НГС.Форум /Компьютеры Интернет Связь / Доступ в Интернет. Локальные сети /

Кто нибдь настраивал vlan на mikrotik?

Печать RSS Деревом

fedot1
v.i.p.
Сообщений: 4007
25.02.17 12:48
Здравствуйте!

Собственно сам вопрос в теме. Для меня есть ряд непонятных моментов.
Will the circle be unbroken
By and by, Lord, by and by
There’s a better home awaiting
In the sky, Lord, in the sky
КопироватьСсылка
Рассказать друзьям
Mozepiy
v.i.p.
Сообщений: 3269
27.02.17 09:48Ответ на сообщение Кто нибдь настраивал vlan на mikrotik? пользователя fedot1
Ну так изложите.
Knowledge itself is a power (F.Bacon)
КопироватьСсылка
Рассказать друзьям
fedot1
v.i.p.
Сообщений: 4007
27.02.17 14:03Ответ на сообщение Re: Кто нибдь настраивал vlan на mikrotik? пользователя Mozepiy
Да собственно задача с виду банальная. Сделать так, чтобы на Mikrotik RB2011UAS-RM один из портов стал vlan.

Судя по статьям раз и два проще может быть только мычание.

Делаю как написано, но вот дальше чего-то недопонимаю.

Использую для vlan порт №5. В настоящее время он включен в мастер-порт №2, который в свою очередь входит в бридж, который в свою очередь использует dhcp сервер и успешно раздает всем портам (кроме 1-го wan) адреса из пула 192.168.88.10-192.168.88.254.
Собственно не могу понять, если я сажаю на 5 порт vlan1, прописываю в адресах ему другую сеть, ну скажем 10.50.0.1/24, создаю ещё один пул 10.50.0.2-10.50.0.10 привязываю этот пул к вновь поднимаемому dhcp серверу, где интерфейсом указываю созданный vlan1, то на 5 порту у меня также успешно раздаются родные IP из сетки 192.168.88.0/24, куда vlan девается?

Пробовал несколько вариантов.

1. Исключал мастер порты вообще, все порты запихивал в бридж напрямую, и с vlan и без него

2. Создавал отдельный бридж под vlan(ы) и потом его подсовывал в создаваемые адреса и dhcp сервер

Ну максимум чего добивался, что роутер вешался и приходилось поднимать сохраненную конфигурацию.

В общем фантазия закончилась.
Will the circle be unbroken
By and by, Lord, by and by
There’s a better home awaiting
In the sky, Lord, in the sky
КопироватьСсылка
Рассказать друзьям
Mozepiy
v.i.p.
Сообщений: 3269
27.02.17 14:59Ответ на сообщение Re: Кто нибдь настраивал vlan на mikrotik? пользователя fedot1
В ответ на: Судя по статьям раз и два проще может быть только мычание.
Таким образом вы создаете taget влан на порту, а вам нужен, как я понял, access.
Для создания на порту access, создаете Vlan на основном бридже (Vlan100 на br0 например), создаете еще бридж (br100) и вешаете Vlan100 и Ethernet5 (access port) на него. Далее развешиваем DHCP на нужные бриджи и прописываем сети. Примерно както так.
Knowledge itself is a power (F.Bacon)
КопироватьСсылка
Рассказать друзьям
fedot1
v.i.p.
Сообщений: 4007
27.02.17 17:24Ответ на сообщение Re: Кто нибдь настраивал vlan на mikrotik? пользователя Mozepiy
Спасибо!
Ну в целом идея понятная.
Я даже по ключевому слову access ещё материальчик нашел.

Но что то пока судно из гавани ни на шаг. В лучшем случае адреса не присваиваются.
Кстати, такой вопрос а обычная сетевая карта без доп. ПО вообще поймет, что её трафик с vlan подсовывают?

P.S. За некоторое ламерство прошу простить, это не моя основная специализация, хобби можно сказать, больше для души.
Will the circle be unbroken
By and by, Lord, by and by
There’s a better home awaiting
In the sky, Lord, in the sky
КопироватьСсылка
Рассказать друзьям
Mozepiy
v.i.p.
Сообщений: 3269
27.02.17 18:00Ответ на сообщение Re: Кто нибдь настраивал vlan на mikrotik? пользователя fedot1
Влан начинается на порту микротика. Для компа все прозрачно. У вас задача какая, а то может влан тут лишний ?
Ну и правила фаервола еще мешать могут.
Knowledge itself is a power (F.Bacon)
КопироватьСсылка
Рассказать друзьям
fedot1
v.i.p.
Сообщений: 4007
27.02.17 22:23Ответ на сообщение Re: Кто нибдь настраивал vlan на mikrotik? пользователя Mozepiy
Поскольку это хобби и во времени ограничений нет интересует больше так сказать физика процесса.

На первом этапе решил опробовать простейшую схему разделения сетей. Допустим на одном чипе 2 порта в одной сети 192.168.0.1/24 и три порта на другой 192.168.1.1/24 бухгалтерия к примеру и пульт охраны.
В дальнейшем, по хорошему, не помешало бы уже по удаленке на 2-х роутерах сеть с едиными адресным пространством попробовать, для этого уже транковый порт необходимо задействовать и трафик тегировать.
Если скажем эту же задачу необходимо было решать в сжатые сроки, я бы наверное уже на управляемых коммутаторах первую задачу реализовал, но время пока есть.

