DAF Posted February 2, 2018 (edited) Всем привет. Имеется сеть IP-видеонаблюдения, построена на оборудовании Mikrotik. На всех устройствах версия ROS 6.40.5. Хочу перевести их на версию 6.41.1. Физический доступ затруднен, только удаленный. Прошу подсказать, как правильно настроить vlan и bridge для 6.41.1, чтобы не потерять доступ к устройствам. Текущая конфигурация: RB951G /interface vlan add interface=eth4-omnitik name=vlan7 vlan-id=777 add interface=eth4-omnitik name=wan2 vlan-id=999 /interface bridge port add bridge=br-lan7 interface=vlan7 add bridge=br-lan7 interface=eth2-lan7 # транзит сторонней сети add bridge=br-lan10 interface=eth3-pcdvr add bridge=br-lan10 interface=eth4-omnitik # на OmniTIK add bridge=br-lan10 interface=eth5-ipcam add bridge=br-lan10 interface=wifi /ip address add address=192.168.10.254/24 interface=br-lan10 add address=192.168.9.254/24 interface=wan2 OmniTIK /ip address add address=192.168.10.250/24 interface=br-lan10 add address=192.168.7.250/24 interface=br-lan7 /interface vlan add interface=ether1 name=vlan7 vlan-id=777 add interface=wlan1 name=vlan10 vlan-id=1010 /interface bridge port add bridge=br-lan10 interface=ether1 # на RB951G add bridge=br-lan10 interface=wlan1 add bridge=br-lan10 interface=vlan10 add bridge=br-lan7 interface=ether2 # транзит сторонней сети add bridge=br-lan7 interface=vlan7 SXT5 №1 #главный офис /interface vlan add interface=wlan1 name=vlan9 vlan-id=999 add interface=wlan1 name=vlan10 vlan-id=1010 /interface bridge port bridge=br-lan9 interface=ether1 #internet, dhcp-server add bridge=br-lan9 interface=vlan9 /ip address add address=192.168.10.253/24 interface=vlan10 add address=192.168.9.253/24 interface=br-lan9 SXT5 №2 #филиал /interface vlan add interface=wlan1 name=vlan9 vlan-id=999 add interface=wlan1 name=vlan10 vlan-id=1010 /interface bridge port bridge=br-lan9 interface=ether1 add bridge=br-lan9 interface=vlan9 /ip address add address=192.168.10.252/24 interface=vlan10 add address=192.168.9.252/24 interface=br-lan9 SXT5 №№3,4,5 # IP-камеры /interface vlan add interface=wlan1 name=vlan10 vlan-id=1010 /interface bridge port add bridge=bridge1 interface=ether1 add bridge=bridge1 interface=vlan10 /ip address add address=192.168.9.247-249/24 interface=bridge1 Доступ к Микротикам (winbox, telnet) только с IP 192.168.10.254. Убрал vlan id 1010 с омнитика и всех sxt - это было сделано, чтобы не использовать station-pseudobridge на прежних версиях ROS (на ether1 у SXT 3,4,5 по 2-3 хоста через тупой свич) Edited February 2, 2018 by DAF Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted February 2, 2018 1 час назад, DAF сказал: Хочу перевести их на версию 6.41.1. В чем необходимость? На продакшене принято использовать ПО ветки bugfix, чего и вам советую, дабы не выгребать возможные баги. P.S>Если прочитали ченджлог - принципиальные изменения работы коммутации в переводе master-slave на бриджинг с hw-offload, то бишь потеряться доступ может только в варианте, где ip висел на master, а у вас, как я вижу, таких структур нет. Сие не отменяет предыдущего совета. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DAF Posted February 2, 2018 19 minutes ago, DRiVen said: В чем необходимость? На продакшене принято использовать ПО ветки bugfix, чего и вам советую, дабы не выгребать возможные баги. После выхода очередной версии ветки stable пару дней тестирую на домашних МТ (rb2011, rb750,2 SXT-2lite), затем обновляю 29 minutes ago, DRiVen said: Если прочитали ченджлог - принципиальные изменения работы коммутации в переводе master-slave на бриджинг с hw-offload, то бишь потеряться доступ может только в варианте, где ip висел на master, а у вас, как я вижу, таких структур нет. Сие не отменяет предыдущего совета. Прочитал. Путаюсь с vlan-ами, где ставить vid/tagged/untagged Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted February 2, 2018 Не вижу использования функциональности swith, поэтому не очень понял, при чем тут tagged/untagged, у вас одни субинтерфейсы. Ваши "вланы" и использующие их bridge при обновлении изменению не подвергаются. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DAF Posted February 2, 2018 4 minutes ago, DRiVen said: Не вижу использования функциональности swith, поэтому не очень понял, при чем тут vid/tagged/untagged, у вас одни субинтерфейсы. Ваши "вланы" при обновлении изменению не подвергаются. vid/tagged/untagged - речь о vlan-ах в настройках бриджа, чтобы убрать vlan-ы из интерфейсов (кроме rb951g) А так все обновилось успешно, спасибо за советы. Кстати в /sys routerboard setting после апгрейда загрузчика появилось меню "Boot OS" с выбором "RouterOS" или "SwOS" (в winbox-е). ???? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted February 2, 2018 1 час назад, DAF сказал: речь о vlan-ах в настройках бриджа, чтобы убрать vlan-ы из интерфейсов Если в предел по производительности CPU не упираетесь, то не надо. В принципе - то, что в бридже участвует как interface vlan - tagged, как interface ethernetX - untagged, а VID - идентификатор (номер) vlan. 1 час назад, DAF сказал: в /sys routerboard setting после апгрейда загрузчика появилось меню "Boot OS" с выбором "RouterOS" или "SwOS" Это видимо железка, поддерживающая оба типа MikrotikOS, типа CRS326-24G-2S+RM или CRS317-1G-16S+RM. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DAF Posted February 2, 2018 (edited) 16 minutes ago, DRiVen said: Если в предел по производительности CPU не упираетесь, то не надо. В принципе - то, что в бридже участвует как interface vlan - tagged, как interface ethernetX - untagged, а VID - идентификатор (номер) vlan. Это видимо железка, поддерживающая оба типа MikrotikOS, типа CRS326-24G-2S+RM или CRS317-1G-16S+RM. 1. Понял, спасибо. CPU везде в пределах 20-30%. 2. Внезапно, rb-2011UAS-2HnD. Правда в CLI этого нет, только винбокс Edited February 2, 2018 by DAF Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DAF Posted February 2, 2018 (edited) 1 hour ago, DAF said: 2. Внезапно, rb-2011UAS-2HnD. Правда в CLI этого нет, только винбокс Edited February 2, 2018 by DAF Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted February 2, 2018 34 минуты назад, DAF сказал: Внезапно, rb-2011UAS-2HnD. Правда в CLI этого нет, только винбокс Проверил на hAP ac - нет. Видимо баг Winbox-а (при желании можете репорт вендору заслать), ну или МТ решил 2011 сделать би-девайсом :). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DAF Posted February 2, 2018 (edited) 1 hour ago, DRiVen said: ............................. Видимо баг Winbox-а ....................... не только Winbox-а но глюк знатный :) Edited February 2, 2018 by DAF Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted February 3, 2018 14 часов назад, DRiVen сказал: На продакшене принято использовать ПО ветки bugfix, чего и вам советую Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DAF Posted February 3, 2018 (edited) В общем, работает вполне стабильно. Уменьшилась загрузка CPU (c 20-30% до 10-12%). Перестали переодически переподключаться VPN-клиенты (5шт. sstp) - на сейчас все пять с одинаковым аптаймом в 15+ часов. И совершенно неприлично выглядит /firewall/connections :) Edited February 3, 2018 by DAF Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uraso Posted February 10, 2018 (edited) Решил и я попробовать новую прошивку v6.41. Для начала хотя бы "на столе". Залил v6.41 в резервную RB450G с полной конфигураций . Все прошло нормально без "кирпичей" и зависонов. Потом попробовал старичка RB750. Он тоже принял прошивку нормально. Но отказался обновлятся