Добрый день!
Провайдер на ether1
Есть 2 подсети:
vlan10 - 192.168.101.0/24 - ether2
vlan20 - 192.168.102.0/24 - ether2
Нужен только теггированный трафик на этом порте.
Машины в vlan10, vlan20 получают ip, ходят в интернет, пингуют свой и соседний шлюзы.
Но хосты в разных подсетях не видят друг друга.
Где-то точно не доделал, а вот где. Не хватает понимания.
Маршрутизация двух vlan
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Похоже это весеннее обострение какое-то. Третья похожая тема за последних несколько дней.
viewtopic.php?f=15&t=10203 - эта тема не ваш вариант ?
Если ваш файервол состоит из одного правила, то лучше включите такой маршрутизатор, и не занимайтесь сетями больше вообще
viewtopic.php?f=15&t=10203 - эта тема не ваш вариант ?
Если ваш файервол состоит из одного правила, то лучше включите такой маршрутизатор, и не занимайтесь сетями больше вообще
Александр
-
- Сообщения: 4
- Зарегистрирован: 06 апр 2019, 16:25
Можно это правило вообще выкинуть. Дело как раз не в нем. Я оценил ваш сарказм.
Так копать в сторону правил firewall? Не пойму, интерфейсы объединенные в бридже, интерфейсы l3. Правил для firewall нет. Или как раз они и должны быть?
Если нет правил, Mikrotik работает по принципу все разрешить во всех направлениях или все-таки "если не разрешено, то запрещено"?
/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
Так копать в сторону правил firewall? Не пойму, интерфейсы объединенные в бридже, интерфейсы l3. Правил для firewall нет. Или как раз они и должны быть?
Если нет правил, Mikrotik работает по принципу все разрешить во всех направлениях или все-таки "если не разрешено, то запрещено"?
/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Что за инженеры пошли ?
А про правило файервола, вы меня не правильно поняли. Вы показали конфиг в котором всего одно правило файервола, и то разрешающее. Т.е. ваш маршрутизатор открыт для всего интернета на хакинг. С таким подходом вам не стоит заниматься сетями, не ваше это !
Что значит не видят ? Если вы , к примеру, про пинг, то вы уверены что на самих компьютерах брэндмауер корректно настроен? Я же вам не спроста дал ссылку, где другой инженер несколько суток "воевал" с своим маршрутизатором, а дело было в компьютерах.
А про правило файервола, вы меня не правильно поняли. Вы показали конфиг в котором всего одно правило файервола, и то разрешающее. Т.е. ваш маршрутизатор открыт для всего интернета на хакинг. С таким подходом вам не стоит заниматься сетями, не ваше это !
Что не запрещено, то можно, следовательно если нет правил, то все разрешено.
Александр
-
- Сообщения: 4
- Зарегистрирован: 06 апр 2019, 16:25
Криворукие!) Согласен.
Поймите меня. Попробовав routeros после cisco, juniper очень удивляет фишка: bridges.)
Конечно, я не читал manual по routeros перед покупкой hex s, после сел настраивать c привычным мне подходом. Навешивание vlan на sub-interface. И начали потом уже всплывать bridges, vlan filtering и пр. Потом чтение инструкций, открытия что в зависимости от SoC, switchchip есть реализация аппаратная, есть программная и т.п.
Спасибо! Разобрался.
Единственное, что меня беспокоит и никто толком не может дать ответ.
Если я в реализую схему 1 vlan <-> 1 bridge, как реализовать хождение пакетов из одного bridge в другой.
Пока схема дома, она более-менее понятна. Такое можно воспроизвести на hEX S?
По-факту: 3 VLAN (50, 40, 20) - локалка на ether2, локалка untagged. На том же ether2 приходит vlan 60 #2 ISP.
На ether1 приходит untagged #1 ISP, также три tagged vlan 3,10,110. На ether3 приходит VLAN (850) и untagged трафик. Все это должно между собой общаться.
Зачем я всё это написал? Можно же как-то обойтись без запихивание всего этого в один bridge? Реализация VLAN <-> bridges более наглядная. Один vlan в свой мост
Пока всё это работает на freebsd под управлением pf. с участием loopback интерфейса.)
