Подать Интернет в VLAN

Выкладываем здесь готовые конфигурации под определенные типовые задачи
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

В целом да, но:

1) зачем Вы в настройках вилана включили эту опцию (выделил жирным):
add interface=ether4 name=vlan100 use-service-tag=yes vlan-id=100
add interface=ether4 name=vlan200 use-service-tag=yes vlan-id=200

2) Ну и слегка немного не понимаю, зачем Вы на чистом роутере запускаете QuickSetup?
Он глючен. Не проще сделать основное в ручном режиме и правильно? :
а) добавить порт1 на получение автоматом адресации
б) создать руками бридж, дать бриджу адресацию 88.1/24 и уже на бридже поднимать
сеть 88.0/24 + DHCP

3) И то что пока я не увидел, а я писал - Вы должны разрешить НАТ сетям всем,
которым надо доступ в Интернет (и та что 88 и 248 и 249 и 240, в кол-ве я уже Ваших сетей запутался).

И проверьте, Вы с сетями не намудрили? А то адресация задаётся одна, в DHCP
другая....не ошиблись?? (я лишь предполагаю, я же полной адресации всей Вашей
не знаю).
Ниже то что меня смущает в Ваших данных:

Код: Выделить всё

/ip address
# Add addresses to interfaces
add address=172.31.255.249/29 comment=defconf interface=vlan100 network=172.31.255.248
add address=172.31.255.241/29 comment=defconf interface=vlan200 network=172.31.255.240

/ip dhcp-server network
# Add DHCP server networks properties
add address=172.31.255.248/29 gateway=172.31.255.249 netmask=29
add address=172.31.255.240/29 gateway=172.31.255.241 netmask=29



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Akina
Сообщения: 33
Зарегистрирован: 13 июл 2018, 07:46
Откуда: Зеленоград, Москва, Россия
Контактная информация:

Vlad-2 писал(а): 20 июл 2018, 11:48 зачем Вы в настройках вилана включили эту опцию (выделил жирным):
add interface=ether4 name=vlan100 use-service-tag=yes vlan-id=100
add interface=ether4 name=vlan200 use-service-tag=yes vlan-id=200
Как я указываю на схеме, мне надо подать Инет в тегованные VLANы. Т.е. от Микротика с порта 4 до удалённого коммутатора в одном кабеле должны пойти 2 разных тегованных VLAN, которые на нём будут разделены и переданы в разные сегменты.
Vlad-2 писал(а): 20 июл 2018, 11:483) И то что пока я не увидел, а я писал - Вы должны разрешить НАТ сетям всем,
которым надо доступ в Интернет
Если я не ошибаюсь, то

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
включает NAT на внешнем интерфейсе (точнее, включает для группы WAN, но в соответствии с add interface=ether1 list=WAN внешний интерфейс есть единственный член этой группы)... и даже вроде как в config2 этого оказывается достаточно без дополнительных разрешений для 192,168,88,0/24... а в какой секции, какой командой, для некоей конкретной сети разрешается NAT?
Vlad-2 писал(а): 20 июл 2018, 11:48(и та что 88 и 248 и 249 и 240, в кол-ве я уже Ваших сетей запутался).
192,168,88,0/24 - это сеть, сформированная в дефолтной конфигурации роутера. Я её не трогаю.
172,31,255,248/29 - это сеть, сформированная для VLAN100, 172,31,255,240/29 - соответственно для VLAN200. Соответственно 249 и 241 адреса расходуются на внутренние адреса роутера, а 250 и 242, как я понял, на DHCP-серверы (вот этот момент мне, кстати, неясен на дефолтной сети - там внутренний адрес 88.1, а при быстрой настройке выдаваемый скоп начинается с 88.3 - адрес 88.2 на что-то нужен, или это просто косяк quick set?).
Vlad-2 писал(а): 20 июл 2018, 11:48адресация задаётся одна, в DHCP
другая....не ошиблись??
Ммм... где разница?
Скажем, для VLAN100 я

1) регистрирую подсеть
add address=172.31.255.248/29 gateway=172.31.255.249 netmask=29
2) добавляю адрес из этой подсети на интерфейс (в соответствии с п. 1 он будет дефолтным шлюзом в этой подсети)
add address=172.31.255.249/29 comment=defconf interface=vlan100 network=172.31.255.248
3) добавляю пул адресов (диапазон полностью внутри этой подсети, по адресам пересечений нет)
add name=dhcp_pool_VLAN100 ranges=172.31.255.251-172.31.255.254

