[Fint]

Всем доброго дня!

Нужно изолировать клиентский трафик. Нужно из маршрутизатора микротик пробросить Виланы до БС ubnt.

Ubnt настраивал двумя способами:

1) https://help.ubnt.com/hc/en-us/articles/204952204-airMAX-Management-tagged-and-Access-VLAN-untagged-on-Station-LAN

2) https://help.ubnt.com/hc/en-us/articles/205221130-airMAX-Management-tagged-and-no-VLANs-untagged-on-radio

 

На микротике настраиваю так:

Добавляю на интерфейс, который смотрит в сеть к юзерам, вилан, даю ему id, ip.

 

Пинг не идет, на бс не могу зайти. Что я делаю не так? Помогите, научите.

Спасибо.

[rdc]

Это настройки клиентских устройств.

БС пропускает вланы прозрачно. Единственное, что нужно сделать на БС - поднять mtu.

[Samgabial]

rdc, у меня vlan'ы без включенного WDS не проходили.

Так и должно быть? Не до конца понимаю механику, если честно. Хочу прояснить для себя.

[Fint]

Это настройки клиентских устройств.

БС пропускает вланы прозрачно. Единственное, что нужно сделать на БС - поднять mtu.

А если нужно чтобы вилан на БС работало?

mtu пробовал понижать со стороны микротика - не помогло, а вот повышать со стороны ubnt не пробовал, спасибо за совет.

[rdc]

разумеется, WDS надо включить везде.

с вланами это не связано. это нужно, чтобы пролезали mac-адреса пользователей за клиентскими устройствами

[Fint]

rdc, у меня vlan'ы без включенного WDS не проходили.

Так и должно быть? Не до конца понимаю механику, если честно. Хочу прояснить для себя.

Да,весь трафик в том числе и тегированный должен пропускаться прозрачно, если не добавлено ни одного вилана и включен вдс.

[Fint]

Всем доброго дня!

Нужно изолировать клиентский трафик. Нужно из маршрутизатора микротик пробросить Виланы до БС ubnt.

Ubnt настраивал двумя способами:

1) https://help.ubnt.com/hc/en-us/articles/204952204-airMAX-Management-tagged-and-Access-VLAN-untagged-on-Station-LAN

2) https://help.ubnt.com/hc/en-us/articles/205221130-airMAX-Management-tagged-and-no-VLANs-untagged-on-radio

 

На микротике настраиваю так:

Добавляю на интерфейс, который смотрит в сеть к юзерам, вилан, даю ему id, ip.

 

Пинг не идет, на бс не могу зайти. Что я делаю не так? Помогите, научите.

Спасибо.

А как вообще правильнее сделать, вилан на каждую клиентскую стшку или вилан на БС? Мне кажется логичнее на БС, так как юзеры изолированы на БС, и получится достаточно лаконично - мешьше виланов.

[Fint]

MTU на каком интерфейсе поднять нужно?

http://joxi.ru/YmEa1NwSQzPxm6

поднял mtu на LAN0 до 1504, пинг с микротика на ubnt не идет, связи нет.

Изменено 26 сентября, 2015 пользователем Fint

[laplundik]

Правильнее будет Vlan на БС , а у абонентов PPPOE и пароль на CPЕ чтоб не лезли куда не нужно.

[SSD]

Правильнее будет Vlan на БС , а у абонентов PPPOE и пароль на CPЕ чтоб не лезли куда не нужно.

Правильнее для кого, для саба? :)

[Fint]

Правильнее будет Vlan на БС , а у абонентов PPPOE и пароль на CPЕ чтоб не лезли куда не нужно.

у абонентов ipoe, на ст само собой пароль, как и на ап.

 

Правильнее будет Vlan на БС , а у абонентов PPPOE и пароль на CPЕ чтоб не лезли куда не нужно.

Правильнее для кого, для саба? :)

SSD, как настроить убики и микротик, что бы виланы работали?

[kosmich7]

MTU на каком интерфейсе поднять нужно?

Этот параметр крутить не нужно.

 

как настроить убики и микротик, что бы виланы работали?

В ваших же ссылках на примеры все предельно доступно "на пальцах" показано как сделать самому.

Обратиться к профильным специалистам которые настроят "за деньги".

