DAF Опубликовано 2 февраля, 2018 (изменено) · Жалоба Всем привет. Имеется сеть IP-видеонаблюдения, построена на оборудовании Mikrotik. На всех устройствах версия ROS 6.40.5. Хочу перевести их на версию 6.41.1. Физический доступ затруднен, только удаленный. Прошу подсказать, как правильно настроить vlan и bridge для 6.41.1, чтобы не потерять доступ к устройствам. Текущая конфигурация: RB951G /interface vlan add interface=eth4-omnitik name=vlan7 vlan-id=777 add interface=eth4-omnitik name=wan2 vlan-id=999 /interface bridge port add bridge=br-lan7 interface=vlan7 add bridge=br-lan7 interface=eth2-lan7 # транзит сторонней сети add bridge=br-lan10 interface=eth3-pcdvr add bridge=br-lan10 interface=eth4-omnitik # на OmniTIK add bridge=br-lan10 interface=eth5-ipcam add bridge=br-lan10 interface=wifi /ip address add address=192.168.10.254/24 interface=br-lan10 add address=192.168.9.254/24 interface=wan2 OmniTIK /ip address add address=192.168.10.250/24 interface=br-lan10 add address=192.168.7.250/24 interface=br-lan7 /interface vlan add interface=ether1 name=vlan7 vlan-id=777 add interface=wlan1 name=vlan10 vlan-id=1010 /interface bridge port add bridge=br-lan10 interface=ether1 # на RB951G add bridge=br-lan10 interface=wlan1 add bridge=br-lan10 interface=vlan10 add bridge=br-lan7 interface=ether2 # транзит сторонней сети add bridge=br-lan7 interface=vlan7 SXT5 №1 #главный офис /interface vlan add interface=wlan1 name=vlan9 vlan-id=999 add interface=wlan1 name=vlan10 vlan-id=1010 /interface bridge port bridge=br-lan9 interface=ether1 #internet, dhcp-server add bridge=br-lan9 interface=vlan9 /ip address add address=192.168.10.253/24 interface=vlan10 add address=192.168.9.253/24 interface=br-lan9 SXT5 №2 #филиал /interface vlan add interface=wlan1 name=vlan9 vlan-id=999 add interface=wlan1 name=vlan10 vlan-id=1010 /interface bridge port bridge=br-lan9 interface=ether1 add bridge=br-lan9 interface=vlan9 /ip address add address=192.168.10.252/24 interface=vlan10 add address=192.168.9.252/24 interface=br-lan9 SXT5 №№3,4,5 # IP-камеры /interface vlan add interface=wlan1 name=vlan10 vlan-id=1010 /interface bridge port add bridge=bridge1 interface=ether1 add bridge=bridge1 interface=vlan10 /ip address add address=192.168.9.247-249/24 interface=bridge1 Доступ к Микротикам (winbox, telnet) только с IP 192.168.10.254. Убрал vlan id 1010 с омнитика и всех sxt - это было сделано, чтобы не использовать station-pseudobridge на прежних версиях ROS (на ether1 у SXT 3,4,5 по 2-3 хоста через тупой свич) Изменено 2 февраля, 2018 пользователем DAF Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 2 февраля, 2018 · Жалоба 1 час назад, DAF сказал: Хочу перевести их на версию 6.41.1. В чем необходимость? На продакшене принято использовать ПО ветки bugfix, чего и вам советую, дабы не выгребать возможные баги. P.S>Если прочитали ченджлог - принципиальные изменения работы коммутации в переводе master-slave на бриджинг с hw-offload, то бишь потеряться доступ может только в варианте, где ip висел на master, а у вас, как я вижу, таких структур нет. Сие не отменяет предыдущего совета. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 2 февраля, 2018 · Жалоба 19 minutes ago, DRiVen said: В чем необходимость? На продакшене принято использовать ПО ветки bugfix, чего и вам советую, дабы не выгребать возможные баги. После выхода очередной версии ветки stable пару дней тестирую на домашних МТ (rb2011, rb750,2 SXT-2lite), затем обновляю 29 minutes ago, DRiVen said: Если прочитали ченджлог - принципиальные изменения работы коммутации в переводе master-slave на бриджинг с hw-offload, то бишь потеряться доступ может только в варианте, где ip висел на master, а у вас, как я вижу, таких структур нет. Сие не отменяет предыдущего совета. Прочитал. Путаюсь с vlan-ами, где ставить