Jump to content
Калькуляторы

Помогите настроить Vlanы Микротик+UBNT

Всем доброго дня!

Нужно изолировать клиентский трафик. Нужно из маршрутизатора микротик пробросить Виланы до БС ubnt.

Ubnt настраивал двумя способами:

1) https://help.ubnt.com/hc/en-us/articles/204952204-airMAX-Management-tagged-and-Access-VLAN-untagged-on-Station-LAN

2) https://help.ubnt.com/hc/en-us/articles/205221130-airMAX-Management-tagged-and-no-VLANs-untagged-on-radio

 

На микротике настраиваю так:

Добавляю на интерфейс, который смотрит в сеть к юзерам, вилан, даю ему id, ip.

 

Пинг не идет, на бс не могу зайти. Что я делаю не так? Помогите, научите.

Спасибо.

Share this post


Link to post
Share on other sites

Это настройки клиентских устройств.

БС пропускает вланы прозрачно. Единственное, что нужно сделать на БС - поднять mtu.

Share this post


Link to post
Share on other sites

rdc, у меня vlan'ы без включенного WDS не проходили.

Так и должно быть? Не до конца понимаю механику, если честно. Хочу прояснить для себя.

Share this post


Link to post
Share on other sites

Это настройки клиентских устройств.

БС пропускает вланы прозрачно. Единственное, что нужно сделать на БС - поднять mtu.

А если нужно чтобы вилан на БС работало?

mtu пробовал понижать со стороны микротика - не помогло, а вот повышать со стороны ubnt не пробовал, спасибо за совет.

Share this post


Link to post
Share on other sites

разумеется, WDS надо включить везде.

с вланами это не связано. это нужно, чтобы пролезали mac-адреса пользователей за клиентскими устройствами

Share this post


Link to post
Share on other sites

rdc, у меня vlan'ы без включенного WDS не проходили.

Так и должно быть? Не до конца понимаю механику, если честно. Хочу прояснить для себя.

Да,весь трафик в том числе и тегированный должен пропускаться прозрачно, если не добавлено ни одного вилана и включен вдс.

Share this post


Link to post
Share on other sites

Всем доброго дня!

Нужно изолировать клиентский трафик. Нужно из маршрутизатора микротик пробросить Виланы до БС ubnt.

Ubnt настраивал двумя способами:

1) https://help.ubnt.com/hc/en-us/articles/204952204-airMAX-Management-tagged-and-Access-VLAN-untagged-on-Station-LAN

2) https://help.ubnt.com/hc/en-us/articles/205221130-airMAX-Management-tagged-and-no-VLANs-untagged-on-radio

 

На микротике настраиваю так:

Добавляю на интерфейс, который смотрит в сеть к юзерам, вилан, даю ему id, ip.

 

Пинг не идет, на бс не могу зайти. Что я делаю не так? Помогите, научите.

Спасибо.

А как вообще правильнее сделать, вилан на каждую клиентскую стшку или вилан на БС? Мне кажется логичнее на БС, так как юзеры изолированы на БС, и получится достаточно лаконично - мешьше виланов.

Share this post


Link to post
Share on other sites

MTU на каком интерфейсе поднять нужно?

http://joxi.ru/YmEa1NwSQzPxm6

поднял mtu на LAN0 до 1504, пинг с микротика на ubnt не идет, связи нет.

Edited by Fint

Share this post


Link to post
Share on other sites

Правильнее будет Vlan на БС , а у абонентов PPPOE и пароль на CPЕ чтоб не лезли куда не нужно.

Правильнее для кого, для саба? :)

Share this post


Link to post
Share on other sites

Правильнее будет Vlan на БС , а у абонентов PPPOE и пароль на CPЕ чтоб не лезли куда не нужно.

у абонентов ipoe, на ст само собой пароль, как и на ап.

 

Правильнее будет Vlan на БС , а у абонентов PPPOE и пароль на CPЕ чтоб не лезли куда не нужно.

Правильнее для кого, для саба? :)

SSD, как настроить убики и микротик, что бы виланы работали?

Share this post


Link to post
Share on other sites

MTU на каком интерфейсе поднять нужно?

Этот параметр крутить не нужно.

 

как настроить убики и микротик, что бы виланы работали?

В ваших же ссылках на примеры все предельно доступно "на пальцах" показано как сделать самому.

Обратиться к профильным специалистам которые настроят "за деньги".

