VLAN на BRIDGE или наоборот, недоступность по IP но с присвоением по DHCP

[VitamiNs]

Добрый день, помогите разобраться,

bridge настроены, фильтрация включена, VLAN добавлены, клиентский Микротик по VLAN для контроля по DHCP-CLIENT получает IP, там же клиент по портам LAN через VLAN для LAN получает IP с арендой, но не доступен по IP и Интернет не ходит.

Gateway.rsc

Mikrotik1.rsc

[jffulcrum]

У вас каша на шлюзе, вы если уж используете Bridge VLAN Filtering, то сами VLAN в мосты уже добавлять не следует, плюс вы там пытаетесь VLAN в не существующий мост добавить. Также непонятно, нафига вам мост из одного VLAN. В общем, эту секцию решительно переделать:

 

Скрытый текст

/interface bridge port
add bridge=br-trunk interface=e2-trunk
add bridge=br-trunk interface=e3-trunk
add bridge=br-trunk interface=e4-trunk
add bridge=br-trunk interface=e5-trunk
add bridge=br-lan interface=e5-10
add bridge=br-11 interface=e5-11

 

Дальше, при использовании Bridge VLAN Filtering для хождения нетегированного тарфика надо назначать PVID, иначе порты по дефолту будут в VLAN1 и трафик других VLAN в них не попадет. 

 

И следующая секция на клиенте:

 

Цитата

/interface bridge vlan
add bridge=br-trunk tagged=e1-wan,e5-trunk,br-trunk untagged=e2-lan,e3-lan,e4-lan,wlan1,wlan2 vlan-ids=10
add bridge=br-trunk tagged=e1-wan,e5-trunk,br-trunk untagged=e2-lan,e3-lan,e4-lan,wlan1,wlan2 vlan-ids=11

Порт не может быть нетегированным членом сразу в двух VLAN

 

Изучайте матчасть.
 

[VitamiNs]

Спасибо за попытку помочь, я понял что нужно сделать, но как переделать правильно из вашего текста не понимаю.

Если бы мог изначально все правильно сделать, тогда не обращался бы за помощью.

Я реально запутался в том, что и где и как необходимо по VLAN назначать, а что нет, каша именно из-за этого.

 

Вы привели примеры моего исходного кода, прошу, приведите пример как в моем случае должно быть?

[jffulcrum]

Вы не сказали, какую задачу решает это оборудование, конфигурация порождается задачей и возможностями.

[VitamiNs]

Задача такова:

Gateway - главный маршрутизатор, ether1= WAN, ether2-5 = bridge-trunk с трансляцией двух VLAN (10 и 11), где подсеть 10 (10.10.8.0/22) - локальная сеть нетегированного трафика для оконечного оборудования пользователей, подсеть 11 (172.16.11.0/24) - для управления и доступа к Микротикам.

Mikrotik1 - клиентский роутер, где ether1 + 5 = bridge-trunk, ether2-4 = bridge-lan, где bridge-trunk принимает VLANs 10 и 11, и транслирует их насквозь для подключения если необходимо еще такого же Mikrotik2, а так же по VLAN 11 получает IP для доступа и управления, по VLAN 10 раздает подсеть 10 в bridge-lan, bridge-lan это нетегированный трафик пользователей (локальная сеть).

ISP <->ether1(Gateway)ether5<->ether1(Mikrotik1)ether5<->ether1(Mikrotik2)

(Mikrotik1)ether2-4<->Local users

 

Думаю, что при такой конфигурации простой пользователь не сможет вместо Mikrotik1 включить свое оборудование и получить сетевые настройки.

[VitamiNs]

Добрый день, на этом форуме я могу получить помощь?

Время идет, а помочь примером никто не может(.

[jffulcrum]

В 14.08.2021 в 08:33, VitamiNs сказал:

по VLAN 10 раздает подсеть 10 в bridge-lan, bridge-lan это нетегированный трафик пользователей (локальная сеть).

Это очень плохая схема. Вы собираете весь трафик локальных сетей пользователей снизу доверху, бесполезно перегружая им все устройста. Он на принтер печатает, а трафик пролетит по всей сети. 

 

Важно: при всех манипуляциях вам надо быть подключенным непосредственно к устройству и соединяться в Winbox по mac, иначе после первых же команд вы от роутера отлетите с концами.

На gateway:

объявляется мост:

/interface bridge
add name=bridge_local vlan-filtering=yes

включаем в мост порты, сразу указывается Pvid нетегированного VLAN:

/interface bridge port

add bridge=bridge_local interface=ether2 pvid=10
add bridge=bridge_local interface=ether3 pvid=10
add bridge=bridge_local interface=ether4 pvid=10
add bridge=bridge_local interface=ether5 pvid=10

создаем VLAN на уровне моста:

/interface bridge vlan
add bridge=bridge_local tagged=ether2,ether3,ether4,ether5,bridge_local vlan-ids=11
add bridge=bridge_local untagged=ether2,ether3,ether4,ether5 tagged=bridge_local vlan-ids=10

создаем VLAN на уровне роутера:

/interface vlan 
interface=bridge_local vlan-id=10
interface=bridge_local vlan-id=11

Дальше уже можно на VLAN вешать IP, DHCP и так далее.

 

На клиенте:

объявляется мост:

/interface bridge
add name=bridge_local vlan-filtering=yes

включаем в мост порты, сразу указывается Pvid нетегированного VLAN:

/interface bridge port

add bridge=bridge_local interface=ether1 pvid=10
add bridge=bridge_local interface=ether2 pvid=10
add bridge=bridge_local interface=ether3 pvid=10
add bridge=bridge_local interface=ether4 pvid=10
add bridge=bridge_local interface=ether5 pvid=10

создаем VLAN на уровне моста:

/interface bridge vlan
add bridge=bridge_local tagged=ether1,ether5,bridge_local vlan-ids=11
add bridge=bridge_local untagged=ether1,ether2,ether3,ether4,ether5 vlan-ids=10

создаем VLAN на уровне роутера:

/interface vlan 
interface=bridge_local vlan-id=11

DHCP клиента на интерфейс VLAN11 повесить. 
 

[VitamiNs]

Спасибо за помощь, все получилось, как нужно было конфигурировать понятно теперь.

Единственное что переделал, так это на gateway микротике порты 1-5 поставил в pid=11, немного переназначил bridge vlan, в итоге все работает как задумано.

[jffulcrum]

Учтите, что не на всех устройствах Bridge VLAN Filtering работает хорошо. На устройствах без свитч-чипов, вроде CCR (TILE) может даже навредить - там и так все через CPU идёт, вы лишь навешиваете дополнительный уровень абстракции на тот же CPU.