ytil Posted March 3, 2018 · Report post Есть тестовый стенд: маршрутизатор на freebsd на нем настроены интерфейсы rl0 = 10.2.6.186 (uplink) vlan201=192.168.201.1 vlan202=192.168.202.2 vlan201 и vlan 202 ходят через ste0 ste0 патчкордом подключен в 24 порт коммутатора d-link des 3200 задача чтобы на этом коммутаторе первый порт работал через vlan 201, второй через vlan 202, те чтобы трафик через эти порты был полностью изолирован друг от друга делал следующее: удалил vlan default VID 201: untagged port 1, tagged port 24 VID 202: untagged port 2, tagged port 24 но не работает с тегированным портом, если сделать 24-ый порт нетегированным, то трафик нормально проходит через коммутатор. Где ошибка? Прошу прощения если вопрос глупейший, только начал изучение 802.1q Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted March 3, 2018 · Report post покажите настройки фряхи - ifconfig покажите настройки свича - show config current_config Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ytil Posted March 4, 2018 · Report post show config current_config # VLAN enable pvid auto_assign config vlan default delete 1-28 config vlan default add untagged 3-16,18-28 config vlan default advertisement enable create vlan vlan201 tag 201 config vlan vlan201 add tagged 17 config vlan vlan201 add untagged 1 advertisement disable create vlan vlan202 tag 202 config vlan vlan202 add tagged 17 config vlan vlan202 add untagged 2 advertisement disable disable qinq disable gvrp config gvrp nni_bpdu_addr dot1d disable vlan_trunk config port_vlan 1 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 201 config port_vlan 2 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 202 config port_vlan 3-28 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 1 ifconfig ste0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500options=82008<VLAN_MTU,WOL_MAGIC,LINKSTATE>ether 10:fe:ed:06:d0:afmedia: Ethernet autoselect (100baseTX <full-duplex>)status: active rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500options=2008<VLAN_MTU,WOL_MAGIC>ether 00:50:fc:e4:85:ccinet 10.2.6.186 netmask 0xffffff00 broadcast 10.2.6.255media: Ethernet autoselect (100baseTX <full-duplex>)status: active lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>inet 127.0.0.1 netmask 0xff000000groups: lo pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33160groups: pflog pfsync0: flags=0<> metric 0 mtu 1500groups: pfsyncsyncpeer: 0.0.0.0 maxupd: 128 defer: off vlan201: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500ether 10:fe:ed:06:d0:afinet 192.168.201.1 netmask 0xffffff00 broadcast 192.168.201.255media: Ethernet autoselect (100baseTX <full-duplex>)status: activevlan: 201 vlanpcp: 0 parent interface: ste0groups: vlan vlan202: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500ether 10:fe:ed:06:d0:afinet 192.168.202.1 netmask 0xffffff00 broadcast 192.168.202.255media: Ethernet autoselect (100baseTX <full-duplex>)status: activevlan: 202 vlanpcp: 0 parent interface: ste0groups: vlan Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlKov Posted March 4, 2018 · Report post Что-то у вас одно другому не соответствует.. 19 часов назад, ytil сказал: VID 201: untagged port 1, tagged port 24 VID 202: untagged port 2, tagged port 24 В конфиге этого нет. Вот Вы пишете - 19 часов назад, ytil сказал: ste0 патчкордом подключен в 24 порт коммутатора d-link des 3200 А по конфигу ste0 просится в 17-й порт. Где правда? Если всё же ste0 включён в 24-й порт, то в конфиге должно быть config vlan vlan201 add tagged 24 config vlan vlan202 add tagged 24 P.S. 19 часов назад, ytil сказал: делал следующее: удалил vlan default vlan default удалить невозможно, из него можно только убрать порты. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ytil Posted March 4, 2018 · Report post транковый порт 17, 24 я писал для наглядности, 24 у меня битый на свитче Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlKov Posted March 4, 2018 · Report post 12 минут назад, ytil сказал: транковый порт 17, 24 я писал для наглядности, 24 у меня битый на свитче Гм.. Нет слов.. Цензурных.. :-) Ладно, проехали.. Так ГДЕ КОНКРЕТНО не ходит трафик при той конфигурации, которую Вы показали? Между FreeBSD (подключенному к 17 порту) и компом, подключенным к 1, или 2 порту, или между компами, подключенными к этим портам? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ytil Posted March 4, 2018 · Report post 5 минут назад, AlKov сказал: Гм.. Нет слов.. Цензурных.. :-) Ладно, проехали.. Так ГДЕ КОНКРЕТНО не ходит трафик при той конфигурации, которую Вы показали? Между FreeBSD (подключенному к 17 порту) и компом, подключенным к 1, или 2 порту, или между компами, подключенными к этим портам? трафика нет от абонента до маршрутизатора, на маршрутизаторе настроен сервер доступа, пппое через тегированный порт не ходит почему-то Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlKov Posted March 4, 2018 · Report post 1 час назад, ytil сказал: трафика нет от абонента до маршрутизатора, на маршрутизаторе настроен сервер доступа, пппое через тегированный порт не ходит почему-то Так трафик перестаёт ходить в PPPoE туннеле? 1. В каком vlan приходит PPPoE на коммутатор? Не в default случаем? 2. На каком интерфейсе поднимаете PPPoE интерфейсы? Если на vlan201 и vlan202, то эти vlan должны быть прокинуты до абонентов, т.к. PPPoE - это L2 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ytil Posted March 4, 2018 · Report post 1 час назад, AlKov сказал: Так трафик перестаёт ходить в PPPoE туннеле? 1. В каком vlan приходит PPPoE на коммутатор? Не в default случаем? 2. На каком интерфейсе поднимаете PPPoE интерфейсы? Если на vlan201 и vlan202, то эти vlan должны быть прокинуты до абонентов, т.к. PPPoE - это L2 1. во вланах 201 и 202 как я подразумеваю (не уверен, все настройки выложил в теме). 2. Вообще ВПН интерфейс на сервере доступа это ste0 это настройки демона mpd create bundle template ste0 set iface idle 0 set iface enable tcpmssfix set iface up-script "/usr/abills/libexec/linkupdown mpd up" set iface down-script "/usr/abills/libexec/linkupdown mpd down" set ipcp dns 8.8.8.8 set ipcp ranges 10.10.0.213 ippool pool1 create link template ste0 P set link action bundle ste0 set pppoe iface ste0 set link enable incoming server_common: set link no pap eap set link yes chap-md5 set link keep-alive 20 60 set link enable incoming set link no acfcomp protocomp load radius трафика нет до сервера доступа. Т.е. грубо говоря ошибка 651 при работе через тегированный vlan, VPN интерфейс для абонов это ste0 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted March 4, 2018 · Report post случаем в traffic_segmentation не накручено чего? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlKov Posted March 4, 2018 · Report post 21 минуту назад, ytil сказал: 1. во вланах 201 и 202 как я подразумеваю (не уверен, все настройки выложил в теме). 2. Вообще ВПН интерфейс на сервере доступа это ste0 это настройки демона mpd create bundle template ste0 set iface idle 0 set iface enable tcpmssfix set iface up-script "/usr/abills/libexec/linkupdown mpd up" set iface down-script "/usr/abills/libexec/linkupdown mpd down" set ipcp dns 8.8.8.8 set ipcp ranges 10.10.0.213 ippool pool1 create link template ste0 P set link action bundle ste0 set pppoe iface ste0 set link enable incoming server_common: set link no pap eap set link yes chap-md5 set link keep-alive 20 60 set link enable incoming set link no acfcomp protocomp load radius трафика нет до сервера доступа. Т.е. грубо говоря ошибка 651 при работе через тегированный vlan, VPN интерфейс для абонов это ste0 Ну вот и ответ тут (выделил в цитате). Линковать надо не к ste0, а к vlan интерфейсам. Типа так # create link template vlan201 PPPoE set pppoe iface vlan201 set link enable incoming # create link template vlan202 PPPoE set pppoe iface vlan202 set link enable incoming # Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ytil Posted March 4, 2018 · Report post @AlKov спасибо за рекомендации, завтра попробую и отпишусь Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted March 4, 2018 · Report post 2 часа назад, AlKov сказал: set ipcp dns 8.8.8.8 Так делать нельзя. Поставьте у себя unbound. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted March 4, 2018 · Report post В тестовых целях то можно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlKov Posted March 4, 2018 · Report post 13 минут назад, Ivan_83 сказал: Так делать нельзя. Поставьте у себя unbound. Гм.. Вообще-то, это не я писал, а цитируют меня! Никогда так не делал, поэтому спрошу - а чем чревато "set ipcp dns 8.8.8.8" ? Увеличенным временем отклика, или возможной недоступностью? И почему unbound, а не bind например? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted March 4, 2018 · Report post анбаунд быстрее. Ничем. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted March 4, 2018 · Report post 3 часа назад, AlKov сказал: Никогда так не делал, поэтому спрошу - а чем чревато "set ipcp dns 8.8.8.8" 1. Вы сливаете третьей стороне все действия всех пользователей. Это по хлеще зондов в венде, только работает вообще для всех девайсов. 2. Никто не гарантирует что оно будет адекватно отвечать. Бинд - огромная херня, никогда не любил продукцию ISC, им ещё лет 5 доводить их барахло до приличного состояния, до этого они вообще не чесались, просто говнокодили. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted March 4, 2018 · Report post 52 минуты назад, Ivan_83 сказал: Вы сливаете третьей стороне все действия всех пользователей. кому нахрен нужны днс ответы юзеров? Да еще и обезличенные Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted March 4, 2018 · Report post гуглю и яндексу как раз и нужны. а обезличенность неважна, это же для статистического анализа делается Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted March 4, 2018 · Report post что даст инфа гуглу или яндексу, что абстрактный ip 1.2.3.4 ходил в 1-34 на pornhub.com? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted March 5, 2018 · Report post 3 часа назад, myth сказал: кому нахрен нужны днс ответы юзеров? Да еще и обезличенные 2 часа назад, myth сказал: что даст инфа гуглу или яндексу, что абстрактный ip 1.2.3.4 ходил в 1-34 на pornhub.com? Обезличенности там нет, есть обоснованные предположения кто именно куда ходит. Гуглю это было надо изначально чтобы знать популярные и новые домены. Однако очень легко узнать кто именно там по порнхабам ходит, особенно если чел залогинен в гугле. А обычно все с андройдов логинятся, андройд же без гугло учётки вообще кирпич. А оно ещё и к номеру мобилы привязывается теперь. И даже без андройда, многие имеют учётку в гугле или на них уже есть некий профиль со всямими куками и фигнерпринтами браузера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ytil Posted March 5, 2018 · Report post 8.8.8.8 там еще потому, что когда стоит анбаунд на 127.0.0.1 у меня почему-то не работает страница заглушка при отрицательном депозите) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted March 5, 2018 · Report post у меня работает. С анбаундом. 6 часов назад, Ivan_83 сказал: Гуглю это было надо изначально чтобы знать популярные и новые домены. это разве плохо? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ytil Posted March 5, 2018 · Report post 20 часов назад, AlKov сказал: Ну вот и ответ тут (выделил в цитате). Линковать надо не к ste0, а к vlan интерфейсам. Типа так # create link template vlan201 PPPoE set pppoe iface vlan201 set link enable incoming # create link template vlan202 PPPoE set pppoe iface vlan202 set link enable incoming # по идее надо полностью добавлять в конфиг, так не заработало. #vlan201 create bundle template vlan201 set iface idle 0 set iface enable tcpmssfix set iface up-script "/usr/abills/libexec/linkupdown mpd up" set iface down-script "/usr/abills/libexec/linkupdown mpd down" set ipcp dns 8.8.8.8 set ipcp ranges 10.10.0.213 ippool pool1 create link template vlan201 P set link action bundle vlan201 set pppoe iface vlan201 set link enable incoming #vlan202 create bundle template vlan202 set iface idle 0 set iface enable tcpmssfix set iface up-script "/usr/abills/libexec/linkupdown mpd up" set iface down-script "/usr/abills/libexec/linkupdown mpd down" set ipcp dns 8.8.8.8 set ipcp ranges 10.10.0.213 ippool pool1 create link template vlan202 P set link action bundle vlan202 set pppoe iface vlan202 set link enable incomin тут пару вопросов еще осталось: 1. как проверить работу vlan, трафик должен быть полностью изолирован по идее, но абоненты пингуют друг друга без проблем 2. при работе с фаерволом с интерфейсом влан работать как с обычным интерфейсом? 3. самый главный вопрос, на маршрутизаторе нужно создавать все используемые в сети вланы? Т.е. например у меня есть 2 влана на маршрутизаторе 201 и 202, через цепочку из нескольких тегированных портов я хочу дать определенному абоненту 203 vlan на access порту. Что будет с пакетом от этого абонента когда он дойдет до маршрутизатора на котором 203 влана нет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bos9 Posted March 5, 2018 · Report post 17 часов назад, AlKov сказал: Никогда так не делал, поэтому спрошу - а чем чревато "set ipcp dns 8.8.8.8" ? Не знаю как сейчас, но пару лет назад у гугла был рейт-лимит на кол-во рекурсивных запросов в одного ip. Так что если используется нат (а у тс он используется), то может выйти не хорошо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...