Share this post


Link to post
Share on other sites

SSD, как настроить убики и микротик, что бы виланы работали?

В чем именно проблема?

Share this post


Link to post
Share on other sites

Я кажется понял в чем косяк! У Коммутатора по умолчанию на всех портах untagged VID1! Теперь ждать ночи, что бы проверить.

Share this post


Link to post
Share on other sites

SSD, как настроить убики и микротик, что бы виланы работали?

В чем именно проблема?

Объясните мне пожалуйста.

Было так - все абоненты всех БС в одной подсети были. Начал переделывать, назначил интерфейсу микротика, который смотрит в сторону юзеров, еще один адрес из другой подсети, из этой же подсети раздал адреса СТшкам(настроены роутерами) одной БС, сделал НАТ этой подсети, все работает. Получается юзеры этой БС изолированы? Широковещательный трафик тоже изолирован?

Тогда смысл Вилан?

Но при этом, на этом же интерфейсе всегда был назначен адрес из подсети в которой находятся управляющие интерфейсы оборудования, и я имею к ним доступ из абоненткой подсети, я так понимаю это потому что адреса на одном интерфесе, получается изоляции клиентов не будет, а широковещательный трафик будет блокироваться? Подсети то разные.

 

Цель всего этого - избавиться от широковещательного трафика, привести сеть в порядок.

 

Так же вот здесь http://www.o-t-s.ru/includes/imagemanager/documents/airos/AirOS_5_3.pdf (страница 25) написано:

[bridge] В этом режиме устройство выступает в роли прозрачного моста. Не будет никакой сегментации сети пока широковещательный домен будет тот же. В режиме моста не блокируется широковещательный трафик.

 

[Router] режим роутера может быть использован для обеспечения маршрутизации и

сегментации сети - беспроводные клиенты будут находиться в другой подсети. Режим роутера

будет блокировать широковещательный трафик.

То есть получается пока БС работает бриджом широковещательный трафик идет как и от её СТшек в сеть, так и из сети к её СТшкам, но так как СТшки в режиме роутера, то к юзерам не попадает и от юзеров в сеть не идет? При этом есть лишняя нагрузка на радио?

Но если широковещательный домен СТшек этой БС другой(а в идеале у СТшек каждой БС своя подсеть будет), то это избавляет сеть от широковещательного трафика и флуда в сети?

Если при этом еще и виланы на каждую БС использовать, дополнительный профит какой нибудь будет?

 

Сори за сумбурные и глупые вопросы, но правда не понятно.

Share this post


Link to post
Share on other sites

Skip

Настраиваете все радио с включеным wds, тогда vlan будут пролетать прозрачно. На каждом СРЕ вешаете по два vlan один для управления второй пользователя который бриджуется с езернетом СРЕ. Изоляция и прочее настраивается на роутере который терминипует vlan, в радиоканале кроме vlan ничего не будет.

Share this post


Link to post
Share on other sites

Skip

Настраиваете все радио с включеным wds, тогда vlan будут пролетать прозрачно. На каждом СРЕ вешаете по два vlan один для управления второй пользователя который бриджуется с езернетом СРЕ. Изоляция и прочее настраивается на роутере который терминипует vlan, в радиоканале кроме vlan ничего не будет.

Это получается вилан на юзера, а если использовать вилан на БС?

 

А если все же влан на юзера делать, серые адреса давать из разных подсетей?

НАТить получается каждый адрес отдельно, создавать правило в фаерволе? Или можно как то кошерней сделать НАТ в таком варианте?

Edited by Fint

Share this post


Link to post
Share on other sites

Skip

Настраиваете все радио с включеным wds, тогда vlan будут пролетать прозрачно. На каждом СРЕ вешаете по два vlan один для управления второй пользователя который бриджуется с езернетом СРЕ. Изоляция и прочее настраивается на роутере который терминипует vlan, в радиоканале кроме vlan ничего не будет.

Это получается вилан на юзера, а если использовать вилан на БС?

 

А если все же влан на юзера делать, серые адреса давать из разных подсетей?

НАТить получается каждый адрес отдельно, создавать правило в фаерволе? Или можно как то кошерней сделать НАТ в таком варианте?

Мда. Изучайте азы, отвечать на такие вопросы бестолку, ответа не поймете.