Поймите меня. Попробовав routeros после cisco, juniper очень удивляет фишка: bridges.)
Конечно, я не читал manual по routeros перед покупкой hex s, после сел настраивать c привычным мне подходом. Навешивание vlan на sub-interface. И начали потом уже всплывать bridges, vlan filtering и пр. Потом чтение инструкций, открытия что в зависимости от SoC, switchchip есть реализация аппаратная, есть программная и т.п.
Спасибо! Разобрался.
Единственное, что меня беспокоит и никто толком не может дать ответ.
Если я в реализую схему 1 vlan <-> 1 bridge, как реализовать хождение пакетов из одного bridge в другой.
Пока схема дома, она более-менее понятна. Такое можно воспроизвести на hEX S?
По-факту: 3 VLAN (50, 40, 20) - локалка на ether2, локалка untagged. На том же ether2 приходит vlan 60 #2 ISP.
На ether1 приходит untagged #1 ISP, также три tagged vlan 3,10,110. На ether3 приходит VLAN (850) и untagged трафик. Все это должно между собой общаться.
Зачем я всё это написал? Можно же как-то обойтись без запихивание всего этого в один bridge? Реализация VLAN <-> bridges более наглядная. Один vlan в свой мост
Пока всё это работает на freebsd под управлением pf. с участием loopback интерфейса.)
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Смотрите, на пальцах и мифических вланах, без использования свиччипа.
Берем интерфейс ether1. Если вы ничего не трогали и не делали с ним, то по дефолту он живет без каких бы то ни было вланов.
Допустим этот интерфейс дальше соединен с неким свичем, который уже разруливает вланы, т.е. нам нужно в сторону свича запулить еще допустим вланы 10, 20 и 30 в тегрованном виде. Для этого, мы берем и на этом интерфейсе создаем эти вланы. После создания с этого интерфейса летят - вообще никак нетегированный ether1 и тегированные 10, 20 и 30. При этом, если маршрутизацией занимается наш микротик и шлюзом должен быть он же, то мы вешаем адреса на эти вланы, дабы микротик мог отвечать.
Усложняем конфигурацию. Допустим, помимо того, что мы сделали в первом примере, нам надо что бы вланы 20 и 30 в тегированном виде улетали\прилетали еще и с\на интерфейса ether2, для этого мы берем и создаем два бриджа допустим и bridge_vlan20 и bridge_vlan30. Поскольку на ether2 нам нужны тегированные вланы, то на ether2 мы точно так же создаем вланы 20 и 30, а дальше мы объединяем бриджем их, т.е. в bridge_vlan20 добавляем vlan20 который висит на порту ether1 и vlan20 который висит на порту ether2 и тоже самое делаем с вланом 30 только добавляем их в bridge_vlan30. Как итог, у нас получается аля виртуальный свич для вланов 20 и 30, они в тегированном виде бегают по портам ether1 и ether2, но сами порты, если они не соединены каким-то своим бриджом, никак не пропускают нетегированный трафик между собой. При этом если на вланах которые висели на первом порту были заданы адреса, то необходимо эти адреса\dhcp адреса, dhcp клиенты и вообще все, что как-то касалось этого интерфейса\влана, перевесить на бриджи иначе микротик может начать ругаться и дурковать. Т.е. если у нас допусти на vlan20 который висел на порту ether1 был адрес 192.168.20.1/24 и еще и dhcp сервер, то нам необходимо перенести этот адрес и dhcp сервер на bridge_vlan20.
И еще немного усложним, допустим нам надо что бы влан 10, который у нас находится пока что только на порту ether1, в нетегированном виде отдать с порта ether2. Для этого, мы создаем еще один бридж bridge_vlan10 и добавляем в него vlan10 который у нас находится на ether1 и сам порт ether2. С адресами и dhcp все так же как и раньше, если были, надо переделать их на бридж. Как итог, у нас vlan10 с порта ether1 уходит\приходит как тегированный, а для порта ether2 он будет нетегированным, а вланы 20 и 30 с портов ether1 и ether2 улетают только в тегированом виде.