Насчет фаервола. Так как экспериментальный роутер находится в локалке другого роутера за NAT запрещающих правил собственно вообще нет. Есть несколько разрешающих для портов VPN l2tp и pptp, но я не думаю, что они как то на vlan могут влиять.
Will the circle be unbroken
By and by, Lord, by and by
There’s a better home awaiting
In the sky, Lord, in the sky
КопироватьСсылка
Рассказать друзьям
Mozepiy
v.i.p.
Сообщений: 3269
28.02.17 12:26Ответ на сообщение Re: Кто нибдь настраивал vlan на mikrotik? пользователя fedot1
В ответ на: На первом этапе решил опробовать простейшую схему разделения сетей.
Как обычно сие делают. Оставляют/создают дефолтный влан для управления (обычно 1) он будет доступен с транкового порта. Для разных подсетей создаются свои вланы. Но микротик это всетаки не комутатор и тут все хитрее. Под каждый влан создается свой бридж и туда загоняются порты на доступ. Влановские бриджы сводятся в общий бридж на который навешан транковый порт. С транка отдаем вышестоящему железу. С завода идет преднастроенная железка и дабы неправить конфиги попутно ловя глюки конфиг лучше сбросить в ноль. Далее аккуратно и вдумчиво прописать то, что нужно .)

В ответ на: В дальнейшем, по хорошему, не помешало бы уже по удаленке
Вот тут вопрос, физика своя или соединять через инет. Если своя, то проблем ноль, через транк, а вот если через инет...
Vlan это L2, а большинство туннелей работает на L3. Поэтому выбор неособо богат .) В микротике есть поддержка l2tp, через него можно прокинуть влан. На головном девайсе поднимаем сервер тунеля, необходимые вланбриджи сводим в отдельный бридж и скармливаем его серверу тоннеля. В этом случае транки не нужны. На клиенте делается все тоже самое, но без dhcp. В результате получаем единую подсетку на всех клиентах, но тут нужно понимать, что весь трафик, за исключением точек в одном расположении, будет гнаться через центральную железку. Это трафик для соседних точек, инет трафик. Можно попробовать поиграться с полиси роутингом, матчить инет трафик и заруливать его в локального прова, но тут требуются глубокие познания в роутинге и iptables'ах. Для начинающего в сетях, анриал.
Если гонять кучу трафика накладно, то развести точки по разным подсетям настроив роутинг будет куда проще.

В ответ на: Есть несколько разрешающих
А последними стоят запрещающие .) Нужно какминимум чтобы INPUT, OUTPUT и FORWARD цепочки в завершающих правилах были ACCEPT, а не DROP/REJECT. Тут фаервол не такой как в мыльницах юзерфрендли, тут полноценные iptables'ы. Крайне рекомендую изучить их идеологию для понимания как оно работает.
Knowledge itself is a power (F.Bacon)
КопироватьСсылка
Рассказать друзьям
fedot1
v.i.p.
Сообщений: 4007
28.02.17 14:47Ответ на сообщение Re: Кто нибдь настраивал vlan на mikrotik? пользователя Mozepiy
Ещё раз спасибо!

В ответ на: Как обычно сие делают. Оставляют/создают дефолтный влан для управления (обычно 1) он будет доступен с транкового порта
Что то подобное я уже и начал подозревать, вот неплохая статья, время будет попробую, кстати тут ещё и чип учитывать надо, как выясняется.

В ответ на: В микротике есть поддержка l2tp
Да собственно с этим я уже наигрался, только в l2tp ещё ipsec загонял. При желании можно сетку не хуже vlan соорудить, да ещё права раздать через несложное правило, кому можно в интернет ходить, а кому только по локалке ползать.

В ответ на: А последними стоят запрещающие
Нет у меня запрещающих, только два разрешающих стоит, accept на вход портов 1723 (это я с pptp игрался), и 80 (это видеоклиента проверял).
А так с концепцией rules разобраться конечно было бы неплохо, я вот только сегодня, пока с vlan разбирался, наконец-то понял до конца как бриджи работают.
Will the circle be unbroken
By and by, Lord, by and by
There’s a better home awaiting
In the sky, Lord, in the sky
КопироватьСсылка
Рассказать друзьям
Mozepiy
v.i.p.
Сообщений: 3269
28.02.17 15:20Ответ на сообщение Re: Кто нибдь настраивал vlan на mikrotik? пользователя fedot1
Да незачто. Статейка годная.

В ответ на: При желании можно сетку не хуже vlan соорудить
Вот поэтому я и спросил с какой целью... .)

В ответ на: Нет у меня запрещающих
Возможно они неотображаются, но как тот суслик - есть. Ибо еслиб их не было, то и разрещающие былиб ненужны, или были прописанны так, навсякий ?
Knowledge itself is a power (F.Bacon)
КопироватьСсылка
Рассказать друзьям

НГС.Форум /Компьютеры Интернет Связь / Доступ в Интернет. Локальные сети /

Перейти в форум

открыть в новом окне

Модераторы: