Изоляция vlan. Не пойму как сделать изоляцию шлюзов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Tarion
Сообщения: 12
Зарегистрирован: 23 янв 2020, 16:59

Erik_U писал(а): 28 янв 2020, 13:21
Tarion писал(а): 28 янв 2020, 12:39
то есть если машине с адресом 10.0.102.24 указать шлюз 10.0.103.254, то у нее будет доступ в интернет.
У вас с маской на машине не напутано?
нет, везде /24 (255.255.255.0)


Вернуться к началу
Tarion
Сообщения: 12
Зарегистрирован: 23 янв 2020, 16:59

KARaS'b писал(а): 28 янв 2020, 13:38
Tarion писал(а): 28 янв 2020, 12:30 но если руками прописать на машине с адресом например 10.0.102.24 шлюз 10.0.103.254 то все прекрасно работает и машина ходит в инет через чужой шлюз. А мне так не надо!
Это не возможно, если на клиентах стоит правильная маска, т.к. данный адрес попросту не перекрывается маской и не может быть доступен априори, при обращении к такому шлюза на ваших клиентских устройствах как минимум еще должен присутствовать маршрут до этого самого 10.0.103.254. На клиентах маска точно 24, а не 8, как вы местами указываете, или любая другая. больше 24?
точно
Изображение


Изображение

больше того, если заменить микротик старенькой циской с подобными настройками только на цисковский лад, не внося никаких изменений на клиентах, то там пинга нет.
Последний раз редактировалось Tarion 28 янв 2020, 14:52, всего редактировалось 1 раз.


Вернуться к началу
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Tarion писал(а): 28 янв 2020, 14:39 нет, везде /24 (255.255.255.0)
И вы при этом меняете только шлюз, ваши клиентские устройства при смене не ругаются что шлюз не подпадает под маску и у вас начинает отвечать другой шлюз?


Вернуться к началу
Tarion
Сообщения: 12
Зарегистрирован: 23 янв 2020, 16:59

KARaS'b писал(а): 28 янв 2020, 14:50
Tarion писал(а): 28 янв 2020, 14:39 нет, везде /24 (255.255.255.0)
И вы при этом меняете только шлюp, ваши клиентские устройства при смене не ругаются что шлюз не подпадает под маску и у вас начинает отвечать другой шлюз?
Предупреждает что шлюз находится не в том сегменте подсети. и да, после подтверждения другой шлюз начинает отвечать


Вернуться к началу
Tarion
Сообщения: 12
Зарегистрирован: 23 янв 2020, 16:59

НАШЕЛ.

внезапно включенный резервный роутер. при указании другого шлюза маршрут шел через него. тьфу.
Последний раз редактировалось Tarion 28 янв 2020, 15:00, всего редактировалось 1 раз.


Вернуться к началу
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Tarion писал(а): 28 янв 2020, 14:55 Предупреждает что шлюз находится не в том сегменте подсети. и да, после подтверждения другой шлюз начинает отвечать
А будьте так добры, сделайте трасировку при таком страшном раскладе и route print с клиента с такими настройками.


Вернуться к началу
Tarion
Сообщения: 12
Зарегистрирован: 23 янв 2020, 16:59

KARaS'b писал(а): 28 янв 2020, 14:59
Tarion писал(а): 28 янв 2020, 14:55 Предупреждает что шлюз находится не в том сегменте подсети. и да, после подтверждения другой шлюз начинает отвечать
А будьте так добры, сделайте трасировку при таком страшном раскладе и route print с клиента с такими настройками.
Именно это и сделал. далко что тут нету FacePALM, но именно это оно и было.

Ребят, Спасибо всем за помощь. Реально тупая ситуация. Сенсации не вышло :)


Вернуться к началу
alert
Сообщения: 1
Зарегистрирован: 19 фев 2022, 15:18

Tarion писал(а): 28 янв 2020, 15:01
KARaS'b писал(а): 28 янв 2020, 14:59
Tarion писал(а): 28 янв 2020, 14:55 Предупреждает что шлюз находится не в том сегменте подсети. и да, после подтверждения другой шлюз начинает отвечать
А будьте так добры, сделайте трасировку при таком страшном раскладе и route print с клиента с такими настройками.
Именно это и сделал. далко что тут нету FacePALM, но именно это оно и было.

Ребят, Спасибо всем за помощь. Реально тупая ситуация. Сенсации не вышло :)
Чем закончилось-то?
На какой конфигурации остановились?


Вернуться к началу
yreks
Сообщения: 47
Зарегистрирован: 07 авг 2013, 09:42

Привет всем! У меня на базовой станции установлен в качестве коммутатора Рое роутер RB960PGS. Интернет приходит по vlan 15 на порт 5. Vlan 99 - в качестве менеджера.Чтоб не нагружать процессор настроил коммутацию с помощью свичевой микросхемы QCA 8337. Все заработало нормально. Порт 5 - транковый , порты аксесс - 2,3,4. Но как изолировать между собой локальные порты 2,3,4 . Прошивка 6.47.10. Вот конфигурация...

[code /interface bridge add name=bridge1 protocol-mode=none
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=ether3
/interface bridge port add bridge=bridge1 interface=ether1
/interface bridge port add bridge=bridge1 interface=ether4
/interface bridge port add bridge=bridge1 interface=ether5
/interface bridge settings set allow-fast-path=no

/interface vlan add interface=bridge1 name=MGMT_vlan99 vlan-id=99

/interface ethernet switch port set 0 default-vlan-id=15 vlan-header=always-strip vlan-mode=secure
/interface ethernet switch port set 1 default-vlan-id=15 vlan-header=always-strip vlan-mode=secure
/interface ethernet switch port set 2 default-vlan-id=15 vlan-header=always-strip vlan-mode=secure
/interface ethernet switch port set 3 default-vlan-id=15 vlan-header=always-strip vlan-mode=secure
/interface ethernet switch port set 4 vlan-header=add-if-missing vlan-mode=secure
/interface ethernet switch port set 5 vlan-mode=secure

/interface ethernet switch vlan add independent-learning=no ports=ether5,switch1-cpu,ether2,ether3,ether4,ether1 switch=switch1 vlan-id=15
/interface ethernet switch vlan add independent-learning=no ports=ether5,switch1-cpu switch=switch1 vlan-id=99



/interface ethernet switch port-isolation
set 0 forwarding-override=ether5
set 1 forwarding-override=ether5
set 2 forwarding-override=ether5
set 3 forwarding-override=ether5][/code]


Пробовал добавить по рекомендации вики и вашего форума но потерялся пинг базовой точки доступа на ether3...


/interface ethernet switch rule
add dst-address=192.168.5.0/24 new-dst-ports="" ports=ether2 switch=switch1
add dst-address=192.168.5.0/24 new-dst-ports="" ports=ether3 switch=switch1


Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

В вики (по ссылке, что вы приводили на ixbt) про изоляцию vlan'ов один от другого.
Вам же как минимум либо шлюз надо исключить из этих правил.
Либо возможно достаточно просто все входящее с портов 1-4 принудительно пересылать на 5.


Telegram: @thexvo
Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»