Настройка VLAN

Обсуждение ПО и его настройки
Ответить
Dima_polis
Сообщения: 5
Зарегистрирован: 05 фев 2019, 13:34

12 фев 2019, 07:43

Доброго времени суток всем!
Опыта конфигурирования Mikrotik пока маловато, поэтому прошу помощи у опытных гуру.
На ether1 нетегированный аплинк от провайдера, на нём три IP. Все остальные порты в bridge1.
Надо чтоб нетегированным трафиком с бриджа всё натилось на первый провайдерский IP, а второй и третий IP пробросить в тот-же бридж в VLAN-10 и VLAN-20.
Поиском решения не нашёл. Подскажите, пожалуйста, или ткните носом в подобную задачу.


Dima_polis
Сообщения: 5
Зарегистрирован: 05 фев 2019, 13:34

13 фев 2019, 09:35

Уточняю задачу: два VLAN на бридж добавил. На ether1 прописал 3 провайдерских IP. NAT настроил. Всё работает, но через один провайдерский IP. Как сделать чтоб с VLAN-10 трафик шёл через второй адрес, а с VLAN-20 через третий?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 1961
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

13 фев 2019, 10:29

Dima_polis писал(а):
13 фев 2019, 09:35
Уточняю задачу: два VLAN на бридж добавил. На ether1 прописал 3 провайдерских IP. NAT настроил. Всё работает, но через один провайдерский IP. Как сделать чтоб с VLAN-10 трафик шёл через второй адрес, а с VLAN-20 через третий?
Уточнили, но плохо.
1) у Виланов 20 и 10 = сети есть? Мы же о маршрутизации говорим?
2) если есть виланы, то сети разные точно (ну всяком случаи должны быть)
3) На вилан-интерфейсах адресация стоит (IP я имею ввиду) ?

Ну и хотелось бы деталей, бридж , что за бридж? Какие порты, какие адреса?
Маленькую схемку, от руки и скриншот бы....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Dima_polis
Сообщения: 5
Зарегистрирован: 05 фев 2019, 13:34

13 фев 2019, 11:23

1) Сети есть: на бридже нетегированная 192.168.0.0/24, на этом же бридже VLAN-10 - 192.168.2.0/24 и VLAN-20 - 192.168.3.0/24
2) ether1 - аплинк к провайдеру, все остальные порты в бридже. В sfp1 воткнут гибридный порт коммутатора SNR с теми-же виланами, который отправляет тегированный трафик на выбранные на нём порты.
3) Соответственно адреса на сетях 192.168.0.10 - для нетегированного, VLAN-10 - 192.168.2.10 и VLAN-20 - 192.168.3.10
на ether1 прописано три адреса от провайдера: условно 1.1.1.2, 1.1.1.3, 1.1.1.4 и общий шлюз 1.1.1.1
сейчас весь трафик (и нетегированный и с обоих виланов) идёт через 1.1.1.2, а хочу чтоб с VLAN-10 шёл через 1.1.1.3, а с VLAN-20 через 1.1.1.4


KARaS'b
Сообщения: 948
Зарегистрирован: 29 сен 2011, 09:16

13 фев 2019, 11:48

Если я правильно все понял, то всеми своими замысловатыми словами топикстартер хотел сказать, что за его микротом есть 3 сети и каждую из них он хочет выпускать в мир со своего адреса и для всех трех сетей микрот является шлюзом. Если это действительно так, если при этом шлюз для всех 3х адресов один и тот же, то никаких вланов прокидываний и прочих сложностей не нужно. Достаточно повесить эти адреса на внеш. интерфейс микротика и написать три отдельных правила маскарада, где будет указано что сеть такая-то выходит с адреса такого-то и будет все так, как хочет топикстартер.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 1961
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

13 фев 2019, 12:01

Дополню:

а) если виланы уже есть, уже работают, и они нужны = то пусть будут
б) если внешние адреса работают через один шлюз, то это вообще просто и даже очень хорошо.
в) так как микротик и виланы-на-микротике(интерфейсы) имеет адресацию, то задача простая,
странно что Вы не сделали.

Вы должны создать как правильно сказали - 3 разных правила маскарада, но правила должны быть
точными, так как интерфейс у Вас один, а нам надо разделять и властвовать, Вы должны
в каждом правиле описывать:
а) что если пришла сеть А, то выпускать её явно через 1.1.1.1 и интерфейс eher1 (то есть Вам надо SRC-NAT использовать)
б) если пришла сеть Б , то выпускать от адреса 2.2.2.2 и через ether1
в) ну и так далее...
то есть в каждом правиле будет два значения которые меняются, это кого выпускать и через что (адрес внешний).

Где-то такая тема с полгода назад пробегала, там человек делал на маркировках, я показывал пример,
что в рамках одной сети и с одним шлюзом, можно всё проще, ставится второй, третий адрес на роутере (как у Вас),
и уже руками комбинируем, или потом, можно сделать через адрес-листы, и уже гибче
направлять тот или иной отдельный комп в тот или иной внешний адрес.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Dima_polis
Сообщения: 5
Зарегистрирован: 05 фев 2019, 13:34

13 фев 2019, 12:22

Всё, спасибо, разобрался!!!
Action: src-nat
To Addresses: 1.1.1.3
Последний раз редактировалось Dima_polis 13 фев 2019, 12:40, всего редактировалось 1 раз.


KARaS'b
Сообщения: 948
Зарегистрирован: 29 сен 2011, 09:16

13 фев 2019, 12:39

Ну хотя бы чуть-чуть погуглили, для вида хотя бы...
Оф. вики:
Source nat to specific address
If you have multiple public IP addresses, source nat can be changed to specific IP, for example, one local subnet can be hidden behind first IP and second local subnet is masqueraded behind second IP.

/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 action=src-nat to-addresses=1.1.1.1 out-interface=Public
add chain=srcnat src-address=192.168.2.0/24 action=src-nat to-addresses=1.1.1.2 out-interface=Public


Ответить