Подать Интернет в VLAN

Выкладываем здесь готовые конфигурации под определенные типовые задачи
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Akina писал(а): 23 июл 2018, 12:54 Конфигурация Микротика сброшена "в ноль". На нём я выполняю следующее:
Ноль, это когда нету заводской конфигурации, а когда я вижу такое параметр(комментарий)
comment=defconf
То значит Вы НЕ очистили роутер. Также, там при заводской конфигурации может срабатывать файрвол.

Роутер должен быть чистым, без заводской конфигурации, не настраиваем с помощью QuickSetup,
не трогаем Веб-морду роутера, и работаем только руками,мышкой и по винбоксу.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Akina
Сообщения: 33
Зарегистрирован: 13 июл 2018, 07:46
Откуда: Зеленоград, Москва, Россия
Контактная информация:

Ну... это было очередное "почувствуйте себя идиотом".

Итого - очистка конфигурации (с No Default configuration), перезагрузка, загрузка в роутер команд

Код: Выделить всё

/interface vlan
add interface=ether4 name=vlan100 use-service-tag=no vlan-id=100
add interface=ether4 name=vlan200 use-service-tag=no vlan-id=200

/interface list
add name=WAN
add name=LAN

/ip pool
add name=dhcp_pool_VLAN100 ranges=172.31.255.251-172.31.255.254
add name=dhcp_pool_VLAN200 ranges=172.31.255.243-172.31.255.246

/ip dhcp-server
add address-pool=dhcp_pool_VLAN100 disabled=no interface=vlan100 name=dhcp_VLAN100
add address-pool=dhcp_pool_VLAN200 disabled=no interface=vlan200 name=dhcp_VLAN200

/interface list member
add interface=ether1 list=WAN
add interface=vlan100 list=LAN
add interface=vlan200 list=LAN

/ip address
add address=172.31.255.249/29 comment=defconf interface=vlan100 network=172.31.255.248
add address=172.31.255.241/29 comment=defconf interface=vlan200 network=172.31.255.240

/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1

/ip dhcp-server network
add address=172.31.255.240/29 gateway=172.31.255.241 netmask=29
add address=172.31.255.248/29 gateway=172.31.255.249 netmask=29

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN

# Существует после очистки конфигурации

#/interface wireless security-profiles
#set [ find default=yes ] supplicant-identity=MikroTik

#/system routerboard settings
#set silent-boot=no

/
и - о чудо! - всё работает как и хотелось.

Наипрегоромнеейшее спасибо! и за помощь, и за терпение.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Akina писал(а): 23 июл 2018, 13:09 Ну... это было очередное "почувствуйте себя идиотом".
1. я такова не говорил, не писал...давайте по тексту темы и задачи!
2. я не вижу конфига свитча, точно PVID выставили правильно на ан-таг портах? А на транковом порту?
3. я не вижу/не знаю - пингуте Вы с компа (если руками поставить айпи) и пропинговать адрес вилана?
4. не вижу результата после снятия галочки в настройке вилана
5. на ноутбуке файрволл отключён?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Akina писал(а): 23 июл 2018, 13:09 и - о чудо! - всё работает как и хотелось.
Наипрегоромнеейшее спасибо! и за помощь, и за терпение.
УРА! :ya_hoo_oo: :sh_ok:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Akina
Сообщения: 33
Зарегистрирован: 13 июл 2018, 07:46
Откуда: Зеленоград, Москва, Россия
Контактная информация:

Не нашёл в правилах Форума запрета на "два вопроса в одной теме", потому не буду создавать новой темы.

Чувствую, что следующая задача, которую мне выкатят, будет звучать приблизительно так: "Ограничь им скорость, а то забьют весь канал нафиг"... а потому поинтересуюсь заранее.

Есть ли возможность в только что построенной простейшей модели ввести ограничение максимального трафика для каждого из VLAN? не, никакой балансировки и прочих заморочек - вот просто ограничить, и всё.

Как я понял, за шейпинг тут отвечают очереди (во всяком случае то, что я вижу в меню Queues, больше всего похоже на шейпинг).

Выполнит ли требуемую задачу

Код: Выделить всё

/queue simple
add max-limit=10M/10M name=queue_VLAN100 target=vlan100
add max-limit=10M/10M name=queue_VLAN200 target=vlan200
?

Чисто внешне - это оно. Во всяком случае когда через установленный канал идёт трансфер "пухлого" файла - то видно, как эти правила ограничивают скорость обмена.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Тема лимитов слишком разношёрстная, поэтому думаю тут масса вариантов.
Я лишь от себя дополню: я люблю ограничивать по IP адресам компы, мне так
проще, надёжнее. Думаю и в Вашем случаи,поставить лимит на подсеть вилана проще.

Тут только на практике посмотрите что да как, и да, когда Вы лимитируете по интерфейсу,
это как бы основательно, а когда по IP - можно ограничивать или всю сразу сеть,
или наоборот, поставить лимит для 1-2х айпи, остальные спокойно работают.
Так что по IP лимитирование (как я написал выше) - оно гибче.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Akina
Сообщения: 33
Зарегистрирован: 13 июл 2018, 07:46
Откуда: Зеленоград, Москва, Россия
Контактная информация:

Vlad-2 писал(а): 24 июл 2018, 02:49по IP лимитирование (как я написал выше) - оно гибче.
Это - изучим, освоим. Времени пока нехватает, приходится читать по остаточному принципу, а пробовать вообще придётся на роутере с ОС 4 уровня, потому как CCR практически вот-вот уйдёт в бой, и на нём не поэкспериментируешь.

Впрочем, очередную "хотелку" я не угадал... она, оказывается, вот какая - исключить доступ из одного вилана в другой. Поразмышляв (хотя что тут думать, это firewall без вариантов) и покопавшись в возможностях, решил, что самое простое в данном случае решение, которое к тому же не придётся донастраивать (если, вернее, когда, затребуют третий вилан в этом супе - опять же чую) - это добавление одного правила, которое запрещает роутинг из вилана в вилан, то есть

Код: Выделить всё

/ip firewall filter
add action=drop chain=forward in-interface=all-vlan out-interface=all-vlan
На хождение трафика из вилана в Инет и обратно это никак не влияет.
Я понимаю, что и это "негибко и слишком дубово" - опять же более широко в будущем освоится.

Но возник у меня побочный вопрос - верно ли я понимаю, что это правило НЕ блокирует трафик внутри одного вилана, даже если он идёт через разные порты, и даже если с тегованного порта на нетегованный?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Akina писал(а): 24 июл 2018, 07:59 Но возник у меня побочный вопрос - верно ли я понимаю, что это правило НЕ блокирует трафик внутри одного вилана, даже если он идёт через разные порты, и даже если с тегованного порта на нетегованный?
Вот опять Вы скажете что-то плохое, хотя у Вас очень смешанные
и неполные знания про вилан(ы), и по IP-сетям.

1) вилан - условно говоря конечно, но для Вас это почти физика, если у нас 2-3 вилана,
это почти три разные физики, виланы работают на более низком уровне модели OSI/ISO,
и роутер(ы) не могут виланы как-то ограждать (в обычном случаи).
Теперь аллегория: жена будучи на кухни никак не может помешать мужикам в зале общаться,
они там, она там.

2) Такое же правило и по сетям примерно действует, если берём сеть, 192.168.5.0/24,
и в ней есть три узла, роутер 5.1, и два компьютера, 5.10 и 5.20. В рамках одной сети,
при внутреннем взаимодействии, компьютер 5.10 и 5.20 будут напрямую
общаться (НЕ ЧЕРЕЗ) роутер, а значит блокировать/ограничивать трафик компьютеров
через роутер (именно внутренний) - не получиться, ибо его там нету!

!)Поэтому сами виланы = уже разделение сетей (на канальном уровне).
!)Роутер их (на уровне виланов) не смешивает (там у каждого свой тег(индентификатор).
!)На уровне IP-адресации(маршрутизации) - да, он делает их доступны между собой (по-умолчанию),
и вот тут и нужен файрвол, правила, и закрывайте на роутере (роутер занимается маршрутизаций,
это уже L3-уровень) вот на роутере и закрывайте IP-сеть одного вилана(ов) от IP-сети другого(их) вилана(ов).
А не пытайтесь закрыть виланы между собой....на уровне коммутации(коммутация делается в свитчах) на/в роутере! :sh_ok:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить