CCR1009 Vlan filtering не работает

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
KNIggA
Сообщения: 7
Зарегистрирован: 26 апр 2019, 18:42

Всем доброго здравия!
Передо мной стоит не классическая для меня же задача.
 CCR1009-7G-1C
firmware-type: tilegx
factory-firmware: 3.33
current-firmware: 3.33
upgrade-firmware: 6.44.3
Есть тегированный траффик, приходит на ether1, количество Vlan-ов может периодически меняться.
IP адресация в Vlan-ах своя.
Например:
Vlan103 - 192.168.3.1
Vlan104 - 192.168.4.1
и т.д.
Есть бридж на ether4-ether7, с ip 10.1.1.10, смотрит во внутреннюю сеть, в которой емть сервер ip 10.1.1.2.
Нужно, что бы устройства из разных вланов друг друга не видели, но видели сервер, и соответственно, с сервера на них нужен доступ.
Задача простая для опытных, но мне как новичку не поддаётся.

Прописал бридж на ether1, добавил его в тегированные. Прописал NAT.
Устройства с сервера видны, они. соответственно, сервер тоже видят. Но и vlan друг друга тоже видят. Во всяком случае с устройства в одном Vlan успешно пингую ip интерфейса (шлюза) другого Vlan.
Как только включаю vlan_filtering=yes, коннект до устройств вообще пропадает.
В фаерволе все запрещающие правила отключены.

Подскажите, как это дело реализовать?


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

KNIggA писал(а): 26 апр 2019, 19:20 firmware-type: tilegx
factory-firmware: 3.33
current-firmware: 3.33
upgrade-firmware: 6.44.3
Вы это показали чтобы вам посоветовали обновится ?

Если нужна помощь покажите конфиг, а это п.5 ПФ !


Александр
KNIggA
Сообщения: 7
Зарегистрирован: 26 апр 2019, 18:42

  interface print
[admin@MikroTik] > interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE ACTUAL-MTU L2MTU MAX-L2MTU MAC-ADDRESS
0 combo1 ether 1500 1580 10222 6C:3B:6B:E4:37:DE
1 RS ether1-trunk ether 1500 1580 10222 6C:3B:6B:E4:37:DF
2 ether2 ether 1500 1580 10222 6C:3B:6B:E4:37:E0
3 ether3 ether 1500 1580 10222 6C:3B:6B:E4:37:E1
4 S ether4 ether 1500 1580 10222 6C:3B:6B:E4:37:E2
5 S ether5 ether 1500 1580 10222 6C:3B:6B:E4:37:E3
6 RS ether6 ether 1500 1580 10222 6C:3B:6B:E4:37:E4
7 S ether7 ether 1500 1580 10222 6C:3B:6B:E4:37:E5
8 R bridge1 bridge 1500 1580 6C:3B:6B:E4:37:E2
9 R bridge2-trunk bridge 1500 1580 6C:3B:6B:E4:37:DF
10 ovpn-in1 ovpn-in
11 R vlan161_test vlan 1500 1576 6C:3B:6B:E4:37:DF
12 R vlan257_frunze vlan 1500 1576 6C:3B:6B:E4:37:DF
 /interface bridge
[admin@MikroTik] /interface bridge> print
Flags: X - disabled, R - running
0 R name="bridge1" mtu=auto actual-mtu=1500 l2mtu=1580 arp=enabled arp-timeout=auto
mac-address=6C:3B:6B:E4:37:E2 protocol-mode=rstp fast-forward=no igmp-snooping=no
auto-mac=yes ageing-time=5m priority=0x8000 max-message-age=20s forward-delay=15s
transmit-hold-count=6 vlan-filtering=no dhcp-snooping=no
1 R name="bridge2-trunk" mtu=auto actual-mtu=1500 l2mtu=1580 arp=enabled arp-timeout=auto
mac-address=6C:3B:6B:E4:37:DF protocol-mode=rstp fast-forward=yes igmp-snooping=no
auto-mac=yes ageing-time=5m priority=0x8000 max-message-age=20s forward-delay=15s
transmit-hold-count=6 vlan-filtering=no dhcp-snooping=no
[admin@MikroTik] /interface bridge> vlan print
Flags: X - disabled, D - dynamic
# BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED
0 bridge2-trunk 161
257
 ip address
[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 10.0.0.171/24 10.0.0.0 combo1
1 10.1.1.254/24 10.1.1.0 bridge1
2 X 192.168.1.254/24 192.168.1.0 ether1-trunk
3 10.1.2.1/24 10.1.2.0 vlan161_test
4 10.1.4.1/24 10.1.4.0 vlan257_frunze
 ip firewall
[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept protocol=icmp log=no log-prefix=""

[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 X chain=srcnat action=masquerade
1 chain=srcnat action=masquerade src-address=10.1.2.144 out-interface=bridge1
2 chain=srcnat action=masquerade src-address=10.1.4.124 out-interface=bridge1
Зы. По поводу обновления, полагал, что 3.33-версия фирмы, а 6.44.3 версия софта и хотел дать исчерпывающую информацию. Если это критично для решения вопроса и нужно обновить, сделаю.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Нет желания помогать человеку который себя даже не утруждает обдумать прочитанное.


