mafijs Posted March 21 Posted March 21 Base Spoiler # 2026-03-21 13:15:20 by RouterOS 7.19.2 # software id = NMTG-QFJD # # model = RBSXTsq5nD /interface bridge add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no frame-types=\ admit-only-vlan-tagged name=bridge1 port-cost-mode=short priority=0x2000 \ protocol-mode=mstp region-name=km5km6 region-revision=1 vlan-filtering=\ yes /interface wireless set [ find default-name=wlan1 ] antenna-gain=0 band=5ghz-onlyn channel-width=\ 20/40mhz-Ce country=no_country_set disabled=no frequency=5540 \ frequency-mode=superchannel guard-interval=long \ max-station-count=2 mode=bridge nv2-security=enabled radio-name=\ KM5KM7master rate-set=configured ssid=KM5KM7 tx-power=4 tx-power-mode=\ all-rates-fixed wireless-protocol=nv2 /interface vlan add interface=bridge1 name=MGMT vlan-id=99 /interface list add name=VLAN12 add name=VLAN32 /queue type set 2 kind=fq-codel add kind=fq-codel name=fqc add fq-codel-memlimit=20.0MiB kind=fq-codel name=fqc-vlan12 add kind=pcq name=pcq-download-vlan32 pcq-classifier=dst-address pcq-limit=\ 250KiB pcq-rate=50M pcq-total-limit=12000KiB add kind=pcq name=pcq-upload-vlan32 pcq-classifier=src-address pcq-limit=\ 150KiB pcq-rate=15M pcq-total-limit=6000KiB add cake-diffserv=diffserv8 cake-flowmode=dual-dsthost cake-memlimit=21.0MiB \ cake-rtt-scheme=internet kind=cake name=cake-download-vlan12 add cake-diffserv=diffserv8 cake-flowmode=dual-srchost cake-memlimit=21.0MiB \ cake-rtt-scheme=internet kind=cake name=cake-upload-vlan12 add cake-flowmode=dual-dsthost cake-memlimit=21.0MiB cake-rtt-scheme=internet \ kind=cake name=cake-download-vlan32 add cake-flowmode=dual-srchost cake-memlimit=21.0MiB cake-rtt-scheme=internet \ kind=cake name=cake-upload-vlan32 /queue tree add max-limit=90M name=Total parent=global priority=1 queue=fqc add limit-at=12M max-limit=90M name=vlan12-packet-upload-mark packet-mark=\ vlan12-packet-upload-mark parent=Total priority=2 queue=\ cake-upload-vlan12 add limit-at=12M max-limit=90M name=vlan12-packet-download-mark packet-mark=\ vlan12-packet-download-mark parent=Total priority=1 queue=\ cake-download-vlan12 add limit-at=3M max-limit=90M name=vlan32-packet-upload-mark packet-mark=\ vlan32-packet-upload-mark parent=Total priority=4 queue=\ cake-upload-vlan32 add limit-at=3M max-limit=90M name=vlan32-packet-download-mark packet-mark=\ vlan32-packet-download-mark parent=Total priority=3 queue=\ cake-download-vlan32 /interface bridge filter add action=set-priority chain=forward comment=\ "translates WMM priority to VLAN priority" new-priority=from-ingress \ out-interface=ether1 passthrough=yes add action=mark-packet chain=forward comment="vlan 12 up mark" \ in-interface-list=VLAN12 new-packet-mark=vlan12-packet-upload-mark add action=mark-packet chain=forward comment="vlan 12 down mark" \ new-packet-mark=vlan12-packet-download-mark out-interface-list=VLAN12 add action=mark-packet chain=forward comment="vlan 32 down mark" \ new-packet-mark=vlan32-packet-download-mark out-interface-list=VLAN32 add action=mark-packet chain=forward comment="vlan 32 up mark" \ in-interface-list=VLAN32 new-packet-mark=vlan32-packet-upload-mark add action=drop chain=forward comment="ipv6 block" mac-protocol=ipv6 add action=drop chain=forward comment="Vlan32 mcast block in" \ out-interface-list=VLAN32 packet-type=multicast add action=drop chain=forward comment="Vlan32 mcast block out" \ in-interface-list=VLAN32 packet-type=multicast /interface bridge msti add bridge=bridge1 identifier=1 vlan-mapping=12,32,99 /interface bridge port add bridge=bridge1 frame-types=admit-only-vlan-tagged ingress-filtering=no \ interface=ether1 internal-path-cost=10 path-cost=10 add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=wlan1 \ internal-path-cost=10 path-cost=10 /interface bridge settings set use-ip-firewall=yes use-ip-firewall-for-vlan=yes /interface bridge vlan add bridge=bridge1 tagged=bridge1,ether1,wlan1 vlan-ids=12 add bridge=bridge1 tagged=bridge1,ether1,wlan1 vlan-ids=32 add bridge=bridge1 tagged=bridge1,ether1,wlan1 vlan-ids=99 /interface list member add interface=wlan1 list=VLAN12 /ip dhcp-client add interface=MGMT Client Spoiler # 2026-03-21 13:16:12 by RouterOS 7.19.2 # software id = 3V93-DJ6X # # model = RBSXTsq5nD /interface bridge add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no frame-types=\ admit-only-vlan-tagged name=bridge1 port-cost-mode=short priority=0x3000 \ protocol-mode=mstp region-name=km5km6 region-revision=1 vlan-filtering=\ yes /interface wireless set [ find default-name=wlan1 ] antenna-gain=0 band=5ghz-onlyn channel-width=\ 20/40mhz-Ce country=no_country_set disabled=no frequency=5540 \ frequency-mode=superchannel guard-interval=long \ max-station-count=2 mode=station-bridge nv2-security=enabled radio-name=\ KM5KM7slave rate-set=configured ssid=KM5KM7 tx-power=4 tx-power-mode=\ all-rates-fixed wireless-protocol=nv2 /interface vlan add interface=bridge1 name=MGMT vlan-id=99 /interface bridge msti add bridge=bridge1 identifier=1 vlan-mapping=12,32,99 /interface bridge port add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=ether1 \ internal-path-cost=10 path-cost=10 add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=wlan1 \ internal-path-cost=10 path-cost=10 /interface bridge vlan add bridge=bridge1 tagged=bridge1,ether1,wlan1 vlan-ids=12 add bridge=bridge1 tagged=bridge1,ether1,wlan1 vlan-ids=32 add bridge=bridge1 tagged=bridge1,ether1,wlan1 vlan-ids=99 /ip dhcp-client add interface=MGMT Это у меня весь трафик tagged в обоих концах и bridge protocol MSTI На клиенте нужны изменения ether1, чтобы отдать далее untagged, допустим - vlan12 /interface bridge port add bridge=bridge1 edge=yes frame-types=admit-only-untagged-and-priority-tagged interface=ether1 internal-path-cost=10 \ path-cost=10 pvid=12 Вставить ник Quote
Andrei Posted March 21 Posted March 21 @mafijs благодарю. Лаба на работе осталась, в пн попробую. Вставить ник Quote
Saab95 Posted March 21 Posted March 21 12 часов назад, Andrei сказал: и трафик улетит через ether1 на клиента тегированный. Так? Полетит какой надо, в данном случае уже без тега, то есть вы по сети передаете во влане, а абонент получает без влана. Если ему нужен трафик только в своем влане с тегом, на бридже создать фильтр, указать номер влана, поставить ! перед номером влана (то есть не этот номер влана) и действие дроп. 11 часов назад, mafijs сказал: Saab95 - Развивайся ! Читай. А то Сааб застрял в прошлошм веку с RoS v.6. У нас сейчас около 25 тысяч микротиков, все настройки должны быть однотипные, а не привязываться к 6 и 7 версиям, сейчас и так порядка 40 разных версий прошивок на всех устройствах установлены, т.к. многие устройства работают годами без перезагрузок и перерывов, и просто так обновлять прошивки тоже не будешь, вот и копятся разные версии в работе, и на многих версиях нестройки немного отличаются. 11 часов назад, mafijs сказал: Мржет Саабу предостваить рабочий конфиг с RBSXTsq5nD (SXTsq Lite5) только там eщё немножко сложнее - MSTP protocol на бридже и используется Frame type. Или даже на Wireless Wire Cube Pro (CubeG-5ac60aypair) ? Там 4 valan tagged летает. Мы не используем на 60ггц оборудовании вланы. У нас L3 сеть. Вставить ник Quote