Вроде всё друг другу соответствует... или я неверно понимаю, в каком смысле тут употреблено слово "адресация"?
Vlad-2 писал(а): 20 июл 2018, 11:48 Ниже то что меня смущает в Ваших данных:

Код: Выделить всё

/ip address
# Add addresses to interfaces
add address=172.31.255.249/29 comment=defconf interface=vlan100 network=172.31.255.248
add address=172.31.255.241/29 comment=defconf interface=vlan200 network=172.31.255.240

/ip dhcp-server network
# Add DHCP server networks properties
add address=172.31.255.248/29 gateway=172.31.255.249 netmask=29
add address=172.31.255.240/29 gateway=172.31.255.241 netmask=29
А что именно смущает в этих строках?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Akina писал(а): 20 июл 2018, 14:04 Если я не ошибаюсь, то

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
Не увидел эту строчку сразу.
Да, она даёт НАТ всем локальным адресам. И мне такая настройка не нравиться,
я обычно явно и чётко разрешаю тем или иным сетям в Интернет выходить.
Если надо заблокировать, то достаточно ту сеть просто изъять из списков
разрешённых.
Так что такое правило пойдёт и будет работать как надо.

Akina писал(а): 20 июл 2018, 14:04 А что именно смущает в этих строках?
Я ранее Ваши сети и маски не видел, люди часто ошибаются, Вы сейчас объяснили,
мне стало понятно...Две сети, по /29 маске. Всё вроде нормально.

(вопрос чисто риторический(можно не отвечать): разве 6 адресов стоят того, чтобы для них делать
вилан + DHCP) :-)

Каков итог после всех советов ?
В Интернет то вышли у Вас компьютеры?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Akina
Сообщения: 33
Зарегистрирован: 13 июл 2018, 07:46
Откуда: Зеленоград, Москва, Россия
Контактная информация:

Vlad-2 писал(а): 20 июл 2018, 14:31 Каков итог после всех советов ?
В Интернет то вышли у Вас компьютеры?
Нет. И, похоже, я понимаю причину. Она в том, что в текущей конфигурации нет той точки, где с VLAN удаляется тег. Как итог, к внутреннему "мосту" вилан также подключен как тегованный - само собой ни получения адреса, ни обмена трафиком через него нет.

В общем, похоже, без бриджа не обойтись... сейчас буду смотреть, как создать мост и как подключить к нему виланы нетегованным концом. Буду благодарен, если Вы мне подскажете, как это сделать, это сэкономит немного времени.

Также буду благодарен, если Вы всё же ответите на вопрос относительно того, где именно и как именно выполняется разрешение/запрещение NAT-ить те или иные (под)сети.
 offtop
Vlad-2 писал(а): 20 июл 2018, 14:31 (вопрос чисто риторический(можно не отвечать): разве 6 адресов стоят того, чтобы для них делать
вилан + DHCP) :-)
А у меня выбора нет. "Надо". Вот провод, из него Интернет. Вот другой провод, в него надо передать этот интернет в два тегованных вилана. Вот роутер, который должен это сделать. Делай.
Делаю...


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Akina писал(а): 23 июл 2018, 08:58 Нет. И, похоже, я понимаю причину. Она в том, что в текущей конфигурации нет той точки, где с VLAN удаляется тег. Как итог, к внутреннему "мосту" вилан также подключен как тегованный - само собой ни получения адреса, ни обмена трафиком через него нет.
В общем, похоже, без бриджа не обойтись... сейчас буду смотреть, как создать мост и как подключить к нему виланы нетегованным концом. Буду благодарен, если Вы мне подскажете, как это сделать, это сэкономит немного времени.
Вы усложняете задачу, я в своё время тоже сам с виланами + микротик = входил в ступор. На
самом деле, всё проще и надо просто понять сущность:
1. вилан = это обычный интерфейс, который может.
2. если Вы вилан повесили на 4й порт, всё, на 4й порт можно подавать тегированный трафик
с нужным id вилана, и микротик этот трафик на канальном уровне увидит.
3. есть вилан-интерфейс, есть трафик, хотим чтобы микротик уже как умное устройство было
внутри этого трафика, даём вилану айпишник и вуаля...всё..микротик уже там(в той IP-сети).
Явно растегировать/тегировать для самого микротика не нужно, тут всё просто,
как свитч обычный понимает где у него какой порт привязан к какому вилану,
также и роутер понимает, где у него какая сеть доступна и на каком порту.

