routen.. Z.B Rechner A soll meine Hausbank direkt ansurfen, andere Hompages über vpn. Mein Webserver dürfte auch nicht über vpn gehen.
Performanceunterschiede habe ich jetzt nicht festgestellt, der kleine Router schafft 1gbit routing mit 25 IP Filterregeln mit 25 einfachen Regeln sogar 2gbit.

Bei Vpn wollte ich auf Openvpn setzten. Beim letzten Test hätte ich das gleiche Problem wie jetzt. Mit mehreren Routingtables klappt es irgendwie nicht, zeitgleich auf unterschiedliche Gateways in fremde Netzte zu Routen . Hinzu kam das Problem, dass Mikrotik keinen Auth Key zusätzlich zum User/Passwort unterstützt und ich so auf ipsec wechseln müsste.
Ein bisschen Sorge habe ich auch wegen der Performance. Wenn der kleine Router mindestens 100 Mbit bzw. auch evt. 400 mbit per vpn Routen soll (Wenn er das überhaupt schafft), dürfte natürlich stark die Performance für anderes Routing in die Knie gehen.

Der Server soll nur ankommenden Lan Traffic per VPN weiterleiten. Meinen Router also auch nicht ersetzen.

Heute habe ich es auch geschafft. Der Server bzw das Gateway ist nun im gleichen Netz wie mein Testclient, der zum Server geroutet werden soll. Warum es nicht mit einem Gateway in ein fremdes Netz klappt, ist mir unklar, schließlich klappt es ja auch mit dem Main Routingtables für eth1/Wan.
Kann ja nur ein Konfigfehler von mir sein
jonath
Inventar
#4 erstellt: 25. Sep 2017, 21:46
Ohne deine genaue Konfiguration, Wunsch und Routingtabelle zu kennen kann dir da ehrlich gesagt kaum jemand helfen, da kann man nur raten und das ist gerade bei Routinggeschichten hoffnungslos. Ich würde daher dazu raten dich beim Hersteller zu erkundigen.

"Dyamisch" Seiten durch die VPN zu leiten ist in der Regel relativ komplex da iptables Regeln auf der IP basieren (die Domain wird einmalig aufgelöst), die IP hinter deinen Domains ändert sich leichtsam mal, dann routet dein Router den Traffic ins Leere, kurz du darfst deine Regeln neu laden, dann wird zwar erneut aufgelöst, aber meistens löscht man dabei dann die State Tabelle... Und gerade deine Hausbank wird als DDoS Schutz sehr sicher auf ein CDN setzen.

Routing != VPN. Und Forwading/Mangling/etc. kann sich nochmals unterscheiden, die Herstellerangaben beziehen sich meistens auf Spezialfälle in denen irgendwelche (herstellerspezifischen) Hardwarebeschleunigungen greifen, in der Realität kann eine Konfiguration davon leichtsam abweichen und dann wird so ein Router grottenlahm. Und dein Server agiert hier sehr wohl wie ein Router, denn er verbindet zwei Netze (deine VPN und dein Heimnetz), aber wie ich bereits sagte, wenn dann würde ich das ganz im Router selbst lösen, durch eine Konfiguration die auf deinen Server angewiesen ist hast du im Fall eines Ausfalls desselbigen enorme Probleme, bei einer Lösung nur mittels Router könntest du das leicht automatisch abfangen.

Ich verstehe noch immer nicht, was diese abhängige Konfiguration von Hausbank usw. bringen soll, wenn du anonym surfen möchtest, dann solltest du alles durch die VPN leiten (ansonsten hast du DNS oder sonstige Leaks) und die Systeme am besten physikalisch trennen, sonst kannst du dir die VPN gleich sparen. Sprich sicherheitstechnisch gewinnst du dadurch rein gar nichts. Wenn deine Hausbank kein HTTPS anbietet, dann würde ich unabhängig von der VPN/dem ISP davon abraten, das Online Portal deiner Bank weiterhin zu nutzen. Wenn sie jedoch HTTPS zeitgemäß einsetzt, dann spricht nichts dagegen diese über die VPN Verbindung zu nutzen.

Für einzelne Webseiten reicht in der Regel ein Browseraddon wie FoxyProxy, dadurch kannst du Proxy Server für gewisse Webseiten definieren und z.B. BBC über einen UK Proxy betrachten. Dieser Proxy kann natürlich auch eine AutoSSH Verbindung vom NAS zu einem VServer in UK sein.