Александр
KNIggA
Сообщения: 7
Зарегистрирован: 26 апр 2019, 18:42

Нет желания помогать человеку который себя даже не утруждает обдумать прочитанное
Да, Вы правы.
 export
# aug/23/2018 12:54:38 by RouterOS 6.44.3
# software id = XCG4-JFBQ
#
# model = CCR1009-7G-1C
# serial number = xxxxxxxx
/interface bridge
add fast-forward=no name=bridge1-local
add name=bridge2-trunk
/interface ethernet
set [ find default-name=combo1 ] mac-address=6C:3B:6B:E4:37:DE
set [ find default-name=ether1 ] mac-address=6C:3B:6B:E4:37:DF name=ether1-trunk speed=100Mbps
set [ find default-name=ether2 ] mac-address=6C:3B:6B:E4:37:E0 speed=100Mbps
set [ find default-name=ether3 ] mac-address=6C:3B:6B:E4:37:E1 speed=100Mbps
set [ find default-name=ether4 ] mac-address=6C:3B:6B:E4:37:E2 speed=100Mbps
set [ find default-name=ether5 ] mac-address=6C:3B:6B:E4:37:E3 speed=100Mbps
set [ find default-name=ether6 ] mac-address=6C:3B:6B:E4:37:E4 speed=100Mbps
set [ find default-name=ether7 ] mac-address=6C:3B:6B:E4:37:E5 speed=100Mbps
/interface ovpn-server
add name=ovpn-in1 user=user1
/interface vlan
add interface=bridge2-trunk name=vlan161_test vlan-id=161
add interface=bridge2-trunk name=vlan257_frunze vlan-id=257
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=ovpn-pool ranges=10.100.100.100-10.100.100.199
/ppp profile
add local-address=10.100.100.1 name=gins-profile remote-address=ovpn-pool use-encryption=\
required
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/interface bridge port
add bridge=bridge1-local interface=ether4
add bridge=bridge1-local interface=ether5
add bridge=bridge1-local interface=ether6
add bridge=bridge1-local interface=ether7
add bridge=bridge2-trunk interface=ether1-trunk
/interface bridge vlan
add bridge=bridge2-trunk tagged=ether1-trunk vlan-ids=161,257
/interface ovpn-server server
set auth=sha1 certificate=bat-v.crt_0 cipher=aes256 default-profile=gins-profile \
enabled=yes port=65000 require-client-certificate=yes
/ip address
add address=10.1.1.254/24 interface=bridge1-local network=10.1.1.0
add address=10.1.2.1/24 interface=vlan161_test network=10.1.2.0
add address=10.1.4.1/24 interface=vlan257_frunze network=10.1.4.0
/ip firewall filter
add action=accept chain=input protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes
add action=masquerade chain=srcnat disabled=yes out-interface=bridge1-local src-address=\
10.1.2.144
add action=masquerade chain=srcnat disabled=yes out-interface=bridge1-local src-address=\
10.1.4.124
/ip route
add check-gateway=ping distance=1 gateway=10.1.1.1
add disabled=yes distance=1 gateway=10.0.0.1
/ip service
set telnet disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add name=user1 password=xxxxxxx profile=gins-profile service=ovpn
add name=user2 password=xxxxxxx profile=gins-profile remote-address=10.100.100.50 service=\
ovpn
add name=user3 password=xxxxxxx profile=gins-profile service=ovpn
/system clock
set time-zone-name=Asia/Novosibirsk
/system logging
add topics=ovpn

Изображение

Не знаю как перевернуть изображение, уж извините.


KNIggA
Сообщения: 7
Зарегистрирован: 26 апр 2019, 18:42

 /ip firewall address-list>

Flags: X - disabled, D - dynamic
# LIST ADDRESS
0 maki 10.1.2.0/24
1 maki 10.1.4.0/24
2 server 10.1.1.1
 /ip firewall filter>
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept protocol=icmp
log=no log-prefix=""

1 chain=forward action=accept
src-address-list=server
dst-address-list=maki

2 chain=forward action=accept
src-address-list=maki
dst-address-list=server

3 chain=forward action=drop
src-address-list=maki
dst-address-list=maki
Пинг с устройства 10.1.2.4 на шлюз 10.1.4.1 проходит
Не могу понять, что я делаю не так?

Понимаю, что пробелов в знаниях полно, стараюсь восполнить, но помощь более опытных товарищей не помешала бы.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

KNIggA писал(а): 29 апр 2019, 13:12 /interface bridge vlan
add bridge=bridge2-trunk tagged=ether1-trunk vlan-ids=161,257
Это лишнее.

Для доступа из сетей 10.1.2.0/24 и 10.1.4.0/24 в 10.1.1.2 достаточно правил:

/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward dst-address=10.1.1.2 src-address=10.1.2.0/24
add action=accept chain=forward dst-address=10.1.1.2 src-address=10.1.4.0/24
add action=drop chain=forward

Если не работает - проверяйте настройки хостов.


Александр
KNIggA
Сообщения: 7
Зарегистрирован: 26 апр 2019, 18:42

Всё работает, большое спасибо!
algerka писал(а): 30 апр 2019, 13:07
писал(а): /interface bridge vlan
add bridge=bridge2-trunk tagged=ether1-trunk vlan-ids=161,257
Это лишнее.
№1 Вопрос в целях ликбеза.
Я так понимаю, что эта настройка актуальна, в случае наличия в бридже "транкового" и "аксесс" портов?
И только в этом случае актуален Vlan_filtering?

№2 Ещё один момент.
С устройства находящегося в сети 10.1.2.0/24 продолжает успешно проходить пинг до шлюза 10.1.4.1.
Почему, ведь в правилах конкретно написано:
 /ip firewall
/ip firewall address-list
add address=10.1.2.0/24 list=maki
add address=10.1.4.0/24 list=maki
add address=10.1.1.1 list=server
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward dst-address-list=server \
src-address-list=maki
add action=accept chain=forward dst-address-list=maki \
src-address-list=server
add action=drop chain=forward
UPD. По вопросу №2 Cам торможу. Первым же правилом всё и разрешалось. :smu:sche_nie:

Вопрос №1 остаётся.


Ответить