[Uncle Eugene]

Коллеги, здравствуйте! Столкнулся с проблемой. Нужно на новый отдел раздать инет и телефонию от Ростелекома. Топология такая: в 5 порт микротика CCR заходит кабель РТ, в 6 Линксисовский шлюз IP-телефонии, 2 в - свитч. От РТ идет статика, один влан на инет, один влан на связь. На eth5 настроил IP, в Routes прописал шлюз, в Interfaces > VLAN добавил на порт с инетом свой, на порт с телефонией свой, все это объединил в бридж, на бридж настроил DHCP сервер. Пинги не идут, связи нет. На стороне РТ сообщают, что оборудованию в ARP видят, трафик от роутера идет. Поделитесь, пожалуйста, идеями, какие настройки можно проверить? Заранее спасибо!

Edited July 7, 2016 by Uncle Eugene

[VolanD666]

IP на инет нужно весить сразу на влан. Бриджи надо делать отдельно на каждый влан. Зачем на бридж dhcp? Выкладывайте конфиг

 

ЗЫ: Хз как на этой железке, но если на нем есть свич чип, то по феншую надо вланы расскидывать им. Иначе микротик трафик будет процессором.

Edited July 6, 2016 by VolanD666

[Uncle Eugene]

IP на инет нужно весить сразу на влан. Бриджи надо делать отдельно на каждый влан. Зачем на бридж dhcp? Выкладывайте конфиг

 

ЗЫ: Хз как на этой железке, но если на нем есть свич чип, то по феншую надо вланы расскидывать им. Иначе микротик трафик будет процессором.

 

Большое спасибо, что нашли время и возможность ответить. Вечером выложу конфиг.

[Uncle Eugene]

Бриджи надо делать отдельно на каждый влан

Вот с этим моментом я не понял. С чем бриджевать каждый влан?

[Serejka]

Бриджи надо делать отдельно на каждый влан

Вот с этим моментом я не понял. С чем бриджевать каждый влан?

 

Обычная практика при работе с микротиком это интерфейсы вида v110_ether1 , v110_ether2, v110_ether3 с последующим добавлением всего этого добра в bridge110

 

Соответственно по вашему вопросу бриджуют обычно не вланы, а порты в пределах одного влана.

[Uncle Eugene]

IP на инет нужно весить сразу на влан. Бриджи надо делать отдельно на каждый влан. Зачем на бридж dhcp? Выкладывайте конфиг

 

ЗЫ: Хз как на этой железке, но если на нем есть свич чип, то по феншую надо вланы расскидывать им. Иначе микротик трафик будет процессором.

 

Пока безуспешно, выкладываю конфиг:

 

/interface bridge
add name=office-1
add name=office-2
/interface vlan
add interface=ether5 name=vlan_586_ether5 vlan-id=586
/ip pool
add name=dhcp ranges=10.0.0.2-10.0.0.254
add name=dhcp_pool2 ranges=172.16.0.1-172.16.0.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=office-1 lease-time=1d name=dhcp1
add address-pool=dhcp_pool7 disabled=no interface=office-2 lease-time=1d name=dhcp2
/interface bridge pooffice-2
add bridge=office-1 interface=ether3
add bridge=office-1 interface=ether4
add bridge=office-2 interface=ether5
add bridge=office-2 interface=ether6
add bridge=office-1 interface=ether7
add bridge=office-1 interface=ether8
add bridge=office-1 interface=sfp-sfpplus1
add bridge=office-1 interface=sfp1
add bridge=office-2 interface=ether2
add bridge=office-2 interface=vlan_586_ether5
/ip address
add address=10.0.0.1/24 interface=office-1 network=10.0.0.0
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
   10.0.0.0/24
add action=masquerade chain=srcnat out-interface=office-2 src-address=172.16.0.0/24

 

Т.е., кабель провайдера № 2 входит в порт 5, я сделал вилан, на него посадил статику, сделал бридж между виланом и портом.

Далее, добавил в IP/Routes шлюз провайдера, на dst 0.0.0.0/0, он reacheble office 2

в IP/Firewall добавил правило маскарад на OUt Int стоит бридж офис-2, в src 172.16.0.0/24

 

ether-2 уходит в свитч, куда подключены клиенты второго офиса. На нем DHCP-сервер

Edited August 2, 2016 by Uncle Eugene

[Serejka]

Топология такая: в 6 порт микротика CCR заходит кабель РТ, в 7 Линксисовский шлюз IP-телефонии, в 8 - свитч. От РТ идет статика, один влан на инет, один влан на связь. На eth5 настроил IP, в Routes прописал шлюз, в Interfaces > VLAN добавил на порт с инетом свой, на порт с телефонией свой, все это объединил в бридж, на бридж настроил DHCP сервер.