Это все не идеальные примеры, но так их проще понять и уже на их основе что-то как-то делать
Берем интерфейс ether1. Если вы ничего не трогали и не делали с ним, то по дефолту он живет без каких бы то ни было вланов.
Допустим этот интерфейс дальше соединен с неким свичем, который уже разруливает вланы, т.е. нам нужно в сторону свича запулить еще допустим вланы 10, 20 и 30 в тегрованном виде. Для этого, мы берем и на этом интерфейсе создаем эти вланы. После создания с этого интерфейса летят - вообще никак нетегированный ether1 и тегированные 10, 20 и 30. При этом, если маршрутизацией занимается наш микротик и шлюзом должен быть он же, то мы вешаем адреса на эти вланы, дабы микротик мог отвечать.
Усложняем конфигурацию. Допустим, помимо того, что мы сделали в первом примере, нам надо что бы вланы 20 и 30 в тегированном виде улетали\прилетали еще и с\на интерфейса ether2, для этого мы берем и создаем два бриджа допустим и bridge_vlan20 и bridge_vlan30. Поскольку на ether2 нам нужны тегированные вланы, то на ether2 мы точно так же создаем вланы 20 и 30, а дальше мы объединяем бриджем их, т.е. в bridge_vlan20 добавляем vlan20 который висит на порту ether1 и vlan20 который висит на порту ether2 и тоже самое делаем с вланом 30 только добавляем их в bridge_vlan30. Как итог, у нас получается аля виртуальный свич для вланов 20 и 30, они в тегированном виде бегают по портам ether1 и ether2, но сами порты, если они не соединены каким-то своим бриджом, никак не пропускают нетегированный трафик между собой. При этом если на вланах которые висели на первом порту были заданы адреса, то необходимо эти адреса\dhcp адреса, dhcp клиенты и вообще все, что как-то касалось этого интерфейса\влана, перевесить на бриджи иначе микротик может начать ругаться и дурковать. Т.е. если у нас допусти на vlan20 который висел на порту ether1 был адрес 192.168.20.1/24 и еще и dhcp сервер, то нам необходимо перенести этот адрес и dhcp сервер на bridge_vlan20.
И еще немного усложним, допустим нам надо что бы влан 10, который у нас находится пока что только на порту ether1, в нетегированном виде отдать с порта ether2. Для этого, мы создаем еще один бридж bridge_vlan10 и добавляем в него vlan10 который у нас находится на ether1 и сам порт ether2. С адресами и dhcp все так же как и раньше, если были, надо переделать их на бридж. Как итог, у нас vlan10 с порта ether1 уходит\приходит как тегированный, а для порта ether2 он будет нетегированным, а вланы 20 и 30 с портов ether1 и ether2 улетают только в тегированом виде.
Это все не идеальные примеры, но так их проще понять и уже на их основе что-то как-то делать
-
- Сообщения: 4
- Зарегистрирован: 06 апр 2019, 16:25
Огромное спасибо за доходчивое объяснение! В Сети много информации, но она, как правило, ткни сюда - получишь это.
А это ничего не объясняет.)))))
Пересмострел работу с vlan в mikrotik)
А это ничего не объясняет.)))))
Пересмострел работу с vlan в mikrotik)
Последний раз редактировалось dmk1589 07 апр 2019, 12:45, всего редактировалось 2 раза.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Off-top:
KARaS'b снимаю шляпу, по кол-ву строк даже меня поразил (в приятном контексте).
Помню я описывал виланы почти также, но чуть кратко.
Браво.
Для ТС (автора поста):
желательно пару раз перечитать, и осмыслить знания про виланы в контексте микротика.
Потом попытаться поиграться, проанализировать полученное.
И уже потом только это внедрять на полную.
KARaS'b снимаю шляпу, по кол-ву строк даже меня поразил (в приятном контексте).
Помню я описывал виланы почти также, но чуть кратко.
Браво.
Для ТС (автора поста):
желательно пару раз перечитать, и осмыслить знания про виланы в контексте микротика.
Потом попытаться поиграться, проанализировать полученное.
И уже потом только это внедрять на полную.