ДВА DHCP на одном бридже.

Обсуждение ПО и его настройки
anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

хочется.
1. обойтись одним микротиком.
2. сохранить L2 видимость между клиентами в eth4 и eth5
3. Получить что-то подобное dhcp опции 82. , то есть на уровне DHCP отдавать разные адреса ( из одного пространства) в зависимости от порта клиента.

Можно для двух интерфейсов в одном бридже запретить общение по DHCP ( примерно так) .
/interface bridge port
add bridge=news comment=defconf interface=ether4
add bridge=news comment=defconf interface=ether5
/interface bridge filter chain=forward action=accept in-interface=ether5 mac-protocol=ip dst-port=67-68 ip-protocol=udp log=no log-prefix=""

а вот как уговорить слушать DHCP на eth4 и на eth5 я не понял ..
/ip pool add name=test1 ranges=10.11.11.2-10.11.11.200
/ip dhcp-server add interface=ether5 name=dhcp5 address-pool=test1
/ip dhcp-server enable numbers=dhcp5

получаем
failure: can not run on slave interface


Как бы это обойти (: .
P.S -
сейчас на тике поднято несколько тоннелей, соотв для каждого есть таблица роутинга, разные бриджи и разные маршруты. Но теряется возможность пользоваться кучей домашней техники ( как пример пульты телевизоров на телефоне) которые в полной уверенности - одно адресное пространство.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Какой практический смысл в таком разделении?

Касательно единого пространства через туннели - если очень надо, есть EoIP, vxlan.


Telegram: @thexvo
anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

ну практический смысл отрицать это говорить о том, что нет смысла в DHCP options 82 - ее часто используют и она удобна. Нечто подобное я городил когда в корпоративной сети предприятия приспосабливал Wifi сеть и вешал ограничения на права этого Wifi по портам. ( там было просто потому как linux и бриджевание двух вланов) и DHCP соотв "полный" isc.
Eoip я пробовал уже: вроде микротик не хочет поднимать тоннели внутри себя, идея ( предсказуемо) обрывается на момент попытки ввести два одинаковых ID туннеля.
С маркировкой пакетов тоже как-то не получается - там тоже требуется "не слейв" интерфейс.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

anad писал(а): 19 мар 2023, 08:05 ну практический смысл отрицать это говорить о том, что нет смысла в DHCP options 82 - ее часто используют и она удобна.
Дома оно вам зачем?
Вы объясните задачу, может у неё есть другое решение.
anad писал(а): 19 мар 2023, 08:05 Eoip я пробовал уже: вроде микротик не хочет поднимать тоннели внутри себя
Это ещё зачем?
Вы написали, что у вас есть желание продолжать пользоваться L2 инструментами с удаленных площадок - я говорю, что если очень надо, можно заменить туннели на EoIP или проложить внутри существующих либо те же EoIP, либо лучше VXLAN.
Хотя в моём понимании правильнее перейти на решения, которые работают на L3.


Telegram: @thexvo
anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

xvo писал(а): 19 мар 2023, 09:45
anad писал(а): 19 мар 2023, 08:05 ну практический смысл отрицать это говорить о том, что нет смысла в DHCP options 82 - ее часто используют и она удобна.
Дома оно вам зачем?
Вы объясните задачу, может у неё есть другое решение.
anad писал(а): 19 мар 2023, 08:05 Eoip я пробовал уже: вроде микротик не хочет поднимать тоннели внутри себя
Это ещё зачем?
Вы написали, что у вас есть желание продолжать пользоваться L2 инструментами с удаленных площадок - я говорю, что если очень надо, можно заменить туннели на EoIP или проложить внутри существующих либо те же EoIP, либо лучше VXLAN.
Хотя в моём понимании правильнее перейти на решения, которые работают на L3.
Попробую очень упросить зачем:
с роутера поднимается несколько тоннелей для простоты будем говорить что их два.
хочется чтобы
1. пользователь подключался к определенной SSID ( и в зависимости от этого "падал" в разные таблицы маршрутизации и соотв выходил через VPN или через провайдера).
2. пользователь мог, оставаясь подключенным к любой SSID управлять техникой подключенной к доманшей сети ( программы тупые и либо облаком, что дико лагает, либо IP адрес из этой же подсети пример такого устройства - телевизор Samsung 2020 года, но он не одинок. ).
Сейчас целюсь подключить к мироктитику старый роутер с openwrt для разруливания DHCP, но это не дело.
P.S. спасло бы просто метить пакеты по интерфейсам, но оно не желает работать с частями бриджа
P.P.S. про та как поднять L2 туннель между устройствами я в курсе, но не правильно понял ответ ( а Вы вопрос) и решил попробовать поднять туннель между двумя интерфейсами микротика - не получилосью