 

 

 

/interface bridge

add name=office-1

add name=office-2

/interface vlan

add interface=ether5 name=vlan_586_ether5 vlan-id=586

/ip pool

add name=dhcp ranges=10.0.0.2-10.0.0.254

add name=dhcp_pool2 ranges=172.16.0.1-172.16.0.254

/ip dhcp-server

add address-pool=dhcp disabled=no interface=office-1 lease-time=1d name=dhcp1

add address-pool=dhcp_pool7 disabled=no interface=office-2 lease-time=1d name=dhcp2

/interface bridge pooffice-2

add bridge=office-1 interface=ether3

add bridge=office-1 interface=ether4

add bridge=office-2 interface=ether5

add bridge=office-2 interface=ether6

add bridge=office-1 interface=ether7

add bridge=office-1 interface=ether8

add bridge=office-1 interface=sfp-sfpplus1

add bridge=office-1 interface=sfp1

add bridge=office-2 interface=ether2

add bridge=office-2 interface=vlan_586_ether5

/ip address

add address=10.0.0.1/24 interface=office-1 network=10.0.0.0

add address=178.207.159.abc/24 interface=ether1 network=178.207.159.0

add address=172.16.0.1/24 interface=ether2 network=172.16.0.0

add address=81.22.214.xyz/24 interface=vlan_586_ether5 network=81.22.214.0

/ip dhcp-server network

add address=10.0.0.0/8 dns-server=217.23.176.1,217.23.177.249 gateway=\

    10.0.0.1 netmask=24

add address=172.16.0.0/24 dns-server=81.22.204.35,8.8.8.8 gateway=172.16.0.1 \

    netmask=24

/ip dns

set allow-remote-requests=yes servers=217.23.177.249,217.23.176.1

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether1 src-address=\

    10.0.0.0/24

add action=masquerade chain=srcnat out-interface=office-2 src-address=172.16.0.0/24

/ip route

add distance=1 gateway=178.207.159.225

add distance=1 gateway=81.22.214.73

 

 

У вас какая-то каша в этой части.

 

Если у вас аплинк на eth6, то где терминация и разбриджёвывание этого аплинка?

Что такое провайдер2 ?

[Uncle Eugene]

У вас какая-то каша в этой части.

 

Если у вас аплинк на eth6, то где терминация и разбриджёвывание этого аплинка?

Что такое провайдер2 ?

 

Да, простите, описка. Провайдер 2 - ростелеком, кабель заходит в eth5.

[Uncle Eugene]

У вас какая-то каша в этой части.

 

Если у вас аплинк на eth6, то где терминация и разбриджёвывание этого аплинка?

Что такое провайдер2 ?

 

А у меня ещё вопрос: на втором порту поднят DHCP сервер, из второго порта кабель идет в свитч, в которой подключены пользователи. Как мне его правильно соединить с бриджем (office-2)? Добавить в бридж office-2?

[DRiVen]

Если клиенты подключаются с ether2 и вы пытатесь их натить - зачем ether2, ether5 и vlan_586_ether5 загнали в бридж? Удалите бридж office-2, dhcp-сервер перевесьте на ether2, и трансляцию поправьте: "add action=masquerade chain=srcnat out-interface=vlan_586_ether5 src-address=172.16.0.0/24".

[Uncle Eugene]

Если клиенты подключаются с ether2 и вы пытатесь их натить - зачем ether2, ether5 и vlan_586_ether5 загнали в бридж? Удалите бридж office-2, dhcp-сервер перевесьте на ether2, и трансляцию поправьте: "add action=masquerade chain=srcnat out-interface=vlan_586_ether5 src-address=172.16.0.0/24".

 

Большое спасибо, проверю завтра и отпишу.

[Uncle Eugene]

Если клиенты подключаются с ether2 и вы пытатесь их натить - зачем ether2, ether5 и vlan_586_ether5 загнали в бридж? Удалите бридж office-2, dhcp-сервер перевесьте на ether2, и трансляцию поправьте: "add action=masquerade chain=srcnat out-interface=vlan_586_ether5 src-address=172.16.0.0/24".

 

Сделал всё в соответствии с вашей рекомендацией, но, увы пинги не идут даже на айпи адреса и шлюз.

