Пробросить WAN в виртуальную сеть

[infix]

Доброго времени!
Прошу помочь разобраться в настройке роутера Микротик.
Дано:
eth1 - WAN от провайдера (белый IP).
eth9 - к порту подключен сервер ESXI с виртуальным роутером CHR
Задача:
Пробросить WAN через порт eth9 на CHR используя VLAN (например VLAN10).


Создал Bridge из Eth1 и Eth9. Включил VLAN Filtering. Однако интернет работает на CHR только при работе виртуальной сети в режиме VLAN trunking 0-4094 .
При переключении на VLAN10 доступ к виртуальному роутеру пропадает. Подскажите на какие нюансы обратить внимание.

[Erik_U]

Если вы "пробросите WAN" на CHR, то вам нужен второй "белый", или "серый", но внешний IP.
И если у вашего CHR один порт, то вы его только во вне и увидите.
Вам оператор дает второй IP?

Если дает - то в ESXI нужно распилить виланы на виртуальном свиче гипервизора. Чтобы менеджер остался во внутреннем вилане, и только порт виртуального микротика попал в вилан интернета. А LAN-TO-ESXI должен быть транком. Это сделали?

[infix]

Спасибо, что откликнулись. Извините, забыл указать, что у меня есть несколько IP от провайдера. И на виртуальном роутере я настраиваю второй из диапазона адресов.
На ESXI создал необходимый VLAN.
DVUplink переключил в режим VLAN trunking.


Указанная схема работает если в ESXI порт группа для виртуального коммутатора либо без VLAN, либо в режиме VLAN trunking.

[Vlad-2]

Согласен с советами Erik_U, но ещё и от себя добавлю:

1) добавьте второй порт на виртуальный микротик (на CHR), чтобы из локальной
сети им управлять, проверять и тестировать, хотя бы на время,
если даже Вам (этот второй локальный порт) будет не нужен в будущем.

2) так же вопрос, а правильно Вы транковый канал сделали? То есть на "железном"
микротике правильно виланы настроены?
2.1) я на ESXi всё равно, стараюсь физически, одну сетевую карту отдать под виланы (в
основном внешние), а вторую под локальную сеть и под локальные виланы.
Местами так проще.

3) утилитой TORCH Вы видите виланы ? (на выходе с железного роутера?, на входе
CHR?)

[infix]

1. Добавил второй порт на CHR. VLAN99

VLAN работает.
2. Текущая настройка:

Код: Выделить всё

  #   BRIDGE           VLAN-IDS  CURRENT-TAGGED          CURRENT-UNTAGGED         
 0   bridge1          10        bridge1                
                                ether9                 
 1   bridge1          1                                 bridge1                  
                                                        ether1                   
                                                        ether9                   
 2   bridge1          99        bridge1                 ether1                   
                                ether9                 

3. Torch на железном микроте:

Адрес х.х.х.147 - внешний ip виртуального микротика.
Адрес 10.100.199.100 - локальный адрес виртуального микротика.

[infix]

Еще добавлю, если установить PVID=10 для порта ether1 на реальном микротике, интернет на виртуальном роутере начинает работать. Однако при такой конфигурации перестает работать интернет на реальном роутере.

[Vlad-2]

Чё то я запутался.

Вы на ESX уже логически разделили сущности, вилан(ы) пришли, один пустили туда, другой сюда.
(на ESX - это Internet_1 и TestControl)

По факту (в простом решении), уберите виланы на CHR, формально у Вас уже
сейчас на виртуалке CHR два интерфейса (два порта). И один смотрит в провайдера,
другой локальный. То есть трафик(и) с ESX на виртуалку идёт уже обычный (не тегированный).

P.S.
Поиграйтесь настройками на ESX и смотрите Torch (на CHR) что приходит
(какой трафик, с тегом или без).

P.P.S.
Вы что не могли тестовую сеть сделать обычную, без вилана 99 ?

[infix]

В текущей конфигурации на CHR нет VLANs.
VLAN=99 для тестовой сети для того, чтобы убедиться, что сеть на ESXI настроена корректно.
Что косвенно подтверждается нормальной работой этого вилана.
Я думаю проблема может быть связана с использованием PVID=1 для ether1 на железном микротике.

[Vlad-2]

В текущей конфигурации на CHR нет VLANs.

Хорошо

VLAN=99 для тестовой сети для того, чтобы убедиться, что сеть на ESXI настроена корректно.
Что косвенно подтверждается нормальной работой этого вилана.

Ок, тоже в целом хорошо

Я думаю проблема может быть связана с использованием PVID=1 для ether1 на железном микротике.

А между железным микротиком и ESX = только это взаимодействие и всё?
Просто обычно вилан1 это локальная сеть, а провайдеры, другие сети (голос, видеонаблюдение)
уже делают виланами.
Поэтому канал (трафик провайдера) который у Вас на железном роутере, при выходе из роутера
в сторону ESX надо в этот момент виланом 10 "упаковать", донести его до ESX и там сам ESX возьмёт
этот трафик с виланом 10 и снимет тег и отдаст уже в порт CHR.

Повторюсь....анализируйте, смотрите что передаётся, какой трафик, запустите пинг на внешний адрес CHR
(скажем с телефона) и смотрите как он идёт, как обварачивается тегом.
Ищите по адресу назначения, куда как идёт. Ну или точнее, то уже по таблице ARP