===>
Поэтому прочитайте выше что я написал, потом вызываем в меню Tools - утилиту Torch,
в ней выбираем все крыжики, выбираем в ней порт4 и нажимает старт.
Если Вам приходит тегированный трафик на этот порт, в утилите почти в онлайн-режиме
Вы увидите и трафик(и), и номера вилана(ов).
Akina писал(а): 23 июл 2018, 08:58 Также буду благодарен, если Вы всё же ответите на вопрос относительно того, где именно и как именно выполняется разрешение/запрещение NAT-ить те или иные (под)сети.
а) Разрешаем НАТ
1. Идём в Firewall - AddressList, на этой закладке создаёте адрес-лист и туда прописываете сеть всю Вашу
2. Идём в Firewall - NAT, создаёте правило SRC-NAT, и при создания правила, во второй закладке "Advanced",
Вы выбираете напротив поля Src.Address List - созданный адрес-лист в первом пункте.
Тем самым Вы разрешили НАТ только списку, то есть только своей сети.

б) Запрещаем НАТ
Почти тоже самое, создаёте список "плохих" адресов (IP) локальных своих пользователей,
создаёте ещё одно правило нат, но в закладке "Action", Вы делаете значение - accept,
и конечно также в закладке "Advanced" в поле Src.Address List подставляете адрес-лист
с названием, который ассоциируется с запретом НАТа.
И это правило должно быть первым после НАТа разрешающего.

Итог:
1) то есть отдельному адресу или несколько запретили,
2) потом (остальных) всех (всю сеть) пустили.

Давайте решайте уже задачу, она очень простая, старайтесь подходить инженерно,
анализировать, проверять, что видно/не видно. А запреты, тюнинг = это потом и с опытом.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Akina
Сообщения: 33
Зарегистрирован: 13 июл 2018, 07:46
Откуда: Зеленоград, Москва, Россия
Контактная информация:

Vlad-2 писал(а): 23 июл 2018, 10:53 Поэтому прочитайте выше что я написал, потом вызываем в меню Tools - утилиту Torch,
в ней выбираем все крыжики, выбираем в ней порт4 и нажимает старт.
Если Вам приходит тегированный трафик на этот порт, в утилите почти в онлайн-режиме
Вы увидите и трафик(и), и номера вилана(ов).
Я собрал минимальный стенд.

На порт 1 роутера подключен кабель, по которому приходит интернет (сейчас я его подаю через длинковский рутер-мыльницу). Я вижу, что интерфейс получает IP-адрес, и роутер, используя Tools-Ping, Tools-Traceroute и даже Tools-Telnet, нормально получает доступ как к внутренним, так и ко внешним адресам. С этой частью проблем нет.

Порт 4 роутера я соединяю с коммутатором D-Link DGS-1210-10P, порт 6, на котором сформированы 2 тегованных VLAN с VID 100 и 200. Порты 7 и 8 длинка - это нетегованные соответственно VID 100 и 200. К порту 7 я подключаю ноут. Я расчитываю, что ноут (у которого сетевая карта настроена на получение адреса по DHCP) подключится к роутеру и получит от него адрес. Увы... надежды не оправдываются. Утилита Torch, при включенном мониторинге интерфейса vlan100, показывает изредка проскакивающие UDP-пакеты по 800-му протоколу
1.png
(16.76 КБ) 0 скачиваний
На интерфейсе Ether4 записей поболе
2.png
(10.57 КБ) 0 скачиваний
Как я понимаю, ноут не получает ответа от DHCP-сервера. А вот "чего в этом супе нехватает" - не понимаю.

PS. Наткнулся на следующую Вашу фразу в другой теме:
Vlad-2 писал(а): 28 июн 2017, 12:58 Совет:

