Jump to content
Калькуляторы

Как скрыть мост?

Проконсультируйте, пожалуйста

Есть сеть

1845646984_UntitledDiagram1.thumb.jpg.5f0bf6d6de7b6d767f55de3ce9687905.jpg

в сети есть мост, мост создаётся точками, у точки 192.168.1.100 3 интерфейса, eth1 – кабель, wlan1 – канал радиосвязи, bridge1 – мост между eth1 и wlan1. И такая же схема во второй точки 192.168.1.101. У каждого интерфейса свой МАС-адрес. Основными интерфейсами точек, создающих мост выбран интерфейс bridge0. Адреса у точек статические.

Проблема в том, что центральный роутер 192.168.1.1 каким-то непонятным образом находит МАС-адреса других интерфейсов (eth1 и wlan1) упорно пытается выдать им IP адреса, но у него это не получается, т.к. пул адресов за пределами адресов моста, но делает он это очень часто, по несколько раз в секунду, что очень сильно грузит процессор:

Screenshot_2019-09-24-12-27-42-187_com.keenetic_kn.thumb.png.3d7ed6d68223f1124a8a8b60807bbc0a.png

WDS на мосту включен в режиме «динамический мост».

ARP пробовал включать и отключать для всех интерфейсов подряд и по разному – эффекта нет.

Не подскажешь, что можно с ними сделать, чтобы dhcp не сходил с ума?

Может точки, образующие мост убрать в другую подсеть или создать для них VLAN?

Edited by RN3QTB

Share this post


Link to post
Share on other sites

Были отключены, висели с флагом X. и клиент и сервер и релей.

Zyxel упорно пытается назначить IP маку бриджа точки 192.168.1.100

Share this post


Link to post
Share on other sites

4 hours ago, RN3QTB said:

Zyxel упорно пытается назначить IP маку бриджа точки 192.168.1.100

Он отвечает на запросы, не понятно только почему запросы с MACом бриджа,  wds не должен адреса подменять. 

Зачем вам кстати wds, чем station-bridge не подходит ?

 

Если DHCP через мост не должен ходить, можно просто отфильтровать его на бридже (Bridge/Filters).

Share this post


Link to post
Share on other sites

19 hours ago, McSea said:

Он отвечает на запросы, не понятно только почему запросы с MACом бриджа,  wds не должен адреса подменять. 

Зачем вам кстати wds, чем station-bridge не подходит ?

 

Если DHCP через мост не должен ходить, можно просто отфильтровать его на бридже (Bridge/Filters).

station-bridge подходит, он и включен. Возможно из-за него проблема?

DHCP через мост должен ходить, на другом конце есть устройства, получающие адреса (я указывал на рисунке DHCP)

 

6 hours ago, Ace63 said:

image.thumb.png.ec13b45011ddfaaa6b06bf825a6bbe44.png

 Галку в бридже поставить DHCP Snooping

Поставил, не помогло.

Fast Forward за что отвечает, кстати? У меня не стоит эта галка?

Share this post


Link to post
Share on other sites

3 hours ago, PLZ2 said:

мост должен быть в другой подсети. в отличии от устройств

да, я наверное, перемещу его вообще в другой VLAN...

Share this post


Link to post
Share on other sites

Ну как бы управляха отдельно, клиенты отдельно, это вроде логично или у ТС все в одном VLAN бегает?
В идеале VLAN для управления и сетку туда отдельную.

Edited by Ace63

Share this post


Link to post
Share on other sites

19 minutes ago, Ace63 said:

Ну как бы управляха отдельно, клиенты отдельно, это вроде логично или у ТС все в одном VLAN бегает?
В идеале VLAN для управления и сетку туда отдельную.