[DRiVen]

Поправленный конфиг и /ip route print покажите.

[pingz]

Советую удалить весь конфиг и настраивать постепенно

 

Создаем вилан на него вешаем IP

Добовляем дефолтный роут на 0.0.0.0/0 должен быть пинг до провайдера и самого интернета, если его нет, то уже вопрос к провайдеру.

 

Потом прописываем серую посдсетку на интерфейс, прописываем NAT. Маскарадим на интерфейс с внешним IP если прописать на пк подсетку статикой гетвей и днс. Должен быть интернет ну либо хотябы пинг до IP адреса провайдера.

 

Дальше создаем пул IP серый, настраиваем DHCP прикрепляем пул. Должен работать динамическая раздача IP.

 

По подробней можете написать про телефонию.

 

Скрин в помощь это только PPPoE, но разница небольшая.

[Uncle Eugene]

Советую удалить весь конфиг и настраивать постепенно

 

Создаем вилан на него вешаем IP

Добовляем дефолтный роут на 0.0.0.0/0 должен быть пинг до провайдера и самого интернета, если его нет, то уже вопрос к провайдеру.

 

Потом прописываем серую посдсетку на интерфейс, прописываем NAT. Маскарадим на интерфейс с внешним IP если прописать на пк подсетку статикой гетвей и днс. Должен быть интернет ну либо хотябы пинг до IP адреса провайдера.

 

Дальше создаем пул IP серый, настраиваем DHCP прикрепляем пул. Должен работать динамическая раздача IP.

 

По подробней можете написать про телефонию.

 

Скрин в помощь это только PPPoE, но разница небольшая.

 

Ребята, спасибо большое за помощь и небезразличие! Обязательно попробую все советы. Созванвался с РТ, если отключить вланы, все льется просто прекрасно. Включают влан и затык.

 

Телефон приходит через 63 вилан в Линксис, который терминирует трафик на обычные телефоны.

[Uncle Eugene]

Поправленный конфиг и /ip route print покажите.

Edited August 2, 2016 by Uncle Eugene

[DRiVen]

add bridge=office-1 interface=ether5

Как ether5 попал в office-1? Уберите его из бриджа, он должен быть свободным.

[pingz]

Коммутатор у вас управляемый ? Зачем вам на микротике смешивать телефон и интернет? Имхо телефонию нужно изолировать потом будет проще косы настроить чтобы не булькало.

Вы так и не ответили у вас с микротика интернет видно?

[Uncle Eugene]

Коммутатор у вас управляемый ? Зачем вам на микротике смешивать телефон и интернет? Имхо телефонию нужно изолировать потом будет проще косы настроить чтобы не булькало.

Вы так и не ответили у вас с микротика интернет видно?

 

Да, управляемый. Нет, при включенных виланах до инета с тика я не достукиваюсь.

 

add bridge=office-1 interface=ether5

Как ether5 попал в office-1? Уберите его из бриджа, он должен быть свободным.

 

Спасибо, проверю на свежую голову.

[Uncle Eugene]

Большое всем спасибо, с инетом разобрался, объединил порт инета и порт доступа через мастер-порт в группе свитча. Теперь буду разбираться с телефонией.

[Uncle Eugene]

Коллеги, помогите, пожалуйста, с телефонией. Она приходите по 63 вилану в линксис спа8000. Добавил в interface vlna 63 на порт с инетернетом РТ, линксис подключил в соседний порт. Пробовал сделать бридж br, в который добавил порт с линксисом и вилан63. Проконсультируйте, пожалуйста, верное ли направление действий?

 

На линксисе статика, он закрыт паролем. Если включать напрямую к кабелю РТ, телефония есть.

[Uncle Eugene]

/interface bridge

add name=br-63

/interface vlan

add interface=ether8 name=vlan_63_ether7 vlan-id=63

add bridge=br-63 interface=vlan_63_ether7

[Uncle Eugene]

Соответственно, eth8 - аплинк Ростелеком

eth7 - линксис

[pingz]

У вас телефония отдельным кабелем? или все вместе? Если отдельным выносите на управляемый коммутатор зачем вам микротик нагружать?

[nkusnetsov]

Uncle Eugene, у Вас сплошные опечатки. Вот рабочий вариант:

/interface bridge

add name=br-63

/interface vlan

add interface=ether8 name=vlan_63_ether7 vlan-id=63

/interface bridge port

add bridge=br-63 interface=vlan_63_ether7

add bridge=br-63 interface=ether7