2 Vlan-а

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Это уже ближе.
Но если вы назначаете адрес из подсети 192.168.0.0/24, то для того, чтобы ходить в саму эту подсеть, никаких дополнительных маршрутов не надо.
Если не ходит, то значит где-то что-то вы делаете не так.

Прикладывайте схему (рисунок) того, что вы хотите иметь в итоге и текущий конфиг.


Telegram: @thexvo
AndreyA
Сообщения: 41
Зарегистрирован: 10 дек 2020, 11:07

Мне нужно, чтобы, например, пакеты на адрес 192.168.1.10 шли через vlan193. Конфиг прикрепить не могу- пишет "Достигнут максимальный общий размер ваших вложений.". :(


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

AndreyA писал(а): 28 дек 2020, 17:08 Мне нужно, чтобы, например, пакеты на адрес 192.168.1.10 шли через vlan193.
Это ничего не объясняет.
И это не схема.

Так что ничего более конкретного, чем "получить роутером в этом влане адрес, и через шлюз сети ходящей в этом влане прописать маршрут до нужного адреса", я вам сказать не смогу.
AndreyA писал(а): 28 дек 2020, 17:08 Конфиг прикрепить не могу
Текст просто в пост скопируйте в тэге "code".


Telegram: @thexvo
AndreyA
Сообщения: 41
Зарегистрирован: 10 дек 2020, 11:07

У меня вариантов конфигураций получилось много- и все они нерабочие. Давайте пойдет другим путем? :) Можете показать конфигурацию хотя бы с одним вланом на WAN-порту и чтобы через этот влан шли пакеты на любой внешний адрес?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Примерно так будет выглядеть конфиг, когда просто на WAN-порту трафик от провайдера приходит в 111ом vlan'е.

Только добавить к этому дефолтный firewall.
У меня нет под рукой.

Код: Выделить всё

/interface bridge add name=bridge-LAN protocol-mode=none

/interface vlan add interface=ether1 name=vlan111-WAN vlan-id=111

/interface list add name=WAN
/interface list add name=LAN

/ip dhcp-server add address-pool=pool1-LAN disabled=no interface=bridge-LAN name=dhcp1-LAN

/interface bridge port add bridge=bridge-LAN interface=ether2
/interface bridge port add bridge=bridge-LAN interface=ether3
/interface bridge port add bridge=bridge-LAN interface=ether4
/interface bridge port add bridge=bridge-LAN interface=ether5

/interface list member add interface=ether1 list=WAN
/interface list member add interface=vlan111-WAN list=WAN
/interface list member add interface=bridge-LAN list=LAN

/ip address add address=192.168.0.1/24 interface=bridge-LAN network=192.168.0.0

/ip dhcp-client add disabled=no interface=vlan111-WAN

/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1

/ip dns set allow-remote-requests=yes

/ip pool add name=pool1-LAN ranges=192.168.0.100-192.168.0.199

/ip firewall nat add action=masquerade chain=srcnat out-interface=vlan111-WAN


Telegram: @thexvo
AndreyA
Сообщения: 41
Зарегистрирован: 10 дек 2020, 11:07

В IP- Routes дефолтный шлюз поставил ether1, перед этим прописав на нем айпишник и добавив в ip- dhcp server нужные адрес/шлюз.
Теперь получается так: если пакет идет во внешнюю сеть, он попадает в vlan111- за это отвечает правило в ip- firewall- nat. Если пакет попал во влан, который привязан к физ. интерфейсу, это означает, что на физ. интерфейс пришел пакет, в котором есть метка влана- правильно? Дальше пакет идет через дефолтный шлюз и уходит во внешку- все просто и логично. Жаль только, что ничего не работает- если мы пингуем любой адрес во внешке, то получаем ответ "Превышен интервал ожидания..".
Ощущение, что, независимо от привязки влана к физ. интерфейсу, на самом деле привязки нет и влан- отдельно, а физ. интерфейс- отдельно.

