Маршрутизация двух vlan

Обсуждение ПО и его настройки
Ответить
dmk1589
Сообщения: 4
Зарегистрирован: 06 апр 2019, 16:25

Добрый день!

Провайдер на ether1

Есть 2 подсети:
vlan10 - 192.168.101.0/24 - ether2
vlan20 - 192.168.102.0/24 - ether2

Нужен только теггированный трафик на этом порте.

Машины в vlan10, vlan20 получают ip, ходят в интернет, пингуют свой и соседний шлюзы.
Но хосты в разных подсетях не видят друг друга.
 
# model = RB760iGS

/interface bridge
add frame-types=admit-only-vlan-tagged name=bridge1 vlan-filtering=yes

/interface vlan
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20

add bridge=bridge1 frame-types=admit-only-vlan-tagged ingress-filtering=yes \
interface=ether2

/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether2 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether2 vlan-ids=20

/ip address
add address=192.168.101.1/24 interface=vlan10 network=192.168.101.0
add address=192.168.102.1/24 interface=vlan20 network=192.168.102.0

/ip firewall filter
add action=accept chain=forward connection-state=established,relat

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
Где-то точно не доделал, а вот где. Не хватает понимания.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Похоже это весеннее обострение какое-то. Третья похожая тема за последних несколько дней.


viewtopic.php?f=15&t=10203 - эта тема не ваш вариант ?

Если ваш файервол состоит из одного правила, то лучше включите такой маршрутизатор, и не занимайтесь сетями больше вообще :-):


Александр
dmk1589
Сообщения: 4
Зарегистрирован: 06 апр 2019, 16:25

Можно это правило вообще выкинуть. Дело как раз не в нем. Я оценил ваш сарказм.

Так копать в сторону правил firewall? Не пойму, интерфейсы объединенные в бридже, интерфейсы l3. Правил для firewall нет. Или как раз они и должны быть?

Если нет правил, Mikrotik работает по принципу все разрешить во всех направлениях или все-таки "если не разрешено, то запрещено"?

/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Что за инженеры пошли ? :sh_ok:
dmk1589 писал(а): 06 апр 2019, 16:45 Но хосты в разных подсетях не видят друг друга.
Что значит не видят ? Если вы , к примеру, про пинг, то вы уверены что на самих компьютерах брэндмауер корректно настроен? Я же вам не спроста дал ссылку, где другой инженер несколько суток "воевал" с своим маршрутизатором, а дело было в компьютерах.

А про правило файервола, вы меня не правильно поняли. Вы показали конфиг в котором всего одно правило файервола, и то разрешающее. Т.е. ваш маршрутизатор открыт для всего интернета на хакинг. С таким подходом вам не стоит заниматься сетями, не ваше это !
dmk1589 писал(а): 06 апр 2019, 18:37 Если нет правил, Mikrotik работает по принципу все разрешить во всех направлениях или все-таки "если не разрешено, то запрещено"?
Что не запрещено, то можно, следовательно если нет правил, то все разрешено.


Александр
dmk1589
Сообщения: 4
Зарегистрирован: 06 апр 2019, 16:25

Криворукие!) Согласен.
Поймите меня. Попробовав routeros после cisco, juniper очень удивляет фишка: bridges.)
Конечно, я не читал manual по routeros перед покупкой hex s, после сел настраивать c привычным мне подходом. Навешивание vlan на sub-interface. И начали потом уже всплывать bridges, vlan filtering и пр. Потом чтение инструкций, открытия что в зависимости от SoC, switchchip есть реализация аппаратная, есть программная и т.п.

Спасибо! Разобрался.

Единственное, что меня беспокоит и никто толком не может дать ответ.
Если я в реализую схему 1 vlan <-> 1 bridge, как реализовать хождение пакетов из одного bridge в другой.
Пока схема дома, она более-менее понятна. Такое можно воспроизвести на hEX S?

По-факту: 3 VLAN (50, 40, 20) - локалка на ether2, локалка untagged. На том же ether2 приходит vlan 60 #2 ISP.
На ether1 приходит untagged #1 ISP, также три tagged vlan 3,10,110. На ether3 приходит VLAN (850) и untagged трафик. Все это должно между собой общаться.
Зачем я всё это написал? Можно же как-то обойтись без запихивание всего этого в один bridge? Реализация VLAN <-> bridges более наглядная. Один vlan в свой мост

Пока всё это работает на freebsd под управлением pf. с участием loopback интерфейса.)