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

anad писал(а): 19 мар 2023, 11:08 Попробую очень упросить зачем:
с роутера поднимается несколько тоннелей для простоты будем говорить что их два.
хочется чтобы
1. пользователь подключался к определенной SSID ( и в зависимости от этого "падал" в разные таблицы маршрутизации и соотв выходил через VPN или через провайдера).
2. пользователь мог, оставаясь подключенным к любой SSID управлять техникой подключенной к доманшей сети ( программы тупые и либо облаком, что дико лагает, либо IP адрес из этой же подсети пример такого устройства - телевизор Samsung 2020 года, но он не одинок. ).
Тут нет ответа на вопрос "Зачем на одном бридже?"


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

В общем проблема понятна: если логичным образом порубить сеть на vlan'ы, решается вопрос с тем, через кого выходить в сеть в зависимости от ssid, но теряется возможность использовать broadcast'ные сервисы.

Решения вижу два:
1) Таки сегментировать сеть и поставить какое-нибудь устройство, которое будет присутствовать во всех сетях, и на нам поднять avahi reflector / mDNS repeater, в общем, что-то такое, что будет заниматься трансляцией броадкастов из одной сети в другую.
Но это дофига работы, да и вообще избыточно.

2) Раз речь идет о ручном переключении между SSID, то я себе представляю, что речь все-таки о смартфонах/ноутах и т.д., а всякие "глупые" устройства, даже если и должны выходить каждое через свой VPN (и сидеть на разных SSID), то все-таки всегда через один и тот же.
Так вот, отказаться в этой схеме от разных SSID вообще.
Всем "глупым" устройствам сделать привязки по мак-адресам и выводить их в сеть в зависимости от IP, а всем умным - выходить в мир через vpn до роутера: подключил один впн - вышел через одного провайдера, переключил на другой - вышел через другого.
При этом локалка будет ходить мимо впн и все сервисы в ней будут доступны.


Telegram: @thexvo
anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

Erik_U писал(а): 19 мар 2023, 12:14
anad писал(а): 19 мар 2023, 11:08 Попробую очень упросить зачем:
с роутера поднимается несколько тоннелей для простоты будем говорить что их два.
хочется чтобы
1. пользователь подключался к определенной SSID ( и в зависимости от этого "падал" в разные таблицы маршрутизации и соотв выходил через VPN или через провайдера).
2. пользователь мог, оставаясь подключенным к любой SSID управлять техникой подключенной к доманшей сети ( программы тупые и либо облаком, что дико лагает, либо IP адрес из этой же подсети пример такого устройства - телевизор Samsung 2020 года, но он не одинок. ).
Тут нет ответа на вопрос "Зачем на одном бридже?"
А как иначе обеспечить общую адресацию и видимость L2?


anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

xvo писал(а): 19 мар 2023, 12:22 В общем проблема понятна: если логичным образом порубить сеть на vlan'ы, решается вопрос с тем, через кого выходить в сеть в зависимости от ssid, но теряется возможность использовать broadcast'ные сервисы.
таки вполне можно без vlan два-три SSID на один vlan вполне допустимо. .. на сервере делается легко, но похоже я слишком много хочу от микротик. Такая схема делалась на кошке и Eltex точках.
Пойду биться об openwrt и 82 опцию


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Если это поможет:

https://wiki.mikrotik.com/wiki/Manual:I ... _Option_82

Как я понимаю, бридж умеет, DHCP-relay умеет, DHCP-сервер не умеет.
Самое забавное, что Agent Remote ID и Agent Circuit ID сервер видит, но вот по какой-то причине использование их для статической записи с указанием пула не реализовано.


Telegram: @thexvo
Ответить