Fint Posted September 26, 2015 · Report post Всем доброго дня! Нужно изолировать клиентский трафик. Нужно из маршрутизатора микротик пробросить Виланы до БС ubnt. Ubnt настраивал двумя способами: 1) https://help.ubnt.com/hc/en-us/articles/204952204-airMAX-Management-tagged-and-Access-VLAN-untagged-on-Station-LAN 2) https://help.ubnt.com/hc/en-us/articles/205221130-airMAX-Management-tagged-and-no-VLANs-untagged-on-radio На микротике настраиваю так: Добавляю на интерфейс, который смотрит в сеть к юзерам, вилан, даю ему id, ip. Пинг не идет, на бс не могу зайти. Что я делаю не так? Помогите, научите. Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted September 26, 2015 · Report post Это настройки клиентских устройств. БС пропускает вланы прозрачно. Единственное, что нужно сделать на БС - поднять mtu. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Samgabial Posted September 26, 2015 · Report post rdc, у меня vlan'ы без включенного WDS не проходили. Так и должно быть? Не до конца понимаю механику, если честно. Хочу прояснить для себя. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted September 26, 2015 · Report post Это настройки клиентских устройств. БС пропускает вланы прозрачно. Единственное, что нужно сделать на БС - поднять mtu. А если нужно чтобы вилан на БС работало? mtu пробовал понижать со стороны микротика - не помогло, а вот повышать со стороны ubnt не пробовал, спасибо за совет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted September 26, 2015 · Report post разумеется, WDS надо включить везде. с вланами это не связано. это нужно, чтобы пролезали mac-адреса пользователей за клиентскими устройствами Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted September 26, 2015 · Report post rdc, у меня vlan'ы без включенного WDS не проходили. Так и должно быть? Не до конца понимаю механику, если честно. Хочу прояснить для себя. Да,весь трафик в том числе и тегированный должен пропускаться прозрачно, если не добавлено ни одного вилана и включен вдс. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted September 26, 2015 · Report post Всем доброго дня! Нужно изолировать клиентский трафик. Нужно из маршрутизатора микротик пробросить Виланы до БС ubnt. Ubnt настраивал двумя способами: 1) https://help.ubnt.com/hc/en-us/articles/204952204-airMAX-Management-tagged-and-Access-VLAN-untagged-on-Station-LAN 2) https://help.ubnt.com/hc/en-us/articles/205221130-airMAX-Management-tagged-and-no-VLANs-untagged-on-radio На микротике настраиваю так: Добавляю на интерфейс, который смотрит в сеть к юзерам, вилан, даю ему id, ip. Пинг не идет, на бс не могу зайти. Что я делаю не так? Помогите, научите. Спасибо. А как вообще правильнее сделать, вилан на каждую клиентскую стшку или вилан на БС? Мне кажется логичнее на БС, так как юзеры изолированы на БС, и получится достаточно лаконично - мешьше виланов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted September 26, 2015 (edited) · Report post MTU на каком интерфейсе поднять нужно? http://joxi.ru/YmEa1NwSQzPxm6 поднял mtu на LAN0 до 1504, пинг с микротика на ubnt не идет, связи нет. Edited September 26, 2015 by Fint Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
laplundik Posted September 27, 2015 · Report post Правильнее будет Vlan на БС , а у абонентов PPPOE и пароль на CPЕ чтоб не лезли куда не нужно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSD Posted September 27, 2015 · Report post Правильнее будет Vlan на БС , а у абонентов PPPOE и пароль на CPЕ чтоб не лезли куда не нужно. Правильнее для кого, для саба? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted September 27, 2015 · Report post Правильнее будет Vlan на БС , а у абонентов PPPOE и пароль на CPЕ чтоб не лезли куда не нужно. у абонентов ipoe, на ст само собой пароль, как и на ап. Правильнее будет Vlan на БС , а у абонентов PPPOE и пароль на CPЕ чтоб не лезли куда не нужно. Правильнее для кого, для саба? :) SSD, как настроить убики и микротик, что бы виланы работали? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted September 27, 2015 · Report post MTU на каком интерфейсе поднять нужно? Этот параметр крутить не нужно. как настроить убики и микротик, что бы виланы работали? В ваших же ссылках на примеры все предельно доступно "на пальцах" показано как сделать самому.