gard Posted June 10, 2021 Posted June 10, 2021 Всем доброго времени суток! Есть проблема, которую никак не могу придумать как решить. Подскажите добрые люди. Есть плоская сеть, домен AD. В сети есть влан с определенными устройствами. Также есть микротик, который работает просто как хаб, но bridge принимает нужный влан как tagged и микротик в этот влан выглядывает своим vlan-interface. Задача состоит в том, чтобы определенные компьютеры, подключенные в этот микротик могли бы иметь доступ в этот влан, при этом оставаясь в своей сети. Втыкать эти компьютеры в untagged-порт не вариант. Натить их микротиком тоже не вариант. Нужно сделать как-то "прозрачно через бридж". Пробовал включать Ip-Firewall для бриджа и маскарадить трафик в этот влан в зависимости от dst address list, трафик вроде деже маскарадится, но ответного трафика не вижу. Что можно придумать? Кто-то сталкивался с такой задачей? И еще.. вланы можно стерминировать на default gw, но.. это не вариант по определенным причинам. Вставить ник Quote
jffulcrum Posted June 10, 2021 Posted June 10, 2021 Через switch rules можно заменять VLAN тэг, прокидывая таким способом из одного VLAN в другой без маршрутизации Вставить ник Quote
gard Posted June 10, 2021 Author Posted June 10, 2021 Интересная мысль, спасибо. Посмотрел меню свитча, у меня Atheros 8227, у него нет vlan translation. Но как вариант буду иметь в виду, в винде же вроде можно сетевой карте второй адрес задать, как алиас в линуксах... Сижу, пробую натить на железку в нужный влан трафик от абонента.. что-то не выходит каменный цветок. Единственное, что пока получилось - редирект на сам микротик по адресу vlan-интерфейса. Вставить ник Quote
jffulcrum Posted June 10, 2021 Posted June 10, 2021 Через правило forward на MT и кастомный маршрут на клиентах 2 часа назад, gard сказал: Посмотрел меню свитча, у меня Atheros 8227, у него нет vlan translation Ну будет CPU пыхтеть, если PPS небольшой и там не древности на MIPS - незаметно. Вставить ник Quote
gard Posted June 10, 2021 Author Posted June 10, 2021 Напишу в саппорт микротика, может быть скажут как красиво сделать. Пытался до вечера - что-то не выходит рабочего результата ) Вставить ник Quote
dmp.user Posted June 10, 2021 Posted June 10, 2021 Любопытно. Что же мешает использовать микротик в качестве маршрутизатора между AD сетью и отдельным вланом? Вставить ник Quote
gard Posted June 11, 2021 Author Posted June 11, 2021 Да, это как бы очевидное решение. Но тогда компьютеры за микротиком выпадают из домена. Майкрософт официально говорит, что в домене не должно быть ната. Вставить ник Quote
dmp.user Posted June 11, 2021 Posted June 11, 2021 Видимо какая-то неясность с исходными условиями. Если две сети с разными адресами подключены к микротику, достаточно обычной маршрутизации - без ната. Каждая группа устройств останется в своем адресном пространстве, а шлюзом для доступа к соседу будет микротик. Либо есть еще какие-то, не названные условия, ну или микротик слишком малопроизводительный для маршрутизации предполагаемых потоков проходящего трафика. Вставить ник Quote
lugoblin Posted June 12, 2021 Posted June 12, 2021 Меняйте топологию вашей сети, так чтобы маршрутизацией между VLAN-ами занималось то-же устройство, которое эти VLAN-ы используют как шлюз. Mikrotik в такой роли выглядел бы достаточно органично. Вставить ник Quote
gard Posted June 15, 2021 Author Posted June 15, 2021 В 11.06.2021 в 23:04, dmp.user сказал: Видимо какая-то неясность с исходными условиями. Если две сети с разными адресами подключены к микротику, достаточно обычной маршрутизации - без ната. Каждая группа устройств останется в своем адресном пространстве, а шлюзом для доступа к соседу будет микротик. Либо есть еще какие-то, не названные условия, ну или микротик слишком малопроизводительный для маршрутизации предполагаемых потоков проходящего трафика. Вот тут я что-то немного подзавис. Скажем, микротик работает в режиме бриджа, имеет адрес в основной сети и в сети vlan. Физически клиент включен в этот микротик и имеет свой, отличный от адреса микротика default gw адрес. Получается, чтобы попасть в любую неизвестную сеть (vlan) клиент будет обращаться на этот самый default gw адрес, минуя микротик. Вот как-то так... А шлюз на клиенте я поменять не могу. Выворачивался в пятницу с использованием dhcp-relay (чтобы как раз для клиента микротик стал дефолтным шлюзом), оно даже заработало на какое-то время. Но сегодня что-то сломалось. Вставить ник Quote
DeLL Posted June 15, 2021 Posted June 15, 2021 По всей видимости Вы не совсем понимаете матчасть. Попасть в другую подсеть можно ТОЛЬКО через маршрутизатор, который будет def gw как в текущей подсети, ОТКУДА Вы собираетесь идти, так и в сети назначения. Так работает классическая маршрутизация без бубнов и костылей. Ваша задача решается несколькими способами: 1. Попасть в другую подсеть через маршрутизатор (def gw). Никакого НАТа нигде не требуется. Просто обе подсети должны быть на этом маршрутизаторе в качестве def gw. Да, для этого придется перестраивать топологию 2. Обмануть судьбу и попасть в другую подсеть не меняя топологию через существующий микрот Второй вариант реализуется с помощью прописывания вручную на требуемых ПК маршрута в требуемую подсеть с указанием IP микрота в качестве GW для этой подсети. На самом микроте нужно всего 1 правило маскарада или src-nat с параметрами out-interface=_ВАШ_VLAN_ src-address=подсеть_назначения/маска Вставить ник Quote
gard Posted June 15, 2021 Author Posted June 15, 2021 Да, я про то же собственно и говорю. Может быть и приду к тому, что роуты пропишу на требуемых компьютерах, тоже в принципе то вариант, и никакого колхоза. Спасибо! Вставить ник Quote
EugeneTV Posted July 30, 2021 Posted July 30, 2021 В 15.06.2021 в 10:15, gard сказал: ... Физически клиент включен в этот микротик и имеет свой, отличный от адреса микротика default gw адрес. Получается, чтобы попасть в любую неизвестную сеть (vlan) клиент будет обращаться на этот самый default gw адрес, минуя микротик. Вот как-то так... А шлюз на клиенте я поменять не могу. .... А на шлюзе можете указать микротик в статическом маршруте в vlan? НАТ вам вообще для чего? вам обычной маршрутизации за глаза Вставить ник Quote
gard Posted July 30, 2021 Author Posted July 30, 2021 (edited) Да, я к тому и пришел по итогу, с dhcp relay как вариант в будущем, но пока все рулится на шлюзе. Я конечно сложно все выше написал, но задача у меня банальная. Есть сеть, в ней есть видео-наблюдение, которое переезжает в отдельный vlan. А "смотрители" видео туда не переезжают. Вот я и задумался как это сделать. Все вроде просто, кроме одного "но".. видео-трафик идет потоком больше 600Мбит/с и это далеко не потолок. Понятно, что смотреть все камеры одновременно никто не будет, но все-таки трафика может быть многовато. Ну и как бы гнать через шлюз видео с железки, которая стоит в двух метрах от тебя.. ... Ну и есть конечно совсем уж простой вариант - в железку с которой смотрят видео поставить вторую сетевую карту, чтобы она присутствовала в обеих сетях. Edited July 30, 2021 by gard Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.