VitamiNs Опубликовано 13 августа, 2021 · Жалоба Добрый день, помогите разобраться, bridge настроены, фильтрация включена, VLAN добавлены, клиентский Микротик по VLAN для контроля по DHCP-CLIENT получает IP, там же клиент по портам LAN через VLAN для LAN получает IP с арендой, но не доступен по IP и Интернет не ходит. Gateway.rsc Mikrotik1.rsc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 13 августа, 2021 · Жалоба У вас каша на шлюзе, вы если уж используете Bridge VLAN Filtering, то сами VLAN в мосты уже добавлять не следует, плюс вы там пытаетесь VLAN в не существующий мост добавить. Также непонятно, нафига вам мост из одного VLAN. В общем, эту секцию решительно переделать: Скрытый текст /interface bridge port add bridge=br-trunk interface=e2-trunk add bridge=br-trunk interface=e3-trunk add bridge=br-trunk interface=e4-trunk add bridge=br-trunk interface=e5-trunk add bridge=br-lan interface=e5-10 add bridge=br-11 interface=e5-11 Дальше, при использовании Bridge VLAN Filtering для хождения нетегированного тарфика надо назначать PVID, иначе порты по дефолту будут в VLAN1 и трафик других VLAN в них не попадет. И следующая секция на клиенте: Цитата /interface bridge vlan add bridge=br-trunk tagged=e1-wan,e5-trunk,br-trunk untagged=e2-lan,e3-lan,e4-lan,wlan1,wlan2 vlan-ids=10 add bridge=br-trunk tagged=e1-wan,e5-trunk,br-trunk untagged=e2-lan,e3-lan,e4-lan,wlan1,wlan2 vlan-ids=11 Порт не может быть нетегированным членом сразу в двух VLAN Изучайте матчасть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VitamiNs Опубликовано 13 августа, 2021 · Жалоба Спасибо за попытку помочь, я понял что нужно сделать, но как переделать правильно из вашего текста не понимаю. Если бы мог изначально все правильно сделать, тогда не обращался бы за помощью. Я реально запутался в том, что и где и как необходимо по VLAN назначать, а что нет, каша именно из-за этого. Вы привели примеры моего исходного кода, прошу, приведите пример как в моем случае должно быть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 13 августа, 2021 · Жалоба Вы не сказали, какую задачу решает это оборудование, конфигурация порождается задачей и возможностями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VitamiNs Опубликовано 14 августа, 2021 · Жалоба Задача такова: Gateway - главный маршрутизатор, ether1= WAN, ether2-5 = bridge-trunk с трансляцией двух VLAN (10 и 11), где подсеть 10 (10.10.8.0/22) - локальная сеть нетегированного трафика для оконечного оборудования пользователей, подсеть 11 (172.16.11.0/24) - для управления и доступа к Микротикам. Mikrotik1 - клиентский роутер, где ether1 + 5 = bridge-trunk, ether2-4 = bridge-lan, где bridge-trunk принимает VLANs 10 и 11, и транслирует их насквозь для подключения если необходимо еще такого же Mikrotik2, а так же по VLAN 11 получает IP для доступа и управления, по VLAN 10 раздает подсеть 10 в bridge-lan, bridge-lan это нетегированный трафик пользователей (локальная сеть). ISP <->ether1(Gateway)ether5<->ether1(Mikrotik1)ether5<->ether1(Mikrotik2) (Mikrotik1)ether2-4<->Local users Думаю, что при такой конфигурации простой пользователь не сможет вместо Mikrotik1 включить свое оборудование и получить сетевые настройки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VitamiNs Опубликовано 16 августа, 2021 · Жалоба Добрый день, на этом форуме я могу получить помощь? Время идет, а помочь примером никто не может(. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 16 августа, 2021 · Жалоба В 14.08.2021 в 08:33, VitamiNs сказал: по VLAN 10 раздает подсеть 10 в bridge-lan, bridge-lan это нетегированный трафик пользователей (локальная сеть). Это очень плохая схема. Вы собираете весь трафик локальных сетей пользователей снизу доверху, бесполезно перегружая им все устройста. Он на принтер печатает, а трафик пролетит по всей сети. Важно: при всех манипуляциях вам надо быть подключенным непосредственно к устройству и соединяться в Winbox по mac, иначе после первых же команд вы от роутера отлетите с концами. На gateway: объявляется мост: /interface bridge add name=bridge_local vlan-filtering=yes включаем в мост порты, сразу указывается Pvid нетегированного VLAN: /interface bridge port add bridge=bridge_local interface=ether2 pvid=10 add bridge=bridge_local interface=ether3 pvid=10 add bridge=bridge_local interface=ether4 pvid=10 add bridge=bridge_local interface=ether5 pvid=10 создаем VLAN на уровне моста: /interface bridge vlan add bridge=bridge_local tagged=ether2,ether3,ether4,ether5,bridge_local vlan-ids=11 add bridge=bridge_local untagged=ether2,ether3,ether4,ether5 tagged=bridge_local vlan-ids=10 создаем VLAN на уровне роутера: /interface vlan interface=bridge_local vlan-id=10 interface=bridge_local vlan-id=11 Дальше уже можно на VLAN вешать IP, DHCP и так далее. На клиенте: объявляется мост: /interface bridge add name=bridge_local vlan-filtering=yes включаем в мост порты, сразу указывается Pvid нетегированного VLAN: /interface bridge port add bridge=bridge_local interface=ether1 pvid=10 add bridge=bridge_local interface=ether2 pvid=10 add bridge=bridge_local interface=ether3 pvid=10 add bridge=bridge_local interface=ether4 pvid=10 add bridge=bridge_local interface=ether5 pvid=10 создаем VLAN на уровне моста: /interface bridge vlan add bridge=bridge_local tagged=ether1,ether5,bridge_local vlan-ids=11 add bridge=bridge_local untagged=ether1,ether2,ether3,ether4,ether5 vlan-ids=10 создаем VLAN на уровне роутера: /interface vlan interface=bridge_local vlan-id=11 DHCP клиента на интерфейс VLAN11 повесить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VitamiNs Опубликовано 17 августа, 2021 · Жалоба Спасибо за помощь, все получилось, как нужно было конфигурировать понятно теперь. Единственное что переделал, так это на gateway микротике порты 1-5 поставил в pid=11, немного переназначил bridge vlan, в итоге все работает как задумано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 18 августа, 2021 · Жалоба Учтите, что не на всех устройствах Bridge VLAN Filtering работает хорошо. На устройствах без свитч-чипов, вроде CCR (TILE) может даже навредить - там и так все через CPU идёт, вы лишь навешиваете дополнительный уровень абстракции на тот же CPU. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...