[aslik]

Всем привет, недавно попала в руки железка Mikrotik, нужно перевести работающую сеть на нее. Схематично нарисовал

Нужно чтоб вланы имели доступ к lan сети и наоборот, доступ в интернет разрешен некоторым ip. Столкнулся с проблемой, как правильно организовать работу vlan на одном порту, чтоб первый ip vlan сети был шлюзом и трафик не изолировался? (vlan заходит через "аренду канала" у провайдера).

[myst]

во вкладке interfaces vlan создаешь необходимое число vlan с нужными vlan id и привязываешь их к одному и тому же интерфейсу.

Остальные запреты/разрешения делаются правилами фаервола.

[aslik]

во вкладке interfaces vlan создаешь необходимое число vlan с нужными vlan id и привязываешь их к одному и тому же интерфейсу.

Остальные запреты/разрешения делаются правилами фаервола.

Сделал vlan, привязал к ETH5. Стоит ли дальше vlan в бридж загонять или достаточно ETH 2 и 5 мостом связать? Каждому vlan - IP задавать формата 192.168.xxx.1/24?

[myst]

во вкладке interfaces vlan создаешь необходимое число vlan с нужными vlan id и привязываешь их к одному и тому же интерфейсу.

Остальные запреты/разрешения делаются правилами фаервола.

Сделал vlan, привязал к ETH5. Стоит ли дальше vlan в бридж загонять или достаточно ETH 2 и 5 мостом связать? Каждому vlan - IP задавать формата 192.168.xxx.1/24?

Бриджы в данном случае костыль. Сделай каждому влану IP адрес из непересекающегося диапазона и доступы рули правилами фаервола.

[NikAlexAn]

Сделал vlan, привязал к ETH5. Стоит ли дальше vlan в бридж загонять или достаточно ETH 2 и 5 мостом связать? Каждому vlan - IP задавать формата 192.168.xxx.1/24?

У Вас на Eth2 и на Vlan-ах на Eth5 разная адресация -> бриджи не нужны.

[aslik]

Вот, что сделал, ETH2 присвоил ip - 192.168.0.2, VLAN - 1.1, 3.1, 5.1, 10.1, 16.1, 18.1, 20.1; бриджи все удалил. Пингую из 0.0 подсети, все vlan видно, но пк за портом, например с ip - 5.55 уже нет, узел недоступен с ответом от 0.2 шлюза (как и нужно), пингую с 5.55 - vlan не видно (превышено ожидание), даже шлюз 5.1

Почему не видят др. друга?

[NikAlexAn]

Вот, что сделал, ETH2 присвоил ip - 192.168.0.2, VLAN - 1.1, 3.1, 5.1, 10.1, 16.1, 18.1, 20.1; бриджи все удалил. Пингую из 0.0 подсети, все vlan видно, но пк за портом, например с ip - 5.55 уже нет, узел недоступен с ответом от 0.2 шлюза (как и нужно), пингую с 5.55 - vlan не видно (превышено ожидание), даже шлюз 5.1

Почему не видят др. друга?

А в Eth5 какая железка воткнута? Как вланы то до абонентов доходят?

"vlan заходит через "аренду канала" у провайдера" - расшифруйте.

Edited April 17, 2014 by NikAlexAn

[aslik]

Вот, что сделал, ETH2 присвоил ip - 192.168.0.2, VLAN - 1.1, 3.1, 5.1, 10.1, 16.1, 18.1, 20.1; бриджи все удалил. Пингую из 0.0 подсети, все vlan видно, но пк за портом, например с ip - 5.55 уже нет, узел недоступен с ответом от 0.2 шлюза (как и нужно), пингую с 5.55 - vlan не видно (превышено ожидание), даже шлюз 5.1

Почему не видят др. друга?

А в Eth5 какая железка воткнута? Как вланы то до абонентов доходят?

"vlan заходит через "аренду канала" у провайдера" - расшифруйте.

Как это у провайдера устроено, не могу точно сказать, но смысл такой..... весь трафик с удаленных точек (портов) сливается в один и заходит в центральный офис на 1 порт шлюза, сейчас стоит ClearOS. Тут через прокси лист раздаю интернет и всем локальную сеть офиса. В шлюзе 3 сетевые карты, 1 - под интернет pppoe, вторая локальная сеть 192.168.0.0, третья как раз под удаленные точки с Ip - 192.168.6.123. Сейчас хочу перенести все на MikroTik, трафик небольшой, но частые перебои со светом и держать системник нерационально. Пока экспериментирую на стенде и вот как раз на нем ситуация описанная выше.

[NikAlexAn]

Как это у провайдера устроено, не могу точно сказать, но смысл такой..... весь трафик с удаленных точек (портов) сливается в один и заходит в центральный офис на 1 порт шлюза, сейчас стоит ClearOS. Тут через прокси лист раздаю интернет и всем локальную сеть офиса. В шлюзе 3 сетевые карты, 1 - под интернет pppoe, вторая локальная сеть 192.168.0.0, третья как раз под удаленные точки с Ip - 192.168.6.123. Сейчас хочу перенести все на MikroTik, трафик небольшой, но частые перебои со светом и держать системник нерационально. Пока экспериментирую на стенде и вот как раз на нем ситуация описанная выше.

На Eth5 приходит тегированный трафик?

[aslik]

Как это у провайдера устроено, не могу точно сказать, но смысл такой..... весь трафик с удаленных точек (портов) сливается в один и заходит в центральный офис на 1 порт шлюза, сейчас стоит ClearOS. Тут через прокси лист раздаю интернет и всем локальную сеть офиса. В шлюзе 3 сетевые карты, 1 - под интернет pppoe, вторая локальная сеть 192.168.0.0, третья как раз под удаленные точки с Ip - 192.168.6.123. Сейчас хочу перенести все на MikroTik, трафик небольшой, но частые перебои со светом и держать системник нерационально. Пока экспериментирую на стенде и вот как раз на нем ситуация описанная выше.

На Eth5 приходит тегированный трафик?

Да, тегированный.