mafijs Posted March 22 Posted March 22 Quote Если ему нужен трафик только в своем влане с тегом, на бридже создать фильтр, указать номер влана, поставить ! перед номером влана (то есть не этот номер влана) и действие дроп. Перечитивал много раз. Так и не понял смысл этого писанина. Что это было? Quote У нас сейчас около 25 тысяч микротиков, Только никто не видел эту сеть И даже отрывки реального кнфига никто не видел. Что за секретная сеть такая? Вставить ник Quote
Andrei Posted March 23 Posted March 23 В 21.03.2026 в 22:58, Saab95 сказал: Полетит какой надо, в данном случае уже без тега, то есть вы по сети передаете во влане, а абонент получает без влана. Не полетел. В 21.03.2026 в 18:43, mafijs сказал: admit-only-vlan-tagged Как только поставил это на бридж сразу потерял управление микротиком. Стенд был такой: ноут untag - свич роrt1.untag - тот_же_свич роrt8.tag - ether1 микрота. Пришлось все скинуть в дефолт , т.к. до микрота достучаться не смог. В общем не понимаю я микротика. Третий день идет с практически нулевым результатом. Вставить ник Quote
mafijs Posted March 23 Posted March 23 Quote Как только поставил это на бридж сразу потерял управление микротиком. После этого доступ только через vlan упраления. Или МАС или IP. Поэтому даже мануале пишет vlan-filtering включить в самом конце. Нужно чтобы комп тоже был в этом vlan. Вставить ник Quote
Andrei Posted March 23 Posted March 23 4 минуты назад, mafijs сказал: Нужно чтобы комп тоже был в этом vlan. Да, так и было Вставить ник Quote
mafijs Posted March 23 Posted March 23 Хм. Так. Сделать конфигурацию. DHCP cient MGMT- vlan на точке. С статикой надо route добавить на шлюз. Иначе доступа не будет. Я всегда использую DHCP. Комп тоже должен получить IP от этого субнета. И потом уже ставить галку на бридже vlan-filtering. admit-only-vlan-tagged до этого поставить. Можно включить ROMON, но смысл этому, если и свитч микротик. Вставить ник Quote
Andrei Posted March 23 Posted March 23 После ресета в дефолт один из микротиков не поднялся с адресом 192.168.88.1, просит адрес по dhcp: Это просто п..ц какой-то... 😞 Вставить ник Quote
mafijs Posted March 23 Posted March 23 Всё верно. После сброса в default устанавливается static IP 192.168.88.1 внутренний, локалки за микротиком. И включается файрвол на еther1 и там DHCP клиент на ether1. Стандартная конфигурация - воткнул провод провайдера в ether1 - пользуйся итернетом на WiFi. доступмв начале через WiFi без пароля или указан гдетотна коробке. Ну примерно так. Сбросв вашем случае нужен без начальной конфигурации. Будет полностю пустой без какой либо конфигурации Вставить ник Quote
Andrei Posted March 23 Posted March 23 1 час назад, mafijs сказал: Всё верно. Никогда так не было. Я за эти дни уже несколько раз сбрасывал их в дефолт, после чего прописываю себе адрес из 88.х, захожу на 88.1 и начинаю настройку. Всегда так и было. Принес домой, подключил eth к домашнему роутеру, не получает он ничего по DHCP. Его wifi тоже в эфире не видно. Убить его что ли об стену и делу конец? 🙂 Вставить ник Quote
mafijs Posted March 23 Posted March 23 Не очень умею лечить по фотографии 🙂 Но пробуем - по МАС тоже не подключится? Вставить ник Quote