[SSD]

SSD, как настроить убики и микротик, что бы виланы работали?

В чем именно проблема?

[Fint]

Я кажется понял в чем косяк! У Коммутатора по умолчанию на всех портах untagged VID1! Теперь ждать ночи, что бы проверить.

[Fint]

SSD, как настроить убики и микротик, что бы виланы работали?

В чем именно проблема?

Объясните мне пожалуйста.

Было так - все абоненты всех БС в одной подсети были. Начал переделывать, назначил интерфейсу микротика, который смотрит в сторону юзеров, еще один адрес из другой подсети, из этой же подсети раздал адреса СТшкам(настроены роутерами) одной БС, сделал НАТ этой подсети, все работает. Получается юзеры этой БС изолированы? Широковещательный трафик тоже изолирован?

Тогда смысл Вилан?

Но при этом, на этом же интерфейсе всегда был назначен адрес из подсети в которой находятся управляющие интерфейсы оборудования, и я имею к ним доступ из абоненткой подсети, я так понимаю это потому что адреса на одном интерфесе, получается изоляции клиентов не будет, а широковещательный трафик будет блокироваться? Подсети то разные.

 

Цель всего этого - избавиться от широковещательного трафика, привести сеть в порядок.

 

Так же вот здесь http://www.o-t-s.ru/includes/imagemanager/documents/airos/AirOS_5_3.pdf (страница 25) написано:

[bridge] В этом режиме устройство выступает в роли прозрачного моста. Не будет никакой сегментации сети пока широковещательный домен будет тот же. В режиме моста не блокируется широковещательный трафик.

 

[Router] режим роутера может быть использован для обеспечения маршрутизации и

сегментации сети - беспроводные клиенты будут находиться в другой подсети. Режим роутера

будет блокировать широковещательный трафик.

То есть получается пока БС работает бриджом широковещательный трафик идет как и от её СТшек в сеть, так и из сети к её СТшкам, но так как СТшки в режиме роутера, то к юзерам не попадает и от юзеров в сеть не идет? При этом есть лишняя нагрузка на радио?

Но если широковещательный домен СТшек этой БС другой(а в идеале у СТшек каждой БС своя подсеть будет), то это избавляет сеть от широковещательного трафика и флуда в сети?

Если при этом еще и виланы на каждую БС использовать, дополнительный профит какой нибудь будет?

 

Сори за сумбурные и глупые вопросы, но правда не понятно.

[SSD]

Skip

Настраиваете все радио с включеным wds, тогда vlan будут пролетать прозрачно. На каждом СРЕ вешаете по два vlan один для управления второй пользователя который бриджуется с езернетом СРЕ. Изоляция и прочее настраивается на роутере который терминипует vlan, в радиоканале кроме vlan ничего не будет.

[Fint]

Skip

Настраиваете все радио с включеным wds, тогда vlan будут пролетать прозрачно. На каждом СРЕ вешаете по два vlan один для управления второй пользователя который бриджуется с езернетом СРЕ. Изоляция и прочее настраивается на роутере который терминипует vlan, в радиоканале кроме vlan ничего не будет.

Это получается вилан на юзера, а если использовать вилан на БС?

 

А если все же влан на юзера делать, серые адреса давать из разных подсетей?

НАТить получается каждый адрес отдельно, создавать правило в фаерволе? Или можно как то кошерней сделать НАТ в таком варианте?

Изменено 27 сентября, 2015 пользователем Fint

[SSD]

Skip

Настраиваете все радио с включеным wds, тогда vlan будут пролетать прозрачно. На каждом СРЕ вешаете по два vlan один для управления второй пользователя который бриджуется с езернетом СРЕ. Изоляция и прочее настраивается на роутере который терминипует vlan, в радиоканале кроме vlan ничего не будет.

Это получается вилан на юзера, а если использовать вилан на БС?

 

А если все же влан на юзера делать, серые адреса давать из разных подсетей?

НАТить получается каждый адрес отдельно, создавать правило в фаерволе? Или можно как то кошерней сделать НАТ в таком варианте?

Мда. Изучайте азы, отвечать на такие вопросы бестолку, ответа не поймете.