[Beitrag von jonath am 25. Sep 2017, 21:47 bearbeitet]
promocore
Inventar
#5 erstellt: 26. Sep 2017, 13:02
Wie gesagt kann Mikrotik kein Auth Key zum Username und Passwort, auch hohe Bandbreiten werde ich ohne Einschrenkungen nicht nutzen können. Daher fällt für mich die Mikrotiklösung flach. Die Fragen aus meinem ersten Post könnte ich mir ja mittlerweile selber beantworten.

Mikrotik hat ein Multi Routing Table. Es können also mehrere Tabellen parallel geführt werd. Das klappt jetzt auch super, einschließlich mit Fallbackgateways, falls der Server down ist.
Wie ich genau welche Anwendung nun Route, habe ich mir bisher noch nicht endgültig überlegt. Und spielt ja eigentlich auch weniger eine Rolle.
Dass ich aber bestimmte Serveranwendungen nicht über VPN schicken kann, steht soweit schon fest.
Ansonsten merke ich durch Mangle keinen Unterschied.

Dass ich im Mikrotik mein Servergateway für das VPN nicht über ein aneren Netz erreiche, kann ja nur an der allgemeinen Konfiguration liegen. Da ich nun aber weiß, das das Routing funktioniert, wenn der Server im gleich Netz steht,, kann ich mich dem nochmal in Ruhe annehmen.


Soweit funktioniert jetzt ja alles. Und das mit super Performance.
Suche:
 
Das könnte Dich auch interessieren:
Router + 2 WLAN-Router
S22 am 30.12.2017  –  Letzte Antwort am 31.12.2017  –  3 Beiträge
FritzBox 7270 - Feste IPs vergeben bei LAN-Routing
Tank-Like am 29.03.2015  –  Letzte Antwort am 01.04.2015  –  11 Beiträge
WLAN Router an Modem Router
okolyta am 06.08.2010  –  Letzte Antwort am 10.08.2010  –  3 Beiträge
Kaufberatung Router
gefechtseule am 22.08.2011  –  Letzte Antwort am 24.08.2011  –  9 Beiträge
Router Problem
Flavourflo am 27.10.2011  –  Letzte Antwort am 03.11.2011  –  10 Beiträge
LTE Router
Haithabu84 am 22.02.2013  –  Letzte Antwort am 22.02.2013  –  2 Beiträge
Temperaturen Router
puschelyx am 07.01.2021  –  Letzte Antwort am 12.01.2021  –  11 Beiträge
5G Router
mr_olympia am 13.08.2022  –  Letzte Antwort am 16.01.2023  –  4 Beiträge
welches Netzwerkkabel,Router <-> Router , cat5,cat6 oder cat 7, von router zu router.
mocototo am 06.03.2017  –  Letzte Antwort am 07.03.2017  –  9 Beiträge
Wlan Gigabit Router an Modem Router anschliessen?
casper1981 am 08.07.2011  –  Letzte Antwort am 08.07.2011  –  19 Beiträge
Foren Archiv
2017
HIFI.DE Top News:
 
Sonos: Erster Lautsprecher mit Bluetooth-Support geleakt  |  Bose Home Speaker 300 mit Google Assistant angekündigt  |  The one to watch: LCD-TVs 7304 und 7354 von Philips  |  Sennheiser veröffentlicht erste Soundbar: Sennheiser Ambeo  |  Live-Fußball: DAZN kauft Bundesliga-Rechte von Eurosport  |  T5 True Wireless: Klipsch stellt neuen In-ear-Kopfhörer vor  |  Marantz enthüllt neue AV-Receiver SR5014 & SR6014 (Update)  |  Bose: Earbuds 500 und 700 angekündigt  |  nuBox AS-225: Neue Nubert-Soundbar ab sofort erhältlich  |  Convert2mp3: Musikindustrie macht YouTube-Downloader dicht  |  Honor Vision: Das ist der erste Fernseher von Huawei  |  Noise Cancelling Headphones 700: Bose präsentiert neuen ANC-Kopfhörer (Update)

Anzeige

Produkte in diesem Thread Widget schließen

Aktuelle Aktion

Partner Widget schließen

  • beyerdynamic Logo
  • DALI Logo
  • SAMSUNG Logo
  • TCL Logo

Forumsstatistik Widget schließen

  • Registrierte Mitglieder925.731 ( Heute: )
  • Neuestes Mitglied
  • Gesamtzahl an Themen1.551.072
  • Gesamtzahl an Beiträgen21.537.388
Forums Archiv

Hersteller in diesem Thread Widget schließen

Powered by UserReport