mafijs Posted March 23 Posted March 23 (edited) Почитал про сброс в дефолт имнено SXTsq - https://help.mikrotik.com/docs/spaces/UM/pages/14221556/SXTsq-series Оказывается там два вариант сброса. Quote Buttons and Jumpers The routerBOOT reset button has the following functions. Press the button and apply the power, then: Release the button when green LED starts flashing, to reset RouterOS configuration to defaults. Release the button when the LED turns solid green to clear all configuration and defaults. Release the button after LED is no longer lit (~20 seconds) to cause the device to look for Netinstall servers (required for reinstalling RouterOS over the network). Видимо у Вас получилось второй - без начальной конфгурации. Edited March 23 by mafijs Вставить ник Quote
Andrei Posted March 23 Posted March 23 54 минуты назад, mafijs сказал: по МАС тоже не подключится? Нет. 5 минут назад, mafijs сказал: Оказывается там два вариант сброса Попробовал оба, наконец-то хоть зашел на микротик. Начну заново "с нуля". Бэкапы конфигов есть, можно импортнуть, но наверное не стоит. Вставить ник Quote
mafijs Posted March 23 Posted March 23 Заново "с нуля" без бэкапа будет правилнее. Вставить ник Quote
Andrei Posted March 23 Posted March 23 1 час назад, mafijs сказал: Заново "с нуля" без бэкапа будет правилнее. Это точно, т.к. восстановление из бэкапа (import file=...) даже простейших конструкций вида (получено командой export file=...) /ip address add address=192.168.254.251/24 interface=vlan5 network=192.168.254.0 приводит вот к таким глючным результатам как на картинке ниже. С нуля. Исходные данные: на БС подаются 2 тегированных влана 5 (менеджемент) и 28 (юзеры), со СТ надо отдать нетегированный трафик с eth на роутер. Что делаем: Радио: - на БС mode=bridge nv2-security=enabled - на СТ mode=station-bridge nv2-security=enabled - пароли само собой На БС: создаем бридж из wlan и eth, создаем на нем интерфейс - vlan с тегом 5, на него вешаем ip для менеджмента На СТ: - создаем интерфейс vlan c тегом 5 на wlan, на него вешаем ip для менеджмента - создаем интерфейс vlan c тегом 28 на wlan, и создаем бридж из него и eth Всё? Или что-то не так? Вставить ник Quote
mafijs Posted March 23 Posted March 23 basa Spoiler /interface bridge add name=bridge1 /interface wireless disabled=no mode=bridge nv2-security=enabled ssid=MikroTik /interface vlan add interface=bridge1 name=MGMT_vlan_ID_5 vlan-id=5 /interface bridge port add bridge=bridge1 interface=ether1 add bridge=bridge1 interface=wlan1 /interface bridge vlan add bridge=bridge1 tagged=bridge1,ether1,wlan1 vlan-ids=5 add bridge=bridge1 tagged=ether1,wlan1 vlan-ids=28 /ip dhcp-client add interface=MGMT_vlan_ID_5 client Spoiler /interface bridge add name=bridge1 /interface wireless disabled=no mode=station-bridge nv2-security=enabled ssid=MikroTik /interface vlan add interface=bridge1 name=MGMT_vlan_ID_5 vlan-id=5 /interface bridge port add bridge=bridge1 interface=ether1 add bridge=bridge1 interface=wlan1 /interface bridge vlan add bridge=bridge1 tagged=bridge1,ether1,wlan1 vlan-ids=5 add bridge=bridge1 tagged=wlan1 untagged=ether1 vlan-ids=28 /ip dhcp-client add interface=MGMT_vlan_ID_5 На ether1 БС подать tagged трафик с тегами 5 и 28. На vlаn 5 должен быть DHCP server от которого получит IP interface MGMT_valan_ID_5. Когда IP получен правильный, то полдела сделано. Тогда можно включить bridge1 vlan filtering Под рукой нету SXTsq, только wAP , но завтра сделаю лабо с этими условиями на wAP. Вставить ник Quote