З.Ы. Если в ip- firewall- nat в аут-интерфейс вместо vlan111 поставить ether1- пакеты во внешку уходят(есс-но, без влановской метки).
P.P.S. Возможно, логика тут такая: привязки и на самом деле нет(независимо от того, что там нарисовано в настройках), а VLAN - это просто виртуальный интерфейс, проходя через который пакет получает его метку. И нужно на VLANе прописывать маршрут- на какой физический интерфейс(т.е. прописывать IP физ. интерфейса) будут уходить пакеты, пришедшие на этот VLAN. :ps_ih:
 
[/[admin@MikroTik] > /export hide-sensitive
# jan/02/1970 01:51:07 by RouterOS 6.35.4
# software id = 6ISP-U4G5
#
/interface bridge
add name=bridge-LAN protocol-mode=none
/interface vlan
add interface=ether1 name=vlan111-WAN vlan-id=111
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool1-LAN ranges=192.168.0.100-192.168.0.199
add name=dhcp_pool1 ranges=192.168.100.2-192.168.100.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge-LAN name=dhcp1
/interface bridge port
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN interface=ether3
add bridge=bridge-LAN interface=ether4
add bridge=bridge-LAN interface=ether5
/ip address
add address=192.168.100.1/24 interface=bridge-LAN network=192.168.100.0
add address=192.168.0.86 interface=ether1 network=192.168.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=vlan111-WAN
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.86
add address=192.168.100.0/24 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=vlan111-WAN
/ip route
add distance=1 gateway=ether1
/system routerboard settings
set cpu-frequency=650MHz init-delay=0s protected-routerboot=disabled
spoiler]


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ещё раз: ни firewall, ни nat не имеют никакого отношения к "попаданию" во vlan'ы.
Они работают уже с IP трафиком, это следующий уровень модели OSI.

Почитайте на праздниках что-нибудь по основам построения сетей.


Telegram: @thexvo
AndreyA
Сообщения: 41
Зарегистрирован: 10 дек 2020, 11:07

Почитаю. Но мы остановились на том, что пока не получается сделать рабочую конфигурацию с несколькими вланами на ВАН- порту. Та конфигурация, которую вы предложили, не работает. Кстати, и в инете нет ни одного примера такой конфигурации- видимо, никто так и не смог придумать, как заставить микротик работать в таком режиме.
Я пробовал делать так: объединять влан и порт ether1 в бридж. В этом случае пакеты во внешку идут с меткой влана, но мне нужно 2 влана, а не один.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

AndreyA писал(а): 29 дек 2020, 19:03 Почитаю. Но мы остановились на том, что пока не получается сделать рабочую конфигурацию с несколькими вланами на ВАН- порту. Та конфигурация, которую вы предложили, не работает. Кстати, и в инете нет ни одного примера такой конфигурации- видимо, никто так и не смог придумать, как заставить микротик работать в таком режиме.
Я пробовал делать так: объединять влан и порт ether1 в бридж. В этом случае пакеты во внешку идут с меткой влана, но мне нужно 2 влана, а не один.
То, что у вас не получается - я вижу.
Пока не почитаете - не получится.
И это не "мы" остановились, а "вы".
У меня (да и вообще у тех, кто мало-мальски понимает, как оно работает) с этим проблем нет - в тех местах, где мне нужно несколько вланов на WAN-порту, там их у меня несколько. WAN-порт в этом отношении ничем не отличается от других.

Но естественно, вы готовых конфигураций под это не найдете - они не универсальны, их надо писать под задачу. Поэтому и мои конфигурации в виде as-is вам никак не подойдут.

Еще раз: вы либо учитесь сами, либо ищете себе админа в организацию.


Telegram: @thexvo
AndreyA
Сообщения: 41
Зарегистрирован: 10 дек 2020, 11:07

Т.е. я задал вопрос на этом форуме по конкретной задаче, никто, кроме вас, не откликнулся, но и от вас я получил ответ "изучай теорию". "Это и я так могу", как сказал Промокашка.
"Но естественно, вы готовых конфигураций под это не найдете - они не универсальны, их надо писать под задачу." - ну, так покажите хотя бы одну- тогда будет понятен хотя бы общий принцип.


Ответить