Pfsens+ Switch Mikrotik (Router OS) +Vlan Winbox видит то что не должен

Обсуждение ПО и его настройки
Ответить
dr753
Сообщения: 26
Зарегистрирован: 10 июн 2021, 14:59

День добрый имеем следующую сеть (кручу на виртуалке перед воплощением в жизнь)

Изображение

На pfsens создал Vlans 60,80,101 повесил на них dhcp

Mikrotik - выступает в роли 6-ми портового управляемого свитча c RouterOS (Планирую использовать Mikrotik CRS326-24G-2S+RM)

ether1 Trunk (vlan60,80,101)

Настроил Микротик в соответствии со своими хотелками (все порты в bridge1)

Настриваю Vlan

/interface bridge
add name=bridge1 vlan-filtering=yes
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2 pvid=60
add bridge=bridge1 interface=ether3 pvid=80
add bridge=bridge1 interface=ether4 pvid=101
add bridge=bridge1 interface=ether5 pvid=101
add bridge=bridge1 interface=ether6
/ip neighbor discovery-settings
set discover-interface-list=static
/interface bridge vlan
add bridge=bridge1 tagged=ether1 untagged=ether2 vlan-ids=60
add bridge=bridge1 tagged=ether1 untagged=ether3 vlan-ids=80
add bridge=bridge1 tagged=ether1 untagged=ether4,ether5 vlan-ids=101
/interface list member

Собственyо все замечательно , компы друг друга не видят, но возник один нюанс - запускаю Winbox на компе во Vlan 60 и на компе входящем во vlan 80 и через 5 мин примерно вижу mikrotik не входящий в Vlan 60,80 зайти на него нельзя ни по MAC ни по IP


Изображение

Не могу понять как так получается ?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Neighbour discovery ограничьте теми интрфейсами, в которых он должен быть виден.


Telegram: @thexvo
dr753
Сообщения: 26
Зарегистрирован: 10 июн 2021, 14:59

Спасибо , помогло ограничение neighbour нужными интерфейсами. Единственное , остался вопрос почему neighbour отрабатывала в разных сегментах сети, разделенной на изолированные Vlan () ?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Потому что процессор рассылал ND пакеты в интерфейс bridge1, а на нем (впрочем так же как и на остальных) не настроена входящая фильтрация, потом оно соответственно улетало во все интерфейсы.
А вот обратные пакеты уже на CPU никак бы не попали - потому что bridge1 у вас ни для одного vlan'а в качестве порта не заявлен.

Так что в принципе вам бы ещё включить на этом бридже фильтрацию и выставить там admit only VLAN tagged.


Telegram: @thexvo
dr753
Сообщения: 26
Зарегистрирован: 10 июн 2021, 14:59

Благодарю за направление в верную сторону. https://help.mikrotik.com/docs/display/ ... VLAN+Table - здесь моя ситуация один в один


Ответить