Доброго времени!
Прошу помочь разобраться в настройке роутера Микротик.
Дано:
eth1 - WAN от провайдера (белый IP).
eth9 - к порту подключен сервер ESXI с виртуальным роутером CHR
Задача:
Пробросить WAN через порт eth9 на CHR используя VLAN (например VLAN10).
Создал Bridge из Eth1 и Eth9. Включил VLAN Filtering. Однако интернет работает на CHR только при работе виртуальной сети в режиме VLAN trunking 0-4094 .
При переключении на VLAN10 доступ к виртуальному роутеру пропадает. Подскажите на какие нюансы обратить внимание.
Пробросить WAN в виртуальную сеть
-
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
Если вы "пробросите WAN" на CHR, то вам нужен второй "белый", или "серый", но внешний IP.
И если у вашего CHR один порт, то вы его только во вне и увидите.
Вам оператор дает второй IP?
Если дает - то в ESXI нужно распилить виланы на виртуальном свиче гипервизора. Чтобы менеджер остался во внутреннем вилане, и только порт виртуального микротика попал в вилан интернета. А LAN-TO-ESXI должен быть транком. Это сделали?
И если у вашего CHR один порт, то вы его только во вне и увидите.
Вам оператор дает второй IP?
Если дает - то в ESXI нужно распилить виланы на виртуальном свиче гипервизора. Чтобы менеджер остался во внутреннем вилане, и только порт виртуального микротика попал в вилан интернета. А LAN-TO-ESXI должен быть транком. Это сделали?
-
- Сообщения: 5
- Зарегистрирован: 16 дек 2019, 16:30
Спасибо, что откликнулись. Извините, забыл указать, что у меня есть несколько IP от провайдера. И на виртуальном роутере я настраиваю второй из диапазона адресов.
На ESXI создал необходимый VLAN.
DVUplink переключил в режим VLAN trunking.
Указанная схема работает если в ESXI порт группа для виртуального коммутатора либо без VLAN, либо в режиме VLAN trunking.
На ESXI создал необходимый VLAN.
DVUplink переключил в режим VLAN trunking.
Указанная схема работает если в ESXI порт группа для виртуального коммутатора либо без VLAN, либо в режиме VLAN trunking.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Согласен с советами Erik_U, но ещё и от себя добавлю:
1) добавьте второй порт на виртуальный микротик (на CHR), чтобы из локальной
сети им управлять, проверять и тестировать, хотя бы на время,
если даже Вам (этот второй локальный порт) будет не нужен в будущем.
2) так же вопрос, а правильно Вы транковый канал сделали? То есть на "железном"
микротике правильно виланы настроены?
2.1) я на ESXi всё равно, стараюсь физически, одну сетевую карту отдать под виланы (в
основном внешние), а вторую под локальную сеть и под локальные виланы.
Местами так проще.
3) утилитой TORCH Вы видите виланы ? (на выходе с железного роутера?, на входе
CHR?)
1) добавьте второй порт на виртуальный микротик (на CHR), чтобы из локальной
сети им управлять, проверять и тестировать, хотя бы на время,
если даже Вам (этот второй локальный порт) будет не нужен в будущем.
2) так же вопрос, а правильно Вы транковый канал сделали? То есть на "железном"
микротике правильно виланы настроены?
2.1) я на ESXi всё равно, стараюсь физически, одну сетевую карту отдать под виланы (в
основном внешние), а вторую под локальную сеть и под локальные виланы.
Местами так проще.
3) утилитой TORCH Вы видите виланы ? (на выходе с железного роутера?, на входе
CHR?)
-
- Сообщения: 5
- Зарегистрирован: 16 дек 2019, 16:30
1. Добавил второй порт на CHR. VLAN99
VLAN работает.
2. Текущая настройка:
3. Torch на железном микроте:
Адрес х.х.х.147 - внешний ip виртуального микротика.
Адрес 10.100.199.100 - локальный адрес виртуального микротика.
VLAN работает.
2. Текущая настройка:
Код: Выделить всё
# BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED
0 bridge1 10 bridge1
ether9
1 bridge1 1 bridge1
ether1
ether9
2 bridge1 99 bridge1 ether1
ether9
Адрес х.х.х.147 - внешний ip виртуального микротика.
Адрес 10.100.199.100 - локальный адрес виртуального микротика.
-
- Сообщения: 5
- Зарегистрирован: 16 дек 2019, 16:30
Еще добавлю, если установить PVID=10 для порта ether1 на реальном микротике, интернет на виртуальном роутере начинает работать. Однако при такой конфигурации перестает работать интернет на реальном роутере.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Чё то я запутался.
Вы на ESX уже логически разделили сущности, вилан(ы) пришли, один пустили туда, другой сюда.
(на ESX - это Internet_1 и TestControl)
По факту (в простом решении), уберите виланы на CHR, формально у Вас уже
сейчас на виртуалке CHR два интерфейса (два порта). И один смотрит в провайдера,
другой локальный. То есть трафик(и) с ESX на виртуалку идёт уже обычный (не тегированный).
P.S.
Поиграйтесь настройками на ESX и смотрите Torch (на CHR) что приходит
(какой трафик, с тегом или без).
P.P.S.
Вы что не могли тестовую сеть сделать обычную, без вилана 99 ?
Вы на ESX уже логически разделили сущности, вилан(ы) пришли, один пустили туда, другой сюда.
(на ESX - это Internet_1 и TestControl)
По факту (в простом решении), уберите виланы на CHR, формально у Вас уже
сейчас на виртуалке CHR два интерфейса (два порта). И один смотрит в провайдера,
другой локальный. То есть трафик(и) с ESX на виртуалку идёт уже обычный (не тегированный).
P.S.
Поиграйтесь настройками на ESX и смотрите Torch (на CHR) что приходит
(какой трафик, с тегом или без).
P.P.S.
Вы что не могли тестовую сеть сделать обычную, без вилана 99 ?
-
- Сообщения: 5
- Зарегистрирован: 16 дек 2019, 16:30
В текущей конфигурации на CHR нет VLANs.
VLAN=99 для тестовой сети для того, чтобы убедиться, что сеть на ESXI настроена корректно.
Что косвенно подтверждается нормальной работой этого вилана.
Я думаю проблема может быть связана с использованием PVID=1 для ether1 на железном микротике.
VLAN=99 для тестовой сети для того, чтобы убедиться, что сеть на ESXI настроена корректно.
Что косвенно подтверждается нормальной работой этого вилана.
Я думаю проблема может быть связана с использованием PVID=1 для ether1 на железном микротике.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Хорошо
Ок, тоже в целом хорошо
А между железным микротиком и ESX = только это взаимодействие и всё?
Просто обычно вилан1 это локальная сеть, а провайдеры, другие сети (голос, видеонаблюдение)
уже делают виланами.
Поэтому канал (трафик провайдера) который у Вас на железном роутере, при выходе из роутера
в сторону ESX надо в этот момент виланом 10 "упаковать", донести его до ESX и там сам ESX возьмёт
этот трафик с виланом 10 и снимет тег и отдаст уже в порт CHR.
Повторюсь....анализируйте, смотрите что передаётся, какой трафик, запустите пинг на внешний адрес CHR
(скажем с телефона) и смотрите как он идёт, как обварачивается тегом.
Ищите по адресу назначения, куда как идёт. Ну или точнее, то уже по таблице ARP