 

 

Изначально не было такой глобальной сети. За мостом было одно устройство, теперь сеть расширяется и встали вопросы. На текущий момент VLANов вообще нет, есть просто один сегмент, но раньше таких проблем я не замечал в журнале, а сейчас сыпется повально. Сейчас вообще прикол увидел после манипуляций - DHCP попытался назначить айпишники всем 3-м интерфейсам первой точке. Ну это вообще ни в какие ворота не лезет, я уже не знаю что делать.

Share this post


Link to post
Share on other sites

4 hours ago, RN3QTB said:

DHCP попытался назначить айпишники всем 3-м интерфейсам первой точке

Запросы то кто шлет на получения IP адреса с MAC адресами точки ?  Если, как вы говорите, DHCP клиенты все отключены на точках.

Конфиги покажите.

 

Share this post


Link to post
Share on other sites

От многих непонятных глюков помогает избавится сброс в завод и настройка заново. Ну и чтобы Current Firmware, совпадало с Upgrade Firmware. :)

Share this post


Link to post
Share on other sites

AP

Spoiler

export hide-sensitive
# sep/24/2019 20:35:42 by RouterOS 6.45.6
# software id = 5UEX-MSAK
#
# model = 433
# serial number = 1996063BF467
/interface bridge
add fast-forward=no mtu=1500 name=bridge1
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode country=russia default-authentication=no default-forwarding=no \
disabled=no frequency=5240 frequency-mode=superchannel mode=bridge multicast-helper=full ssid=Xline wds-default-bridge=bridge1 wds-mode=\
dynamic wireless-protocol=nv2
set [ find default-name=wlan2 ] default-authentication=no frequency-mode=regulatory-domain mode=ap-bridge ssid=Xline tx-power=20 \
tx-power-mode=all-rates-fixed wds-default-bridge=bridge1 wds-mode=static wireless-protocol=nv2
/interface ethernet
set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether2 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full disabled=yes
set [ find default-name=ether3 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full disabled=yes
/interface wireless nstreme
set wlan1 enable-nstreme=yes framer-policy=dynamic-size
set wlan2 enable-nstreme=yes
/interface list
add exclude=dynamic name=discover
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] group-ciphers=tkip,aes-ccm supplicant-identity=MikroTik unicast-ciphers=tkip,aes-ccm
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=profile1 static-algo-0=40bit-wep supplicant-identity=""
add authentication-types=wpa-psk,wpa2-psk eap-methods="" name=profile2 supplicant-identity=""
/ip dhcp-server
add authoritative=after-2sec-delay interface=ether1 lease-time=3d name=dhcp1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ip pool
add name=vpn ranges=192.168.89.2-192.168.89.255
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/system logging action
set 0 memory-lines=200
set 1 disk-lines-per-file=100
/interface bridge filter
add action=drop chain=input dst-port=68 in-interface=ether1 ip-protocol=udp mac-protocol=ip
/interface bridge port
add bridge=bridge1 hw=no interface=ether1
add bridge=bridge1 hw=no interface=ether2
add bridge=bridge1 hw=no interface=ether3
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
/interface detect-internet
set detect-interface-list=all
/interface l2tp-server server
set use-ipsec=yes
/interface list member
add interface=ether1 list=discover
add interface=ether2 list=discover
add interface=ether3 list=discover
add interface=bridge1 list=discover
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=wlan1 list=LAN
add interface=wlan2 list=LAN
/interface sstp-server server
set default-profile=default-encryption
/interface wireless access-list
add comment=JD interface=wlan1 mac-address=D4:CA:6D:FF:B5:82 vlan-mode=no-tag
/interface wireless cap
set bridge=bridge1 discovery-interfaces=ether1,ether2,ether3,wlan2 interfaces=wlan1
/ip address
add address=192.168.1.100/24 comment="default configuration" interface=bridge1 network=192.168.1.0
/ip dns
set allow-remote-requests=yes servers=192.168.1.1
/ip dns static
add address=192.168.1.100 name=router
/ip firewall nat
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
/ip route
add distance=1 gateway=192.168.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=JH


Client

Spoiler

/export hide-sensitive
# sep/24/2019 20:43:06 by RouterOS 6.45.5
# software id = 637Z-QL88
#
# model = SXT 5nD r2
# serial number = 4681027491BA
/interface bridge
add fast-forward=no mtu=1500 name=bridge1
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode country=russia disabled=no frequency=auto frequency-mode=\
regulatory-domain mode=station-bridge ssid=Xline wds-default-bridge=bridge1 wds-mode=dynamic wireless-protocol=nv2
/interface ethernet
set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface wireless nstreme
set wlan1 enable-nstreme=yes
/interface list
add exclude=dynamic name=discover
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ip pool
add name=pool1 ranges=10.0.0.10,10.0.0.100
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
/interface bridge port
add bridge=bridge1 hw=no interface=ether1
add bridge=bridge1 interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=ether1 list=discover
add interface=bridge1 list=discover
/ip address
add address=192.168.1.101/24 interface=bridge1 network=192.168.1.0
/ip dns
set servers=192.168.1.1
/ip route
add distance=1 gateway=192.168.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=JD
/system leds
set 0 interface=wlan1
/system logging
set 0 disabled=yes

 

Edited by RN3QTB

Share this post


Link to post
Share on other sites

В 24.09.2019 в 14:48, RN3QTB сказал:

Были отключены, висели с флагом X. и клиент и сервер и релей.

Zyxel упорно пытается назначить IP маку бриджа точки 192.168.1.100

 

3 часа назад, RN3QTB сказал:

/ip dns
set allow-remote-requests=yes servers=192.168.1.1

 

3 часа назад, RN3QTB сказал:

/ip dns static
add address=192.168.1.100 name=router

Все правильно как настроили так действует. (ничего не отключено)

А здесь ещё и фильтровать запросы DHCP по 68UDP  порту пытается

 

3 часа назад, RN3QTB сказал:

/interface bridge filter
add action=drop chain=input dst-port=68 in-interface=ether1 ip-protocol=udp mac-protocol=ip

Плюс куча не нужных настроек.

Так что мой совет в прошлом посте, для Вашего случая, очень актуален.

Назначте точкам адреса из другой подсети например 10.0.0.100/25 и 10.0.0.101/25 и Ваши устройства в сети не будут их видеть. Подключаться через винбокс по МАС или на компе назначать адрес тоже из подсети 10.0.0.0/25

Edited by Корпич

Share this post


Link to post
Share on other sites

В 26.09.2019 в 10:45, RN3QTB сказал:

/ip dhcp-server
add authoritative=after-2sec-delay interface=ether1 lease-time=3d name=dhcp1

а это зачем на АР? или эта точка имеет два wlan - один для моста, другой раздает тырнет?

 

В 26.09.2019 в 10:45, RN3QTB сказал:

/interface detect-internet
set detect-interface-list=all

и это зачем?

 

 

В 25.09.2019 в 12:03, PLZ2 сказал:

мост должен быть в другой подсети. в отличии от устройств

не обязательно. Для удобства администрирования пусть будет в одной подсети. Ну и на крайняк можно же на роутере "застолбить" данные адреса для моста (даже если они за пуллом раздачи)

 

В 24.09.2019 в 12:48, RN3QTB сказал:

3 интерфейса, eth1 – кабель, wlan1 – канал радиосвязи, bridge1 – мост между eth1 и wlan1

 

В 26.09.2019 в 10:45, RN3QTB сказал:

set [ find default-name=wlan2 ] default-authentication=no frequency-mode=regulatory-domain mode=ap-bridge ssid=Xline tx-power=20 \

откуда wlan2? и мощность 20db... расстояние то какое?

 

В 24.09.2019 в 12:48, RN3QTB сказал:

Основными интерфейсами точек, создающих мост выбран интерфейс bridge0

а это что за интерфейс? откуда bridge0?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.