Обратиться к профильным специалистам которые настроят "за деньги". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSD Posted September 27, 2015 · Report post SSD, как настроить убики и микротик, что бы виланы работали? В чем именно проблема? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted September 27, 2015 · Report post Я кажется понял в чем косяк! У Коммутатора по умолчанию на всех портах untagged VID1! Теперь ждать ночи, что бы проверить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted September 27, 2015 · Report post SSD, как настроить убики и микротик, что бы виланы работали? В чем именно проблема? Объясните мне пожалуйста. Было так - все абоненты всех БС в одной подсети были. Начал переделывать, назначил интерфейсу микротика, который смотрит в сторону юзеров, еще один адрес из другой подсети, из этой же подсети раздал адреса СТшкам(настроены роутерами) одной БС, сделал НАТ этой подсети, все работает. Получается юзеры этой БС изолированы? Широковещательный трафик тоже изолирован? Тогда смысл Вилан? Но при этом, на этом же интерфейсе всегда был назначен адрес из подсети в которой находятся управляющие интерфейсы оборудования, и я имею к ним доступ из абоненткой подсети, я так понимаю это потому что адреса на одном интерфесе, получается изоляции клиентов не будет, а широковещательный трафик будет блокироваться? Подсети то разные. Цель всего этого - избавиться от широковещательного трафика, привести сеть в порядок. Так же вот здесь http://www.o-t-s.ru/includes/imagemanager/documents/airos/AirOS_5_3.pdf (страница 25) написано: [bridge] В этом режиме устройство выступает в роли прозрачного моста. Не будет никакой сегментации сети пока широковещательный домен будет тот же. В режиме моста не блокируется широковещательный трафик. [Router] режим роутера может быть использован для обеспечения маршрутизации и сегментации сети - беспроводные клиенты будут находиться в другой подсети. Режим роутера будет блокировать широковещательный трафик. То есть получается пока БС работает бриджом широковещательный трафик идет как и от её СТшек в сеть, так и из сети к её СТшкам, но так как СТшки в режиме роутера, то к юзерам не попадает и от юзеров в сеть не идет? При этом есть лишняя нагрузка на радио? Но если широковещательный домен СТшек этой БС другой(а в идеале у СТшек каждой БС своя подсеть будет), то это избавляет сеть от широковещательного трафика и флуда в сети? Если при этом еще и виланы на каждую БС использовать, дополнительный профит какой нибудь будет? Сори за сумбурные и глупые вопросы, но правда не понятно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSD Posted September 27, 2015 · Report post Skip Настраиваете все радио с включеным wds, тогда vlan будут пролетать прозрачно. На каждом СРЕ вешаете по два vlan один для управления второй пользователя который бриджуется с езернетом СРЕ. Изоляция и прочее настраивается на роутере который терминипует vlan, в радиоканале кроме vlan ничего не будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted September 27, 2015 (edited) · Report post Skip Настраиваете все радио с включеным wds, тогда vlan будут пролетать прозрачно. На каждом СРЕ вешаете по два vlan один для управления второй пользователя который бриджуется с езернетом СРЕ. Изоляция и прочее настраивается на роутере который терминипует vlan, в радиоканале кроме vlan ничего не будет. Это получается вилан на юзера, а если использовать вилан на БС? А если все же влан на юзера делать, серые адреса давать из разных подсетей? НАТить получается каждый адрес отдельно, создавать правило в фаерволе? Или можно как то кошерней сделать НАТ в таком варианте? Edited September 27, 2015 by Fint Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSD Posted September 27, 2015 · Report post Skip Настраиваете все радио с включеным wds, тогда vlan будут пролетать прозрачно. На каждом СРЕ вешаете по два vlan один для управления второй пользователя который бриджуется с езернетом СРЕ. Изоляция и прочее настраивается на роутере который терминипует vlan, в радиоканале кроме vlan ничего не будет. Это получается вилан на юзера, а если использовать вилан на БС? А если все же влан на юзера делать, серые адреса давать из разных подсетей? НАТить получается каждый адрес отдельно, создавать правило в фаерволе? Или можно как то кошерней сделать НАТ в таком варианте? Мда. Изучайте азы, отвечать на такие вопросы бестолку, ответа не поймете. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted September 27, 2015 · Report post Skip Настраиваете все радио с включеным wds, тогда vlan будут пролетать прозрачно. На каждом СРЕ вешаете по два vlan один для управления второй пользователя который бриджуется с езернетом СРЕ. Изоляция и прочее настраивается на роутере который терминипует vlan, в радиоканале кроме vlan ничего не будет. Это получается вилан на юзера, а если использовать вилан на БС? А если все же влан на юзера делать, серые адреса давать из разных подсетей? НАТить получается каждый адрес отдельно, создавать правило в фаерволе? Или можно как то кошерней сделать НАТ в таком варианте? Мда. Изучайте азы, отвечать на такие вопросы бестолку, ответа не поймете. Почему же так категорично, может быть пойму. На счет азов согласен, если подскажите в каком направлении изучать, буду рад. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted September 28, 2015 (edited) · Report post Странное дело. Сделал Vilan на БС, управление и доступ. Управление работает, CPE адреса получают, пинг с CPE в интернет идет. С утра звонят юзеры - нет интернета. Убрал из бриджа вилан, поставил назад LAN, снял адреса с вилана, повеcил на Ether2 все заработало. Это все делалось без управляемого коммутатора, вместо него мыльница. В чем проблема у юзеров? Edited September 28, 2015 by Fint Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted September 28, 2015 · Report post В чем проблема у юзеров? В отсутствии необходимых знаний у администратора этой сети.Тренируйтесь на каком нибудь другом оборудовании, на стенде, не мучайте людей. У Вас нет четкого понимания какие параметры необходимо настроить на микротике, свиче, убнт, зато есть огромное желание настроить всё это оборудование сразу, в итоге результат выше. Разделите настройку оборудования на этапы для начала. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dsk Posted September 30, 2015 · Report post У вас ЦПЕ и юзерские устройства находятся в одной подсети или ЦПЕ как роутер с включенным NAT? Логично было бы оставить базу как есть, добавив просто влан управления, а на ЦПЕ-шках прописывать управление на wlan0.72 а юзерский порт бриджевать с wlan0.2. Таким образом база и ЦПЕ управляются по влану 72, юзеры живут в влане 2 и никто друг другу не мешает. Настройки MTU на убнт на пропуск тегов не влияют, все ЦПЕ и база должны быть в режиме WDS. Если нужно аварийно заходить на ЦПЕ с юзерского порта, используйте ip aliases с адресом-затычкой на bridge0. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted October 1, 2015 · Report post В чем проблема у юзеров? В отсутствии необходимых знаний у администратора этой сети.Тренируйтесь на каком нибудь другом оборудовании, на стенде, не мучайте людей. У Вас нет четкого понимания какие параметры необходимо настроить на микротике, свиче, убнт, зато есть огромное желание настроить всё это оборудование сразу, в итоге результат выше. Разделите настройку оборудования на этапы для начала. спасибо все работает, переделал всю сеть. В вышеуказанной проблеме всего лишь не добавил DHCP на нужный вилан по запарке. У вас ЦПЕ и юзерские устройства находятся в одной подсети или ЦПЕ как роутер с включенным NAT? Логично было бы оставить базу как есть, добавив просто влан управления, а на ЦПЕ-шках прописывать управление на wlan0.72 а юзерский порт бриджевать с wlan0.2. Таким образом база и ЦПЕ управляются по влану 72, юзеры живут в влане 2 и никто друг другу не мешает. Настройки MTU на убнт на пропуск тегов не влияют, все ЦПЕ и база должны быть в режиме WDS. Если нужно аварийно заходить на ЦПЕ с юзерского порта, используйте ip aliases с адресом-затычкой на bridge0. CPE в роутере с НАТом. Пока что сделал вилан на БС. Вилан на юзера в планах. Быстрее бросить вилан на БС, чем на каждую ЦПЕ. Если на каждую ЦПЕ бросать, то лучше уже сделать вилан на юзера. Назревший вопрос(хоть на этот кто нибудь ответит?): Когда вилан вешается на ВЛАН порт ST радиомоста, AP при этом прозрачна для любого трафика, пакеты не предназначенные этому Вилану будут в радиоканале? Или же лучше вешать нужные виланы на радиомост со стороны AP или вообще на оба устройства моста? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...