Jump to content
Калькуляторы

Настройка VLAN Mikrotik

Прошу помочь советом в настройке VLAN. Вот есть такая схема сети: на управляемый коммутатор L2 "приходят" пользователи со своими VLANами, порты untagged, а один порт tagged смотрит на микротик. У всех пользователей белые IP, т.е. кол-во ограничено. Микротик - роутер выпускающий пользователей в интернет, имеет 1 IP адрес на локальном интерфейсе, он же адрес шлюза по умолчанию для пользователей. Скажите, как правильно настроить VLANы на микротике чтобы эта схема работала? Я пробовал создавать на микротике такие же VLANы, привязывал их к локальному интерфейсу, но пока не задам ИП адрес на каждом VLANe, не работает. Как бы "сказать" микротику, что все что приходит на VLAN 1(2,3,4) отправлять на интерфейс ether1? Может немного сбивчиво объяснил, но примерно так. Версия Микротика 3.20. В одном VLANe может быть несколько ИП-адресов.

Share this post


Link to post
Share on other sites

вланы в бридж с интерфейсом

Share this post


Link to post
Share on other sites
вланы в бридж с интерфейсом

пробовал, не помогает. Создавал бридж, отправлял туда влан и интерфейс, назначал бриджу ип-адрес, пинга нет.

 

Есть интересное наблюдение: если с клиентской машины пинговать бридж, то torch показывает что пакеты приходят (Rx показывает некое значение). А Tx показывает полный ноль, т.е. пакеты обратно не уходят.

Edited by zavhoz

Share this post


Link to post
Share on other sites

Если все адреса из одной подсети, то proxyarp

 

Share this post


Link to post
Share on other sites
Если все адреса из одной подсети, то proxyarp

Имеется ввиду в настройках бриджа выставить не arp=enabled а arp=proxy-arp? Включал, не работает

Share this post


Link to post
Share on other sites

В бридж не нужно. На каждом vlan включить proxy arp и сделать route /32 для каждого клиента на нужный vlan.

Share this post


Link to post
Share on other sites
В бридж не нужно. На каждом vlan включить proxy arp и сделать route /32 для каждого клиента на нужный vlan.

Что-то я совсем запутался. Так бридж нужно создавать или не нужно? Можно краткую пошаговую инструкцию? Я не совсем понял как "сделать route /32 для каждого клиента на нужный vlan".

Share this post


Link to post
Share on other sites
Так бридж нужно создавать или не нужно?
Так как у вас каждый клиент в своем влане, то какой смысл их объединять в бридж? Тогда просто надо было один общий влан сделать и всё.

 

Можно краткую пошаговую инструкцию? Я не совсем понял как "сделать route /32 для каждого клиента на нужный vlan".
/ip address add address=1.1.1.1/32 interface=ether1 - я бы на loopback повесил, но его нету

/interface vlan add vlan-id=1000 name=vlan1000 disabled=no arp=proxy-arp interface=ether1

/ip route add dst-address=1.1.1.2/32 pref-src=1.1.1.1 gateway=vlan1000

Edited by alexmern

Share this post


Link to post
Share on other sites

Ну вот, ещё одному разжевали, нет бы голову включить, доки почитать, поиском попользоваться...

Share this post


Link to post
Share on other sites
Ну вот, ещё одному разжевали, нет бы голову включить, доки почитать, поиском попользоваться...

Лучше свою голову включи и помоги если знаешь, а не знаешь тогда оставь свои советы при себе. alexmern к сожалению помочь не смог, но хоть что-то конкретное предложил. И не надо тут флуд разводить. Поиском я пользовался.

Share this post


Link to post
Share on other sites

Твоя задача настолько типична и разжёвана до состояния "наночастиц", что простого указания на proxyarp достаточно для любого школьника, имеющего хотя бы минимальное представление о сетевых технологиях.

 

Share this post


Link to post
Share on other sites

Еще надо спросить - какие адреса и маски имеют пользователи и где их шлюз\шлюзы?

Share this post


Link to post
Share on other sites
Еще надо спросить - какие адреса и маски имеют пользователи и где их шлюз\шлюзы?

адреса белые, маска /24. шлюз один - х.х.х.1/24

Share this post


Link to post
Share on other sites

тогда чем не подошло предложение alexmern ?

 

Share this post


Link to post
Share on other sites
тогда чем не подошло предложение alexmern ?

это предложение отказалось работать

Share this post


Link to post
Share on other sites

а вы его корректно на свою систему переложили? или просто команды понабирали, а оно не заработало?

Share this post


Link to post
Share on other sites
а вы его корректно на свою систему переложили? или просто команды понабирали, а оно не заработало?

команды скопипастил, изменив только имя влана и ип-адреса. система изначально полностью пустая, только после установки с нуля. gateway status говорит unreachable.

Share this post


Link to post
Share on other sites

дурацкий вопрос - ether1 - именно на нем у вас вланы собраны?

Share this post


Link to post
Share on other sites
тогда чем не подошло предложение alexmern ?

это предложение отказалось работать

Всё работает прекрасно, просто нужно ещё на интерфейс (влан) какой-нибудь серый адрес повесить и тогда route /32 становится reachable.

Share this post


Link to post
Share on other sites

А если я при этом хочу выдавать на vlan один адрес из белого пула по dhcp? Делать на каждый vlan-интерфейс по серверу с static-only и на каждый сервер по одному static-lease с "use source mac address"? Тогда роуты руками добавлять не нужно - я правильно понял?

Share this post


Link to post
Share on other sites

есть мост, подскажите что не так

задача пробросить tagged vlan управления (id 777) и untagged клиентский (id 51) c ether на wlan, поверх которого eoip, сделать это надо на базе которая по ethernet-у подключена к серверу

объявляю vlan51 на ether, и включаю его в бридж с eoip, клиенты успешно работают

прокидываю управление, объявляю 777 на ether и 777 на bridge, и оба этих вилана включаю в бридж bridge-control

назначаю этому бриджу ip 10.1.0.3, схема работает, управление проброшено дальше, но почему доступ на этот адрес какой-то не понятный, начинаю пинговать сначала ответа нет, буквально через секунд 10-30 появляется ответ, аналогично и с клиентской точкой, ответ идёт не сразу

 

кстати когда пингов нет, если выключить из бриджа 777-ой вилан который на eoip, то моментально появляются ответы, включаю обратно ответ есть

Edited by yKpon

Share this post


Link to post
Share on other sites

RouterOS 6.12 / RB2011UiAS-2HnD

 

Есть ether9 на котором запущен pppoe сервер

 

есть sfp1 порт на котором висят 3 vlan

vlan040

vlan080

vlan250

 

При подключении pppoe клиента к ether9 и его последующем отключении почему то удаляется один из vlan-ов

в /interfaces print нужного vlan нет

попытки пинговать данный канал, ничего не отвечает

при попытке создать этот vlan заново, пишет что он существует

======

бридж есть

bridge-local

- ether1

- wlan1

- wlan2 (VirtualAP)

 

Попробовал сейчас создать

bridge-pppoe

- ether9

- wlan3 (VirtualAP)

 

Безрезультатно, после исчезновения vlan-а и невозможности его создать заново, перегружаюсь и vlan-а как не бывало, правила в firewall красные, /ip address тоже красный IP который висел на этом vlan-е

 

еще заметил закономерность

ранее когда подключался pppoe клиент, его интерфейс появлялся строго под ether9

сейчас при подключении клиента интерфейс почему то привязан к sfp1

Share this post


Link to post
Share on other sites

А можно я тоже спрошу здесь, чтобы не плодить темы.

 

На роутер микротик приходит трафик без тега. Приходит на sfp1. У sfp1 мастер портом стоит ether1-gateway. Через него микротик натит пару сеток за собой.

 

Появилась необходимость отдать приходящий канал на один из внутренних портов уже тегированный. Вообщем, просто коммутатор. Как это сделать правильно?

Share this post


Link to post
Share on other sites

Появилась необходимость отдать приходящий канал на один из внутренних портов уже тегированный. Вообщем, просто коммутатор. Как это сделать правильно?

 

Сбросить дефолтную конфигурацию, создать на входном интерфейса нужный влан, создать этот же влан на внутреннем порту, объединить их в бридж.

Другой вариант объединить в бридж приходящий порт и внутренний порт, в фильтрах бриджа заблокировать весь трафик, кроме нужного влана.

Share this post


Link to post
Share on other sites

Сбросить дефолтную конфигурацию, создать на входном интерфейса нужный влан, создать этот же влан на внутреннем порту, объединить их в бридж.

Другой вариант объединить в бридж приходящий порт и внутренний порт, в фильтрах бриджа заблокировать весь трафик, кроме нужного влана.

 

Это понятно. Но имелось в виду оставить предыдущую конфигурацию работать. То есть нат и все остальное работает, но нужно еще и пропустить внутрь внешнюю сеть с тегом на порту.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this