Здравствуйте!

Собственно сам вопрос в теме. Для меня есть ряд непонятных моментов.

Ну так изложите.

Да собственно задача с виду банальная. Сделать так, чтобы на Mikrotik RB2011UAS-RM один из портов стал vlan.

Судя по статьям раз и два проще может быть только мычание.

Делаю как написано, но вот дальше чего-то недопонимаю.

Использую для vlan порт №5. В настоящее время он включен в мастер-порт №2, который в свою очередь входит в бридж, который в свою очередь использует dhcp сервер и успешно раздает всем портам (кроме 1-го wan) адреса из пула 192.168.88.10-192.168.88.254.
Собственно не могу понять, если я сажаю на 5 порт vlan1, прописываю в адресах ему другую сеть, ну скажем 10.50.0.1/24, создаю ещё один пул 10.50.0.2-10.50.0.10 привязываю этот пул к вновь поднимаемому dhcp серверу, где интерфейсом указываю созданный vlan1, то на 5 порту у меня также успешно раздаются родные IP из сетки 192.168.88.0/24, куда vlan девается?

Пробовал несколько вариантов.

1. Исключал мастер порты вообще, все порты запихивал в бридж напрямую, и с vlan и без него

2. Создавал отдельный бридж под vlan(ы) и потом его подсовывал в создаваемые адреса и dhcp сервер

Ну максимум чего добивался, что роутер вешался и приходилось поднимать сохраненную конфигурацию.

В общем фантазия закончилась.

Судя по статьям раз и два проще может быть только мычание.

Таким образом вы создаете taget влан на порту, а вам нужен, как я понял, access.
Для создания на порту access, создаете Vlan на основном бридже (Vlan100 на br0 например), создаете еще бридж (br100) и вешаете Vlan100 и Ethernet5 (access port) на него. Далее развешиваем DHCP на нужные бриджи и прописываем сети. Примерно както так.

Спасибо!
Ну в целом идея понятная.
Я даже по ключевому слову access ещё материальчик нашел.

Но что то пока судно из гавани ни на шаг. В лучшем случае адреса не присваиваются.
Кстати, такой вопрос а обычная сетевая карта без доп. ПО вообще поймет, что её трафик с vlan подсовывают?

P.S. За некоторое ламерство прошу простить, это не моя основная специализация, хобби можно сказать, больше для души.

Влан начинается на порту микротика. Для компа все прозрачно. У вас задача какая, а то может влан тут лишний ?
Ну и правила фаервола еще мешать могут.

Поскольку это хобби и во времени ограничений нет интересует больше так сказать физика процесса.

На первом этапе решил опробовать простейшую схему разделения сетей. Допустим на одном чипе 2 порта в одной сети 192.168.0.1/24 и три порта на другой 192.168.1.1/24 бухгалтерия к примеру и пульт охраны.
В дальнейшем, по хорошему, не помешало бы уже по удаленке на 2-х роутерах сеть с едиными адресным пространством попробовать, для этого уже транковый порт необходимо задействовать и трафик тегировать.
Если скажем эту же задачу необходимо было решать в сжатые сроки, я бы наверное уже на управляемых коммутаторах первую задачу реализовал, но время пока есть.

Насчет фаервола. Так как экспериментальный роутер находится в локалке другого роутера за NAT запрещающих правил собственно вообще нет. Есть несколько разрешающих для портов VPN l2tp и pptp, но я не думаю, что они как то на vlan могут влиять.

На первом этапе решил опробовать простейшую схему разделения сетей.

Как обычно сие делают. Оставляют/создают дефолтный влан для управления (обычно 1) он будет доступен с транкового порта. Для разных подсетей создаются свои вланы. Но микротик это всетаки не комутатор и тут все хитрее. Под каждый влан создается свой бридж и туда загоняются порты на доступ. Влановские бриджы сводятся в общий бридж на который навешан транковый порт. С транка отдаем вышестоящему железу. С завода идет преднастроенная железка и дабы неправить конфиги попутно ловя глюки конфиг лучше сбросить в ноль. Далее аккуратно и вдумчиво прописать то, что нужно .)

В дальнейшем, по хорошему, не помешало бы уже по удаленке

Вот тут вопрос, физика своя или соединять через инет. Если своя, то проблем ноль, через транк, а вот если через инет...
Vlan это L2, а большинство туннелей работает на L3. Поэтому выбор неособо богат .) В микротике есть поддержка l2tp, через него можно прокинуть влан. На головном девайсе поднимаем сервер тунеля, необходимые вланбриджи сводим в отдельный бридж и скармливаем его серверу тоннеля. В этом случае транки не нужны. На клиенте делается все тоже самое, но без dhcp. В результате получаем единую подсетку на всех клиентах, но тут нужно понимать, что весь трафик, за исключением точек в одном расположении, будет гнаться через центральную железку. Это трафик для соседних точек, инет трафик. Можно попробовать поиграться с полиси роутингом, матчить инет трафик и заруливать его в локального прова, но тут требуются глубокие познания в роутинге и iptables'ах. Для начинающего в сетях, анриал.
Если гонять кучу трафика накладно, то развести точки по разным подсетям настроив роутинг будет куда проще.

Есть несколько разрешающих

А последними стоят запрещающие .) Нужно какминимум чтобы INPUT, OUTPUT и FORWARD цепочки в завершающих правилах были ACCEPT, а не DROP/REJECT. Тут фаервол не такой как в мыльницах юзерфрендли, тут полноценные iptables'ы. Крайне рекомендую изучить их идеологию для понимания как оно работает.

Ещё раз спасибо!

Как обычно сие делают. Оставляют/создают дефолтный влан для управления (обычно 1) он будет доступен с транкового порта

Что то подобное я уже и начал подозревать, вот неплохая статья, время будет попробую, кстати тут ещё и чип учитывать надо, как выясняется.

В микротике есть поддержка l2tp

Да собственно с этим я уже наигрался, только в l2tp ещё ipsec загонял. При желании можно сетку не хуже vlan соорудить, да ещё права раздать через несложное правило, кому можно в интернет ходить, а кому только по локалке ползать.

А последними стоят запрещающие

Нет у меня запрещающих, только два разрешающих стоит, accept на вход портов 1723 (это я с pptp игрался), и 80 (это видеоклиента проверял).
А так с концепцией rules разобраться конечно было бы неплохо, я вот только сегодня, пока с vlan разбирался, наконец-то понял до конца как бриджи работают.

Да незачто. Статейка годная.

При желании можно сетку не хуже vlan соорудить

Вот поэтому я и спросил с какой целью... .)

Нет у меня запрещающих

Возможно они неотображаются, но как тот суслик - есть. Ибо еслиб их не было, то и разрещающие былиб ненужны, или были прописанны так, навсякий ?