Andrei Posted March 23 Posted March 23 17 минут назад, mafijs сказал: На vlаn 5 должен быть DHCP server от которого получит IP interface MGMT_valan_ID_5. Когда IP получен правильный, то полдела сделано. А статикой нельзя что ли прописать заранее адреса из влана управления? У меня нет dhcp-сервера в этом влане, никогда нужды в нем не возникало. Вставить ник Quote
Andrei Posted March 23 Posted March 23 27 минут назад, mafijs сказал: /interface bridge vlan add bridge=bridge1 tagged=bridge1,ether1,wlan1 vlan-ids=5 add bridge=bridge1 tagged=ether1,wlan1 vlan-ids=28 И не понимаю эту конструкцию. или тут есть опечатки? В первой строке в бридж добавляется сам в себя? vlan-ids=5 - в чем отличие от vlan-id=5 ? Вставить ник Quote
mafijs Posted March 23 Posted March 23 DHCP гибче. Сменил адресацию на роутере - забыл про статику, потерял доступ. Для статики нужно и route прописать, иначе доступа не будет. Давно сменил везде на DHCP и не жалею. Quote И не понимаю эту конструкцию. или тут есть опечатки? В первой строке в бридж добавляется сам в себя? vlan-ids=5 - в чем отличие от vlan-id=5 ? Вставить ник Quote
Andrei Posted March 23 Posted March 23 17 минут назад, mafijs сказал: DHCP гибче. Сменил адресацию на роутере - забыл про статику, потерял доступ. Для статики нужно и route прописать, иначе доступа не будет. Давно сменил везде на DHCP и не жалею. Весьма спорно. Сменил адресацию на роутере - все железки на сети получили другие ip, иди потом разберись какие где теперь адреса. Роут прописать? Зачем? Есть влан управления, на сервере в этом влане например 192.168.254.1/24. Все железки в этом же влане, в этой же подсети. Никаких роутов не надо. Но это чуть в сторону от рассматриваемого конфига. Вставить ник Quote
mafijs Posted March 23 Posted March 23 (edited) Quote Весьма спорно. Сменил адресацию на роутере - все железки на сети получили другие ip, иди потом разберись какие где теперь адреса. Наверное дело в првичках. Но и в этом случае есть строка в Микротик. Отображается в DHCP leases как "Active Host hame" Можно прибить намертво MAC к IP /system identity set name="hAP AC" Ладно, это уже к делу не относится. Как кому удобнее. Продолжении завтра. Сделаю лабо. С статикой и DHCP. Edited March 23 by mafijs Вставить ник Quote
Andrei Posted March 23 Posted March 23 7 минут назад, mafijs сказал: в этом случае есть строка в Микротик. Отображается в DHCP leases как "Active Host hame" А если это не микротики? 🙂 У меня на сети 0 микротиков 🙂 7 минут назад, mafijs сказал: Можно прибить намертво MAC к IP ...и в случае смены адресации перелопачивать все связки? 8 минут назад, mafijs сказал: Продолжении завтра. Сделаю лабо. С статикой ок Вставить ник Quote
Saab95 Posted March 23 Posted March 23 25 минут назад, Andrei сказал: Роут прописать? Зачем? Есть влан управления, на сервере в этом влане например 192.168.254.1/24. Все железки в этом же влане, в этой же подсети. Никаких роутов не надо. Этот влан по всей сети пробрасывается? Какой же большой широковещательный сегмент получается. Вставить ник Quote
Andrei Posted March 23 Posted March 23 6 минут назад, Saab95 сказал: Этот влан по всей сети пробрасывается? Какой же большой широковещательный сегмент получается. Сделайте /25 или меньше если это вас так смущает. В конце концов в этом влане ничего кроме трафика управления нет, а он ничтожен. Но тема не об этом. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.