Кто нибдь настраивал vlan на mikrotik?
2361
9
fedot1
v.i.p.
Здравствуйте!
Собственно сам вопрос в теме. Для меня есть ряд непонятных моментов.
Собственно сам вопрос в теме. Для меня есть ряд непонятных моментов.
Да собственно задача с виду банальная. Сделать так, чтобы на Mikrotik RB2011UAS-RM один из портов стал vlan.
Судя по статьям раз и два проще может быть только мычание.
Делаю как написано, но вот дальше чего-то недопонимаю.
Использую для vlan порт №5. В настоящее время он включен в мастер-порт №2, который в свою очередь входит в бридж, который в свою очередь использует dhcp сервер и успешно раздает всем портам (кроме 1-го wan) адреса из пула 192.168.88.10-192.168.88.254.
Собственно не могу понять, если я сажаю на 5 порт vlan1, прописываю в адресах ему другую сеть, ну скажем 10.50.0.1/24, создаю ещё один пул 10.50.0.2-10.50.0.10 привязываю этот пул к вновь поднимаемому dhcp серверу, где интерфейсом указываю созданный vlan1, то на 5 порту у меня также успешно раздаются родные IP из сетки 192.168.88.0/24, куда vlan девается?
Пробовал несколько вариантов.
1. Исключал мастер порты вообще, все порты запихивал в бридж напрямую, и с vlan и без него
2. Создавал отдельный бридж под vlan(ы) и потом его подсовывал в создаваемые адреса и dhcp сервер
Ну максимум чего добивался, что роутер вешался и приходилось поднимать сохраненную конфигурацию.
В общем фантазия закончилась.
Судя по статьям раз и два проще может быть только мычание.
Делаю как написано, но вот дальше чего-то недопонимаю.
Использую для vlan порт №5. В настоящее время он включен в мастер-порт №2, который в свою очередь входит в бридж, который в свою очередь использует dhcp сервер и успешно раздает всем портам (кроме 1-го wan) адреса из пула 192.168.88.10-192.168.88.254.
Собственно не могу понять, если я сажаю на 5 порт vlan1, прописываю в адресах ему другую сеть, ну скажем 10.50.0.1/24, создаю ещё один пул 10.50.0.2-10.50.0.10 привязываю этот пул к вновь поднимаемому dhcp серверу, где интерфейсом указываю созданный vlan1, то на 5 порту у меня также успешно раздаются родные IP из сетки 192.168.88.0/24, куда vlan девается?
Пробовал несколько вариантов.
1. Исключал мастер порты вообще, все порты запихивал в бридж напрямую, и с vlan и без него
2. Создавал отдельный бридж под vlan(ы) и потом его подсовывал в создаваемые адреса и dhcp сервер
Ну максимум чего добивался, что роутер вешался и приходилось поднимать сохраненную конфигурацию.
В общем фантазия закончилась.
Судя по статьям раз и два проще может быть только мычание.Таким образом вы создаете taget влан на порту, а вам нужен, как я понял, access.
Для создания на порту access, создаете Vlan на основном бридже (Vlan100 на br0 например), создаете еще бридж (br100) и вешаете Vlan100 и Ethernet5 (access port) на него. Далее развешиваем DHCP на нужные бриджи и прописываем сети. Примерно както так.
Спасибо!
Ну в целом идея понятная.
Я даже по ключевому слову access ещё материальчик нашел.
Но что то пока судно из гавани ни на шаг. В лучшем случае адреса не присваиваются.
Кстати, такой вопрос а обычная сетевая карта без доп. ПО вообще поймет, что её трафик с vlan подсовывают?
P.S. За некоторое ламерство прошу простить, это не моя основная специализация, хобби можно сказать, больше для души.
Ну в целом идея понятная.
Я даже по ключевому слову access ещё материальчик нашел.
Но что то пока судно из гавани ни на шаг. В лучшем случае адреса не присваиваются.
Кстати, такой вопрос а обычная сетевая карта без доп. ПО вообще поймет, что её трафик с vlan подсовывают?
P.S. За некоторое ламерство прошу простить, это не моя основная специализация, хобби можно сказать, больше для души.
Влан начинается на порту микротика. Для компа все прозрачно. У вас задача какая, а то может влан тут лишний ?
Ну и правила фаервола еще мешать могут.
Ну и правила фаервола еще мешать могут.
Поскольку это хобби и во времени ограничений нет интересует больше так сказать физика процесса.
На первом этапе решил опробовать простейшую схему разделения сетей. Допустим на одном чипе 2 порта в одной сети 192.168.0.1/24 и три порта на другой 192.168.1.1/24 бухгалтерия к примеру и пульт охраны.
В дальнейшем, по хорошему, не помешало бы уже по удаленке на 2-х роутерах сеть с едиными адресным пространством попробовать, для этого уже транковый порт необходимо задействовать и трафик тегировать.
Если скажем эту же задачу необходимо было решать в сжатые сроки, я бы наверное уже на управляемых коммутаторах первую задачу реализовал, но время пока есть.
Насчет фаервола. Так как экспериментальный роутер находится в локалке другого роутера за NAT запрещающих правил собственно вообще нет. Есть несколько разрешающих для портов VPN l2tp и pptp, но я не думаю, что они как то на vlan могут влиять.
На первом этапе решил опробовать простейшую схему разделения сетей. Допустим на одном чипе 2 порта в одной сети 192.168.0.1/24 и три порта на другой 192.168.1.1/24 бухгалтерия к примеру и пульт охраны.
В дальнейшем, по хорошему, не помешало бы уже по удаленке на 2-х роутерах сеть с едиными адресным пространством попробовать, для этого уже транковый порт необходимо задействовать и трафик тегировать.
Если скажем эту же задачу необходимо было решать в сжатые сроки, я бы наверное уже на управляемых коммутаторах первую задачу реализовал, но время пока есть.
Насчет фаервола. Так как экспериментальный роутер находится в локалке другого роутера за NAT запрещающих правил собственно вообще нет. Есть несколько разрешающих для портов VPN l2tp и pptp, но я не думаю, что они как то на vlan могут влиять.
Сейчас читают
Почему люди разводятся?
43305
162
Ищу человека
284795
545
Стоимость перелета (часть 2)
1793402
924
На первом этапе решил опробовать простейшую схему разделения сетей.Как обычно сие делают. Оставляют/создают дефолтный влан для управления (обычно 1) он будет доступен с транкового порта. Для разных подсетей создаются свои вланы. Но микротик это всетаки не комутатор и тут все хитрее. Под каждый влан создается свой бридж и туда загоняются порты на доступ. Влановские бриджы сводятся в общий бридж на который навешан транковый порт. С транка отдаем вышестоящему железу. С завода идет преднастроенная железка и дабы неправить конфиги попутно ловя глюки конфиг лучше сбросить в ноль. Далее аккуратно и вдумчиво прописать то, что нужно .)
В дальнейшем, по хорошему, не помешало бы уже по удаленкеВот тут вопрос, физика своя или соединять через инет. Если своя, то проблем ноль, через транк, а вот если через инет...
Vlan это L2, а большинство туннелей работает на L3. Поэтому выбор неособо богат .) В микротике есть поддержка l2tp, через него можно прокинуть влан. На головном девайсе поднимаем сервер тунеля, необходимые вланбриджи сводим в отдельный бридж и скармливаем его серверу тоннеля. В этом случае транки не нужны. На клиенте делается все тоже самое, но без dhcp. В результате получаем единую подсетку на всех клиентах, но тут нужно понимать, что весь трафик, за исключением точек в одном расположении, будет гнаться через центральную железку. Это трафик для соседних точек, инет трафик. Можно попробовать поиграться с полиси роутингом, матчить инет трафик и заруливать его в локального прова, но тут требуются глубокие познания в роутинге и iptables'ах. Для начинающего в сетях, анриал.
Если гонять кучу трафика накладно, то развести точки по разным подсетям настроив роутинг будет куда проще.
Есть несколько разрешающихА последними стоят запрещающие .) Нужно какминимум чтобы INPUT, OUTPUT и FORWARD цепочки в завершающих правилах были ACCEPT, а не DROP/REJECT. Тут фаервол не такой как в мыльницах юзерфрендли, тут полноценные iptables'ы. Крайне рекомендую изучить их идеологию для понимания как оно работает.
Ещё раз спасибо!
А так с концепцией rules разобраться конечно было бы неплохо, я вот только сегодня, пока с vlan разбирался, наконец-то понял до конца как бриджи работают.
Как обычно сие делают. Оставляют/создают дефолтный влан для управления (обычно 1) он будет доступен с транкового портаЧто то подобное я уже и начал подозревать, вот неплохая статья, время будет попробую, кстати тут ещё и чип учитывать надо, как выясняется.
В микротике есть поддержка l2tpДа собственно с этим я уже наигрался, только в l2tp ещё ipsec загонял. При желании можно сетку не хуже vlan соорудить, да ещё права раздать через несложное правило, кому можно в интернет ходить, а кому только по локалке ползать.
А последними стоят запрещающиеНет у меня запрещающих, только два разрешающих стоит, accept на вход портов 1723 (это я с pptp игрался), и 80 (это видеоклиента проверял).
А так с концепцией rules разобраться конечно было бы неплохо, я вот только сегодня, пока с vlan разбирался, наконец-то понял до конца как бриджи работают.
Да незачто. Статейка годная.
При желании можно сетку не хуже vlan соорудитьВот поэтому я и спросил с какой целью... .)
Нет у меня запрещающихВозможно они неотображаются, но как тот суслик - есть. Ибо еслиб их не было, то и разрещающие былиб ненужны, или были прописанны так, навсякий ?
ТОП 5
2
3
4