загрузчик 6.41. RB750Gr3 тоже прошилась без проблем.... Ну и осталось попробовать смоделировать одну из основных фишек этой прошивки vlan-filtering на бридже. Старый проверенный вариант заработал на 6.41 без проблем.... interface bridge add fast-forward=no name=bridge1 /interface vlan add interface=ether5 name=vlan123 vlan-id=123 /interface bridge port add bridge=bridge1 interface=ether1 add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=vlan123 /ip neighbor discovery-settings set discover-interface-list=all /ip address add address=10.23.12.17/24 interface=vlan7 network=10.23.12.0 А теперь руководствуясь официальной викой создал такую же конфигурацию но с помощью vlan-filtering на бридже. Пока что без гибридных портов....https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge /interface bridge add fast-forward=no name=bridge1 vlan-filtering=no /interface bridge port add bridge=bridge1 interface=ether5 add bridge=bridge1 interface=ether1 pvid=123 add bridge=bridge1 interface=ether2 pvid=123 add bridge=bridge1 interface=ether3 pvid=123 add bridge=bridge1 interface=ether4 pvid=44 /ip neighbor discovery-settings set discover-interface-list=all /interface bridge vlan add bridge=bridge1 tagged=ether5 untagged=ether1,ether2,ether3 vlan-ids=123 add bridge=bridge1 tagged=ether5 untagged=ether4 vlan-ids=44 /ip address add address=10.23.12.17/24 interface=bridge1 network=10.23.12.0 /ip dns set allow-remote-requests=yes servers=8.8.8.8 И первый и второй вариант заработал.... На обоих девайсах - RB750 и RB450G. Также сразу проявилась не очень приятная особенность новой прошивки 6.41 - настройка IP neighbors ..... В предыдущих прошивках админу предоставлялся выбор активации интерфейсов neighbors .... В новой конфигурации, после команды vlan-filtering=yes , винбокс не обнаруживает интерфейсов ether1,ether2,ether3 ,ether4 кроме ether5 . Об этом уже жаловались пользователи на официальном форуме микротик. Edited February 10, 2018 by uraso Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uraso Posted February 10, 2018 (edited) В прошивке 6.41.1 обновление загрузчика для RB750 исправили... В 6.41.2 что то пытались исправить в neighbors ... И загрузчик изменился на 6.41.2. Теперь об удаленной настройке: все настройки вел через ether5 . И только в конце включил Vlan-filtering. Доступа к микротику не терял.... Edited February 10, 2018 by uraso Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DAF Posted February 16, 2018 On 10.02.2018 at 11:16 PM, uraso said: ........................................................ Также сразу проявилась не очень приятная особенность новой прошивки 6.41 - настройка IP neighbors ..... В предыдущих прошивках админу предоставлялся выбор активации интерфейсов neighbors .... В новой конфигурации, после команды vlan-filtering=yes , винбокс не обнаруживает интерфейсов ether1,ether2,ether3 ,ether4 кроме ether5 . Об этом уже жаловались пользователи на официальном форуме микротик. Я сначала прошил 6.41 в домашний rb2011 и потерял доступ. Подключился только через serial0. Обнаружил, что в /bridge-local port пусто, в /interface interface-list discover (интерфейсы для neighbors) тоже ничего нет. Откатился на 6.40.5. В 6.42.1 баг пофиксили, но опасения были - потому я поднял этот топик. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Chexov Posted February 16, 2018 5 часов назад, DAF сказал: Я сначала прошил 6.41 в домашний rb2011 и потерял доступ. Подключился только через serial0. Обнаружил, что в /bridge-local port пусто, в /interface interface-list discover (интерфейсы для neighbors) тоже ничего нет. Откатился на 6.40.5. В 6.42.1 баг пофиксили, но опасения были - потому я поднял этот топик. Да пофиксили только в 6.42.2 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