vid/tagged/untagged Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 2 февраля, 2018 · Жалоба Не вижу использования функциональности swith, поэтому не очень понял, при чем тут tagged/untagged, у вас одни субинтерфейсы. Ваши "вланы" и использующие их bridge при обновлении изменению не подвергаются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 2 февраля, 2018 · Жалоба 4 minutes ago, DRiVen said: Не вижу использования функциональности swith, поэтому не очень понял, при чем тут vid/tagged/untagged, у вас одни субинтерфейсы. Ваши "вланы" при обновлении изменению не подвергаются. vid/tagged/untagged - речь о vlan-ах в настройках бриджа, чтобы убрать vlan-ы из интерфейсов (кроме rb951g) А так все обновилось успешно, спасибо за советы. Кстати в /sys routerboard setting после апгрейда загрузчика появилось меню "Boot OS" с выбором "RouterOS" или "SwOS" (в winbox-е). ???? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 2 февраля, 2018 · Жалоба 1 час назад, DAF сказал: речь о vlan-ах в настройках бриджа, чтобы убрать vlan-ы из интерфейсов Если в предел по производительности CPU не упираетесь, то не надо. В принципе - то, что в бридже участвует как interface vlan - tagged, как interface ethernetX - untagged, а VID - идентификатор (номер) vlan. 1 час назад, DAF сказал: в /sys routerboard setting после апгрейда загрузчика появилось меню "Boot OS" с выбором "RouterOS" или "SwOS" Это видимо железка, поддерживающая оба типа MikrotikOS, типа CRS326-24G-2S+RM или CRS317-1G-16S+RM. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 2 февраля, 2018 (изменено) · Жалоба 16 minutes ago, DRiVen said: Если в предел по производительности CPU не упираетесь, то не надо. В принципе - то, что в бридже участвует как interface vlan - tagged, как interface ethernetX - untagged, а VID - идентификатор (номер) vlan. Это видимо железка, поддерживающая оба типа MikrotikOS, типа CRS326-24G-2S+RM или CRS317-1G-16S+RM. 1. Понял, спасибо. CPU везде в пределах 20-30%. 2. Внезапно, rb-2011UAS-2HnD. Правда в CLI этого нет, только винбокс Изменено 2 февраля, 2018 пользователем DAF Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 2 февраля, 2018 (изменено) · Жалоба 1 hour ago, DAF said: 2. Внезапно, rb-2011UAS-2HnD. Правда в CLI этого нет, только винбокс Изменено 2 февраля, 2018 пользователем DAF Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 2 февраля, 2018 · Жалоба 34 минуты назад, DAF сказал: Внезапно, rb-2011UAS-2HnD. Правда в CLI этого нет, только винбокс Проверил на hAP ac - нет. Видимо баг Winbox-а (при желании можете репорт вендору заслать), ну или МТ решил 2011 сделать би-девайсом :). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 2 февраля, 2018 (изменено) · Жалоба 1 hour ago, DRiVen said: ............................. Видимо баг Winbox-а ....................... не только Winbox-а но глюк знатный :) Изменено 2 февраля, 2018 пользователем DAF Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 3 февраля, 2018 · Жалоба 14 часов назад, DRiVen сказал: На продакшене принято использовать ПО ветки bugfix, чего и вам советую Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 3 февраля, 2018 (изменено) · Жалоба В общем, работает вполне стабильно. Уменьшилась загрузка CPU (c 20-30% до 10-12%). Перестали переодически переподключаться VPN-клиенты (5шт. sstp) - на сейчас все пять с одинаковым аптаймом в 15+ часов. И совершенно неприлично выглядит /firewall/connections :) Изменено 3 февраля, 2018 пользователем DAF Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uraso Опубликовано 10 февраля, 2018 (изменено) · Жалоба Решил и я попробовать новую прошивку v6.41. Для начала хотя бы "на столе". Залил v6.41 в резервную RB450G с полной конфигураций . Все прошло нормально без "кирпичей" и зависонов. Потом попробовал старичка RB750. Он тоже принял прошивку нормально. Но