Хорошим тоном и из бест-практикс - DHCP лучше делать на бридже(ах), чтобы интерфейс был всегда в UP'е и МАК адрес не менялся + другие плюсы (можно любой порт/интерфейс в нужный бридж/сеть добавить)...
====> что IP-адреса Вам надо перенести с вилан-интерфейсов на бриджи, а в эти бриджи засунуть вилан-интерфейсы (каждый вилан в свой бридж разумеется).
Понимаю, что она написана по настройке несколько иного типа оборудования - в моём случае она "не стреляет"?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Akina писал(а): 23 июл 2018, 12:16 Порт 4 роутера я соединяю с коммутатором D-Link DGS-1210-10P, порт 6, на котором сформированы 2 тегованных VLAN с VID 100 и 200. Порты 7 и 8 длинка - это нетегованные соответственно VID 100 и 200. К порту 7 я подключаю ноут. Я расчитываю, что ноут (у которого сетевая карта настроена на получение адреса по DHCP) подключится к роутеру и получит от него адрес. Увы... надежды не оправдываются. Утилита Torch, при включенном мониторинге интерфейса vlan100, показывает изредка проскакивающие UDP-пакеты по 800-му протоколу
Как я понимаю, ноут не получает ответа от DHCP-сервера. А вот "чего в этом супе нехватает" - не понимаю.
Так сделайте чтобы DHCP видел логическую сеть или проще скажем - чтобы комп увидел "свой" DHCP.

В настройках DHCP надо:
а) указать в качестве интерфейса для работы - это Ваш вилан (100й) который Вы создали
б) так как DHCP раздаёт адресацию, значит на вилане(100) надо поставить адрес (иначе DHCP сервер будет красным светится)
в) ну и уже явно проговорюсь - сам DHCP надо настроить (пул, раздачу, диапазон, срок аренды)
г) на компе явно установить получение адреса автоматом, остановить(выключить) сетевуху и заново включить.

Всё!! также сделать и для другого вилана и соответственно для второго DHCP и с другой уже адресацией.
Что вилан, что бридж = я выше писал, это интерфейс, работайте с ними также.
Я Вам теорию уже даю-даю, а Вы не хотите конфигурировать.

Akina писал(а): 23 июл 2018, 12:16 Понимаю, что она написана по настройке несколько иного типа оборудования - в моём случае она "не стреляет"?
Сначала так давай-те запустите, а уже тонкости, красивости потом.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Лишь в качестве примера (давно делал - ВиФи сеть запускал).
Суть - показываю как виланы, бриджи и DHCP и (всё это по 3 штуки) работают вместе!
Лишь как пример!

Изображение



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Akina
Сообщения: 33
Зарегистрирован: 13 июл 2018, 07:46
Откуда: Зеленоград, Москва, Россия
Контактная информация:

Ок, упрощаю для себя задачу до следующей - подключить к Микротику внешний коммутатор по тегованному вилану и получить на ноут адрес с DHCP Микротика.

Схема подключения: к порту ether4 Микротика подключается коммутатор Dlink, порт 6, на котором настроен VLAN 100 tagged, порт 7 длинка - VLAN 100 untagged, к нему подключен ноут, настроенный на получение адреса по DHCP.

Конфигурация Микротика сброшена "в ноль". На нём я выполняю следующее:

Код: Выделить всё

# Создание VLAN100 на порте ether4, tagged
/interface vlan
add interface=ether4 name=vlan100 use-service-tag=yes vlan-id=100

# Создание подсети на DHCP-сервере
/ip dhcp-server network
add address=172.31.255.248/29 gateway=172.31.255.249 netmask=29

# Создание пула адресов для раздачи в VLAN100
/ip pool
add name=dhcp_pool_VLAN100 ranges=172.31.255.251-172.31.255.254

# Создание экземпляра DHCP-сервера. раздающего этот пул в этот VLAN
/ip dhcp-server
add address-pool=dhcp_pool_VLAN100 disabled=no interface=vlan100 name=dhcp_VLAN100

# Создание IP-адреса в этом пуле для использования самим роутером
/ip address
add address=172.31.255.249/29 comment=defconf interface=vlan100 network=172.31.255.248

/
Увы, ноут адрес не получает... :( подскажите, чего нехватает в такой простейшей модели?

Add Если на ноуте установить статический адрес 172.31.255.250/29 и пробовать достучаться до адреса роутера - не получается. Причём утилита Torch не показывает поступления ICMP-пакетов на интерфейс ether4... В связи с этим вопрос - а правильно ли настроен интерфейс VLAN100? действительно ли при показанной настройке на порте ether4 формируется tagged VLAN VID=100?
Последний раз редактировалось Akina 23 июл 2018, 13:07, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Akina писал(а): 23 июл 2018, 12:54 add interface=ether4 name=vlan100 use-service-tag=yes vlan-id=100
НЕ надо ставить этот параметр!!!!!
Два раза уже сказал!!!!!!!!!!!!!!!!!!
use-service-tag=NO

Изображение



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить