aslik Posted April 16, 2014 · Report post Всем привет, недавно попала в руки железка Mikrotik, нужно перевести работающую сеть на нее. Схематично нарисовал Нужно чтоб вланы имели доступ к lan сети и наоборот, доступ в интернет разрешен некоторым ip. Столкнулся с проблемой, как правильно организовать работу vlan на одном порту, чтоб первый ip vlan сети был шлюзом и трафик не изолировался? (vlan заходит через "аренду канала" у провайдера). Share this post Link to post Share on other sites
myst Posted April 16, 2014 · Report post во вкладке interfaces vlan создаешь необходимое число vlan с нужными vlan id и привязываешь их к одному и тому же интерфейсу. Остальные запреты/разрешения делаются правилами фаервола. Share this post Link to post Share on other sites
aslik Posted April 16, 2014 · Report post во вкладке interfaces vlan создаешь необходимое число vlan с нужными vlan id и привязываешь их к одному и тому же интерфейсу. Остальные запреты/разрешения делаются правилами фаервола. Сделал vlan, привязал к ETH5. Стоит ли дальше vlan в бридж загонять или достаточно ETH 2 и 5 мостом связать? Каждому vlan - IP задавать формата 192.168.xxx.1/24? Share this post Link to post Share on other sites
myst Posted April 16, 2014 · Report post во вкладке interfaces vlan создаешь необходимое число vlan с нужными vlan id и привязываешь их к одному и тому же интерфейсу. Остальные запреты/разрешения делаются правилами фаервола. Сделал vlan, привязал к ETH5. Стоит ли дальше vlan в бридж загонять или достаточно ETH 2 и 5 мостом связать? Каждому vlan - IP задавать формата 192.168.xxx.1/24? Бриджы в данном случае костыль. Сделай каждому влану IP адрес из непересекающегося диапазона и доступы рули правилами фаервола. Share this post Link to post Share on other sites
NikAlexAn Posted April 17, 2014 · Report post Сделал vlan, привязал к ETH5. Стоит ли дальше vlan в бридж загонять или достаточно ETH 2 и 5 мостом связать? Каждому vlan - IP задавать формата 192.168.xxx.1/24? У Вас на Eth2 и на Vlan-ах на Eth5 разная адресация -> бриджи не нужны. Share this post Link to post Share on other sites
aslik Posted April 17, 2014 · Report post Вот, что сделал, ETH2 присвоил ip - 192.168.0.2, VLAN - 1.1, 3.1, 5.1, 10.1, 16.1, 18.1, 20.1; бриджи все удалил. Пингую из 0.0 подсети, все vlan видно, но пк за портом, например с ip - 5.55 уже нет, узел недоступен с ответом от 0.2 шлюза (как и нужно), пингую с 5.55 - vlan не видно (превышено ожидание), даже шлюз 5.1 Почему не видят др. друга? Share this post Link to post Share on other sites
NikAlexAn Posted April 17, 2014 (edited) · Report post Вот, что сделал, ETH2 присвоил ip - 192.168.0.2, VLAN - 1.1, 3.1, 5.1, 10.1, 16.1, 18.1, 20.1; бриджи все удалил. Пингую из 0.0 подсети, все vlan видно, но пк за портом, например с ip - 5.55 уже нет, узел недоступен с ответом от 0.2 шлюза (как и нужно), пингую с 5.55 - vlan не видно (превышено ожидание), даже шлюз 5.1 Почему не видят др. друга? А в Eth5 какая железка воткнута? Как вланы то до абонентов доходят? "vlan заходит через "аренду канала" у провайдера" - расшифруйте. Edited April 17, 2014 by NikAlexAn Share this post Link to post Share on other sites
aslik Posted April 17, 2014 · Report post Вот, что сделал, ETH2 присвоил ip - 192.168.0.2, VLAN - 1.1, 3.1, 5.1, 10.1, 16.1, 18.1, 20.1; бриджи все удалил. Пингую из 0.0 подсети, все vlan видно, но пк за портом, например с ip - 5.55 уже нет, узел недоступен с ответом от 0.2 шлюза (как и нужно), пингую с 5.55 - vlan не видно (превышено ожидание), даже шлюз 5.1 Почему не видят др. друга? А в Eth5 какая железка воткнута? Как вланы то до абонентов доходят? "vlan заходит через "аренду канала" у провайдера" - расшифруйте. Как это у провайдера устроено, не могу точно сказать, но смысл такой..... весь трафик с удаленных точек (портов) сливается в один и заходит в центральный офис на 1 порт шлюза, сейчас стоит ClearOS. Тут через прокси лист раздаю интернет и всем локальную сеть офиса. В шлюзе 3 сетевые карты, 1 - под интернет pppoe, вторая локальная сеть 192.168.0.0, третья как раз под удаленные точки с Ip - 192.168.6.123. Сейчас хочу перенести все на MikroTik, трафик небольшой, но частые перебои со светом и держать системник нерационально. Пока экспериментирую на стенде и вот как раз на нем ситуация описанная выше. Share this post Link to post Share on other sites
NikAlexAn Posted April 17, 2014 · Report post Как это у провайдера устроено, не могу точно сказать, но смысл такой..... весь трафик с удаленных точек (портов) сливается в один и заходит в центральный офис на 1 порт шлюза, сейчас стоит ClearOS. Тут через прокси лист раздаю интернет и всем локальную сеть офиса. В шлюзе 3 сетевые карты, 1 - под интернет pppoe, вторая локальная сеть 192.168.0.0, третья как раз под удаленные точки с Ip - 192.168.6.123. Сейчас хочу перенести все на MikroTik, трафик небольшой, но частые перебои со светом и держать системник нерационально. Пока экспериментирую на стенде и вот как раз на нем ситуация описанная выше. На Eth5 приходит тегированный трафик? Share this post Link to post Share on other sites
aslik Posted April 17, 2014 · Report post Как это у провайдера устроено, не могу точно сказать, но смысл такой..... весь трафик с удаленных точек (портов) сливается в один и заходит в центральный офис на 1 порт шлюза, сейчас стоит ClearOS. Тут через прокси лист раздаю интернет и всем локальную сеть офиса. В шлюзе 3 сетевые карты, 1 - под интернет pppoe, вторая локальная сеть 192.168.0.0, третья как раз под удаленные точки с Ip - 192.168.6.123. Сейчас хочу перенести все на MikroTik, трафик небольшой, но частые перебои со светом и держать системник нерационально. Пока экспериментирую на стенде и вот как раз на нем ситуация описанная выше. На Eth5 приходит тегированный трафик? Да, тегированный. Share this post Link to post Share on other sites