отказался обновлятся загрузчик 6.41. RB750Gr3 тоже прошилась без проблем.... Ну и осталось попробовать смоделировать одну из основных фишек этой прошивки vlan-filtering на бридже. Старый проверенный вариант заработал на 6.41 без проблем.... interface bridge add fast-forward=no name=bridge1 /interface vlan add interface=ether5 name=vlan123 vlan-id=123 /interface bridge port add bridge=bridge1 interface=ether1 add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=vlan123 /ip neighbor discovery-settings set discover-interface-list=all /ip address add address=10.23.12.17/24 interface=vlan7 network=10.23.12.0 А теперь руководствуясь официальной викой создал такую же конфигурацию но с помощью vlan-filtering на бридже. Пока что без гибридных портов....https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge /interface bridge add fast-forward=no name=bridge1 vlan-filtering=no /interface bridge port add bridge=bridge1 interface=ether5 add bridge=bridge1 interface=ether1 pvid=123 add bridge=bridge1 interface=ether2 pvid=123 add bridge=bridge1 interface=ether3 pvid=123 add bridge=bridge1 interface=ether4 pvid=44 /ip neighbor discovery-settings set discover-interface-list=all /interface bridge vlan add bridge=bridge1 tagged=ether5 untagged=ether1,ether2,ether3 vlan-ids=123 add bridge=bridge1 tagged=ether5 untagged=ether4 vlan-ids=44 /ip address add address=10.23.12.17/24 interface=bridge1 network=10.23.12.0 /ip dns set allow-remote-requests=yes servers=8.8.8.8 И первый и второй вариант заработал.... На обоих девайсах - RB750 и RB450G. Также сразу проявилась не очень приятная особенность новой прошивки 6.41 - настройка IP neighbors ..... В предыдущих прошивках админу предоставлялся выбор активации интерфейсов neighbors .... В новой конфигурации, после команды vlan-filtering=yes , винбокс не обнаруживает интерфейсов ether1,ether2,ether3 ,ether4 кроме ether5 . Об этом уже жаловались пользователи на официальном форуме микротик. Изменено 10 февраля, 2018 пользователем uraso Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uraso Опубликовано 10 февраля, 2018 (изменено) · Жалоба В прошивке 6.41.1 обновление загрузчика для RB750 исправили... В 6.41.2 что то пытались исправить в neighbors ... И загрузчик изменился на 6.41.2. Теперь об удаленной настройке: все настройки вел через ether5 . И только в конце включил Vlan-filtering. Доступа к микротику не терял.... Изменено 10 февраля, 2018 пользователем uraso Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 16 февраля, 2018 · Жалоба On 10.02.2018 at 11:16 PM, uraso said: ........................................................ Также сразу проявилась не очень приятная особенность новой прошивки 6.41 - настройка IP neighbors ..... В предыдущих прошивках админу предоставлялся выбор активации интерфейсов neighbors .... В новой конфигурации, после команды vlan-filtering=yes , винбокс не обнаруживает интерфейсов ether1,ether2,ether3 ,ether4 кроме ether5 . Об этом уже жаловались пользователи на официальном форуме микротик. Я сначала прошил 6.41 в домашний rb2011 и потерял доступ. Подключился только через serial0. Обнаружил, что в /bridge-local port пусто, в /interface interface-list discover (интерфейсы для neighbors) тоже ничего нет. Откатился на 6.40.5. В 6.42.1 баг пофиксили, но опасения были - потому я поднял этот топик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 16 февраля, 2018 · Жалоба 5 часов назад, DAF сказал: Я сначала прошил 6.41 в домашний rb2011 и потерял доступ. Подключился только через serial0. Обнаружил, что в /bridge-local port пусто, в /interface interface-list discover (интерфейсы для neighbors) тоже ничего нет. Откатился на 6.40.5. В 6.42.1 баг пофиксили, но опасения были - потому я поднял этот топик. Да пофиксили только в 6.42.2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...