Share this post


Link to post
Share on other sites

Skip

Настраиваете все радио с включеным wds, тогда vlan будут пролетать прозрачно. На каждом СРЕ вешаете по два vlan один для управления второй пользователя который бриджуется с езернетом СРЕ. Изоляция и прочее настраивается на роутере который терминипует vlan, в радиоканале кроме vlan ничего не будет.

Это получается вилан на юзера, а если использовать вилан на БС?

 

А если все же влан на юзера делать, серые адреса давать из разных подсетей?

НАТить получается каждый адрес отдельно, создавать правило в фаерволе? Или можно как то кошерней сделать НАТ в таком варианте?

Мда. Изучайте азы, отвечать на такие вопросы бестолку, ответа не поймете.

Почему же так категорично, может быть пойму.

На счет азов согласен, если подскажите в каком направлении изучать, буду рад.

Share this post


Link to post
Share on other sites

Странное дело. Сделал Vilan на БС, управление и доступ. Управление работает, CPE адреса получают, пинг с CPE в интернет идет. С утра звонят юзеры - нет интернета. Убрал из бриджа вилан, поставил назад LAN, снял адреса с вилана, повеcил на Ether2 все заработало. Это все делалось без управляемого коммутатора, вместо него мыльница.

В чем проблема у юзеров?

post-116466-008565700 1443419629_thumb.jpg

post-116466-033317100 1443419867_thumb.jpg

post-116466-008565700 1443419629_thumb.jpg

post-116466-033317100 1443419867_thumb.jpg

Edited by Fint

Share this post


Link to post
Share on other sites

В чем проблема у юзеров?

В отсутствии необходимых знаний у администратора этой сети.

Тренируйтесь на каком нибудь другом оборудовании, на стенде, не мучайте людей.

У Вас нет четкого понимания какие параметры необходимо настроить на микротике, свиче, убнт, зато есть огромное желание настроить всё это оборудование сразу, в итоге результат выше.

Разделите настройку оборудования на этапы для начала.

Share this post


Link to post
Share on other sites

У вас ЦПЕ и юзерские устройства находятся в одной подсети или ЦПЕ как роутер с включенным NAT?

Логично было бы оставить базу как есть, добавив просто влан управления, а на ЦПЕ-шках прописывать управление на wlan0.72 а юзерский порт бриджевать с wlan0.2. Таким образом база и ЦПЕ управляются по влану 72, юзеры живут в влане 2 и никто друг другу не мешает. Настройки MTU на убнт на пропуск тегов не влияют, все ЦПЕ и база должны быть в режиме WDS. Если нужно аварийно заходить на ЦПЕ с юзерского порта, используйте ip aliases с адресом-затычкой на bridge0.

Share this post


Link to post
Share on other sites

В чем проблема у юзеров?

В отсутствии необходимых знаний у администратора этой сети.

Тренируйтесь на каком нибудь другом оборудовании, на стенде, не мучайте людей.

У Вас нет четкого понимания какие параметры необходимо настроить на микротике, свиче, убнт, зато есть огромное желание настроить всё это оборудование сразу, в итоге результат выше.

Разделите настройку оборудования на этапы для начала.

спасибо все работает, переделал всю сеть. В вышеуказанной проблеме всего лишь не добавил DHCP на нужный вилан по запарке.

 

У вас ЦПЕ и юзерские устройства находятся в одной подсети или ЦПЕ как роутер с включенным NAT?

Логично было бы оставить базу как есть, добавив просто влан управления, а на ЦПЕ-шках прописывать управление на wlan0.72 а юзерский порт бриджевать с wlan0.2. Таким образом база и ЦПЕ управляются по влану 72, юзеры живут в влане 2 и никто друг другу не мешает. Настройки MTU на убнт на пропуск тегов не влияют, все ЦПЕ и база должны быть в режиме WDS. Если нужно аварийно заходить на ЦПЕ с юзерского порта, используйте ip aliases с адресом-затычкой на bridge0.

CPE в роутере с НАТом. Пока что сделал вилан на БС. Вилан на юзера в планах.

Быстрее бросить вилан на БС, чем на каждую ЦПЕ. Если на каждую ЦПЕ бросать, то лучше уже сделать вилан на юзера.

 

Назревший вопрос(хоть на этот кто нибудь ответит?):

Когда вилан вешается на ВЛАН порт ST радиомоста, AP при этом прозрачна для любого трафика, пакеты не предназначенные этому Вилану будут в радиоканале?

Или же лучше вешать нужные виланы на радиомост со стороны AP или вообще на оба устройства моста?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.