Хочу странного на микротике

[alibek]

Возникла такая потребность.

Есть два VLAN, например vlan 10 и vlan 20.

Эти VLAN заведены на микротик, на последнем для них созданы интерфейсы; vlan-интерфейсы vlan10 и vlan20, а также бриджи br10 и br20 (для универсальности, если вдруг бридж нужно будет расширить или собирать vlan с разных физических портов). На бриджах настроен reply-only.

Есть клиенты, которые как подключаются в любой из VLAN, так и переключаться между ними.

Мне нужно сделать так, чтобы клиент в любом из сегментов получал IP-адрес, который не будет меняться на время аренды. То есть если клиент подключился в vlan 10 и получил IP 1.1.1.1, то при подключении в vlan 20 он все равно получил IP 1.1.1.1.

 

Самый простой способ — сделать один бридж, в который включены оба VLAN. Но это способ на крайний случай, мне хотелось бы оставить эти сегменты изолированными друг от друга. Да и другие причины есть.

Добавление одного бриджа в другой (кажется это называется ведомый или slave) из той же серии — по сути я коммутирую между собой сегменты и делаю общий широковещательный домен.

 

Следующая мысль — DHCP Relay. Но тогда придется отказываться от режиме reply-only и нужно будет включать proxy-arp. Я уже не помню, чем мне этот режим не нравится, но подсознание шепчет "проезжай". Впрочем, этот вариант я все же рассматривал как основной, но вот гугл подсказал, что есть еще такие штуки, как vlan filtering (на бридже) и horizon, которые по описанию как раз под мою задачу. Но я с микротиками знаком постольку-поскольку. Не подскажете, стоит ли в этом направлении смотреть?

[Saab95]

Адреса-то кто выдавать будет?

 

Что бы трафик бегал, роутер микротик должен знать, куда отправлять ответы. Прокси арп тут ни к месту, т.к. если абоненту локалка не нужна, и не требуется доступ на компьютеры его же подсети. Прокси арп включают для того, что бы можно было на адреса своей подсети, например /24, ходить через роутер, а не напрямую широковещательным запросом.

 

Поэтому нужно сделать 2 DHCP сервера с одинаковым пулом адресов, в скрипте при выдаче адреса нужно сначала удалить IP абонента (в поле нетворк) с другого бриджа (не тот где сейчас идет запрос адреса), потом добавить IP абонента на текущий бридж.

 

Если абонент перейдет на другой бридж, то запросит снова IP адрес, другой DHCP сервер ему выдаст тот же, и сотрет IP абонента с уже не актуального бриджа.

 

Этим IP адресам нужно устанавливать какой-то комментарий, что бы при перезагрузки роутера скриптом стирать.

[alibek]

Адреса выдает Микротик.

 

8 часов назад, Saab95 сказал:

другой DHCP сервер ему выдаст тот же

С чего бы? Он выдаст первый свободный.

 

Кроме того, если это будет два DHCP-сервера, то они будут на разных сегментах (Микротик иначе не умеет). И как тогда будут маршрутизироваться эти адреса, поднимать OSPF/BGP?

[vurd]

3750/4948+ip unnumbered+arp poll

[alibek]

Хотелось бы в рамках имеющегося оборудования, то есть именно на Микротике.

Пока что делаю общий мост, а для изоляции настраиваю Horizon, посмотрю как в итоге будет работать.

[alibek]

Сделал бридж, а для добавленных в него vlan прописал Horizon.

Производитель пишет, что это аппаратная изоляция.

Вроде бы изолирует MAC-адреса и широковещательный трафик.

Понаблюдаю дальше.

[nixx]

аппаратная? производитель, вообще говоря, пишет обратное - "Split horizon is a software feature that disables hardware offloading" ))

с горизонтом, в принципе, рабочее решение.

еще можно включить "use ip firewall" в settings окошка бриджей, и файерволлом разграничивать трафик между вланами. но такая жуть потом получается... )

[alibek]

Мда, не так понял.

Ну да ладно. Там 4011, надеюсь его хватит.

[Ivan_83]

Сеть то одна на оба влана или там разные подсети?

Если разные то dhcp relay agent + накидывание маршрутов /32 до таких клиентов, потом их удаление, если проксиарп не хочется.

[Saab95]

В 26.05.2026 в 10:31, alibek сказал:

Пока что делаю общий мост, а для изоляции настраиваю Horizon, посмотрю как в итоге будет работать.

На бридже есть файрвол, создаете правило, где in и out бридж - ваш бридж и действие дроп, это заблокирует трафик между портами бриджа.

 

В 26.05.2026 в 08:40, alibek сказал:

С чего бы? Он выдаст первый свободный.

Если сделаете привязку по мак адресу клиента, он выдаст тот, который к этому мак адресу привязан. Естественно, время аренды должно быть маленькое, например 5 минут. И нужно при запросе адреса из другого бриджа стирать привязку к предыдущему расположению.

 

В 26.05.2026 в 08:40, alibek сказал:

Кроме того, если это будет два DHCP-сервера, то они будут на разных сегментах (Микротик иначе не умеет). И как тогда будут маршрутизироваться эти адреса, поднимать OSPF/BGP?

У вас не будет разных сегментов. На микротике можно поставить один и тот же адрес на разные интерфейсы.

 

Проведите тест - повесьте один и тот же адрес на два бриджа сразу, на ноутбуке жестко пропишите этот адрес и подключайте то в один, то второй бридж. Увидите, что пинг до адреса роутера работает, да и интернет работает на любом порту подключения.

[straus]

Я смотрю микротик уже стал синонимом фразы "через жопу".

[alibek]

Ну все-таки не микротик, а некоторые подходы его адептов.

Фича horizon это что-то вроде асимметричных или приватных VLAN других вендоров, работает вполне ожидаемо.

Правда программная, но на 4011 достаточно мощный процессор, чтобы можно было пользоваться.

[VolanD666]

Мне одному кажется, что если приходится придумывать такие костыли, то тут проблема с архитектурой?

[sirmax]

В 26.05.2026 в 09:35, vurd сказал:

3750/4948+ip unnumbered+arp poll

А почему arp poll? У меня работало и без него

1 час назад, VolanD666 сказал:

Мне одному кажется, что если приходится придумывать такие костыли, то тут проблема с архитектурой?

нет, это как раз нормально- ip unnumbered 100 лет как существует, еще со времен dial-up