[Fint]

Skip

Настраиваете все радио с включеным wds, тогда vlan будут пролетать прозрачно. На каждом СРЕ вешаете по два vlan один для управления второй пользователя который бриджуется с езернетом СРЕ. Изоляция и прочее настраивается на роутере который терминипует vlan, в радиоканале кроме vlan ничего не будет.

Это получается вилан на юзера, а если использовать вилан на БС?

 

А если все же влан на юзера делать, серые адреса давать из разных подсетей?

НАТить получается каждый адрес отдельно, создавать правило в фаерволе? Или можно как то кошерней сделать НАТ в таком варианте?

Мда. Изучайте азы, отвечать на такие вопросы бестолку, ответа не поймете.

Почему же так категорично, может быть пойму.

На счет азов согласен, если подскажите в каком направлении изучать, буду рад.

[Fint]

Странное дело. Сделал Vilan на БС, управление и доступ. Управление работает, CPE адреса получают, пинг с CPE в интернет идет. С утра звонят юзеры - нет интернета. Убрал из бриджа вилан, поставил назад LAN, снял адреса с вилана, повеcил на Ether2 все заработало. Это все делалось без управляемого коммутатора, вместо него мыльница.

В чем проблема у юзеров?

Изменено 28 сентября, 2015 пользователем Fint

[kosmich7]

В чем проблема у юзеров?

В отсутствии необходимых знаний у администратора этой сети.

Тренируйтесь на каком нибудь другом оборудовании, на стенде, не мучайте людей.

У Вас нет четкого понимания какие параметры необходимо настроить на микротике, свиче, убнт, зато есть огромное желание настроить всё это оборудование сразу, в итоге результат выше.

Разделите настройку оборудования на этапы для начала.

[dsk]

У вас ЦПЕ и юзерские устройства находятся в одной подсети или ЦПЕ как роутер с включенным NAT?

Логично было бы оставить базу как есть, добавив просто влан управления, а на ЦПЕ-шках прописывать управление на wlan0.72 а юзерский порт бриджевать с wlan0.2. Таким образом база и ЦПЕ управляются по влану 72, юзеры живут в влане 2 и никто друг другу не мешает. Настройки MTU на убнт на пропуск тегов не влияют, все ЦПЕ и база должны быть в режиме WDS. Если нужно аварийно заходить на ЦПЕ с юзерского порта, используйте ip aliases с адресом-затычкой на bridge0.

[Fint]

В чем проблема у юзеров?

В отсутствии необходимых знаний у администратора этой сети.

Тренируйтесь на каком нибудь другом оборудовании, на стенде, не мучайте людей.

У Вас нет четкого понимания какие параметры необходимо настроить на микротике, свиче, убнт, зато есть огромное желание настроить всё это оборудование сразу, в итоге результат выше.

Разделите настройку оборудования на этапы для начала.

спасибо все работает, переделал всю сеть. В вышеуказанной проблеме всего лишь не добавил DHCP на нужный вилан по запарке.

 

У вас ЦПЕ и юзерские устройства находятся в одной подсети или ЦПЕ как роутер с включенным NAT?

Логично было бы оставить базу как есть, добавив просто влан управления, а на ЦПЕ-шках прописывать управление на wlan0.72 а юзерский порт бриджевать с wlan0.2. Таким образом база и ЦПЕ управляются по влану 72, юзеры живут в влане 2 и никто друг другу не мешает. Настройки MTU на убнт на пропуск тегов не влияют, все ЦПЕ и база должны быть в режиме WDS. Если нужно аварийно заходить на ЦПЕ с юзерского порта, используйте ip aliases с адресом-затычкой на bridge0.

CPE в роутере с НАТом. Пока что сделал вилан на БС. Вилан на юзера в планах.

Быстрее бросить вилан на БС, чем на каждую ЦПЕ. Если на каждую ЦПЕ бросать, то лучше уже сделать вилан на юзера.

 

Назревший вопрос(хоть на этот кто нибудь ответит?):

Когда вилан вешается на ВЛАН порт ST радиомоста, AP при этом прозрачна для любого трафика, пакеты не предназначенные этому Вилану будут в радиоканале?

Или же лучше вешать нужные виланы на радиомост со стороны AP или вообще на оба устройства моста?