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

dmk1589 писал(а): 06 апр 2019, 21:32 Попробовав routeros после cisco, juniper очень удивляет фишка: bridges.)
Как раз в тему :)
Изображение

dmk1589 писал(а): 06 апр 2019, 21:32 Единственное, что меня беспокоит и никто толком не может дать ответ.
Если я в реализую схему 1 vlan <-> 1 bridge, как реализовать хождение пакетов из одного bridge в другой.
Пока схема дома, она более-менее понятна. Такое можно воспроизвести на hEX S?
на L2 надо объединять бриджи, на L3 использовать маршрутизацию, как и в cisco.
вообще, не понял вопроса, нарисуйте схему чтобы было понятнее, может и разберемся совместно


Александр
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Смотрите, на пальцах и мифических вланах, без использования свиччипа.
Берем интерфейс ether1. Если вы ничего не трогали и не делали с ним, то по дефолту он живет без каких бы то ни было вланов.
Допустим этот интерфейс дальше соединен с неким свичем, который уже разруливает вланы, т.е. нам нужно в сторону свича запулить еще допустим вланы 10, 20 и 30 в тегрованном виде. Для этого, мы берем и на этом интерфейсе создаем эти вланы. После создания с этого интерфейса летят - вообще никак нетегированный ether1 и тегированные 10, 20 и 30. При этом, если маршрутизацией занимается наш микротик и шлюзом должен быть он же, то мы вешаем адреса на эти вланы, дабы микротик мог отвечать.

Усложняем конфигурацию. Допустим, помимо того, что мы сделали в первом примере, нам надо что бы вланы 20 и 30 в тегированном виде улетали\прилетали еще и с\на интерфейса ether2, для этого мы берем и создаем два бриджа допустим и bridge_vlan20 и bridge_vlan30. Поскольку на ether2 нам нужны тегированные вланы, то на ether2 мы точно так же создаем вланы 20 и 30, а дальше мы объединяем бриджем их, т.е. в bridge_vlan20 добавляем vlan20 который висит на порту ether1 и vlan20 который висит на порту ether2 и тоже самое делаем с вланом 30 только добавляем их в bridge_vlan30. Как итог, у нас получается аля виртуальный свич для вланов 20 и 30, они в тегированном виде бегают по портам ether1 и ether2, но сами порты, если они не соединены каким-то своим бриджом, никак не пропускают нетегированный трафик между собой. При этом если на вланах которые висели на первом порту были заданы адреса, то необходимо эти адреса\dhcp адреса, dhcp клиенты и вообще все, что как-то касалось этого интерфейса\влана, перевесить на бриджи иначе микротик может начать ругаться и дурковать. Т.е. если у нас допусти на vlan20 который висел на порту ether1 был адрес 192.168.20.1/24 и еще и dhcp сервер, то нам необходимо перенести этот адрес и dhcp сервер на bridge_vlan20.

И еще немного усложним, допустим нам надо что бы влан 10, который у нас находится пока что только на порту ether1, в нетегированном виде отдать с порта ether2. Для этого, мы создаем еще один бридж bridge_vlan10 и добавляем в него vlan10 который у нас находится на ether1 и сам порт ether2. С адресами и dhcp все так же как и раньше, если были, надо переделать их на бридж. Как итог, у нас vlan10 с порта ether1 уходит\приходит как тегированный, а для порта ether2 он будет нетегированным, а вланы 20 и 30 с портов ether1 и ether2 улетают только в тегированом виде.

Это все не идеальные примеры, но так их проще понять и уже на их основе что-то как-то делать


dmk1589
Сообщения: 4
Зарегистрирован: 06 апр 2019, 16:25

Огромное спасибо за доходчивое объяснение! В Сети много информации, но она, как правило, ткни сюда - получишь это.
А это ничего не объясняет.)))))

Пересмострел работу с vlan в mikrotik)
Последний раз редактировалось dmk1589 07 апр 2019, 12:45, всего редактировалось 2 раза.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Off-top:
KARaS'b снимаю шляпу, по кол-ву строк даже меня поразил (в приятном контексте).
Помню я описывал виланы почти также, но чуть кратко.
Браво.

Для ТС (автора поста):
желательно пару раз перечитать, и осмыслить знания про виланы в контексте микротика.
Потом попытаться поиграться, проанализировать полученное.
И уже потом только это внедрять на полную.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить