Задача вроде бы простая, но не могу сообразить, как сделать.
Роутер подключен по ПППое. В сети стоят компы, подключенные по LANу, их адреса, допустим, 192.168.0.0/24. Провайдер выдал 2 ВЛАНа с номерами, допустим, 1 и 2. Нужно чтобы: 1. Пакеты, которые идут на адреса 1.1.1.1 (это наша сеть в другом здании) проходили через ВЛАН с номером 1
2. Пакеты, которые идут в инет(ну и вообще- на все другие адреса, кроме 1.1.1.1), проходили через ВЛАН с номером 2.
Может быть, есть какая-то инструкция на эту тему?
2 Vlan-а
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
gmx
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
-
AndreyA
- Сообщения: 41
- Зарегистрирован: 10 дек 2020, 11:07
Почитал, но ничего не нашел. В инете полно информации на тему "создать в локальной сети N вланов и настроить на них dhcp/dns/etc. ", при этом ощущение, что все списывали из одного источника или друг у друга.
Уберем пока ппое, пусть на wan-е будет просто статический IP, и это будет порт eth1. Делаем по стандартной схеме: вешаем на него IP 192.168.0.86, делаем маскарадинг в IP- Fierwall - NAT , затем прописываем роутинг. Пингуем что-нибудь, что находится за WAN-ом- все работает, при этом трафик- нетегированный, есс-но. Теперь делаем так. Создаем в Интерфейсах vlan id=10 и привязываем его к eth1. Создаем бридж, туда добавляем eth1 и этот vlan. В маскарадинге вместо eth1 выбираем этот бридж, в роутинге опять же прописываем этот бридж. Опять пингуем- видим, что идут уже тегированные пакеты с 10-ым вланом(я проверял- ставил между пингуемой железкой и роутером коммутатор микротик, на котором настраивал пропуск только пакетов с 10 вланом).
Теперь надо как-то присобачить еще 1 влан. Добавляем в интерфейсах vlan id=20, привязка опять же к eth1, добавляем этот влан в наш бридж. И...дальше непонятно. Т.е. надо заставить какой-то трафик идти на vlan 10, а какой-то- на vlan 20 ? Только вот как? В каком месте это сделать?
Уберем пока ппое, пусть на wan-е будет просто статический IP, и это будет порт eth1. Делаем по стандартной схеме: вешаем на него IP 192.168.0.86, делаем маскарадинг в IP- Fierwall - NAT , затем прописываем роутинг. Пингуем что-нибудь, что находится за WAN-ом- все работает, при этом трафик- нетегированный, есс-но. Теперь делаем так. Создаем в Интерфейсах vlan id=10 и привязываем его к eth1. Создаем бридж, туда добавляем eth1 и этот vlan. В маскарадинге вместо eth1 выбираем этот бридж, в роутинге опять же прописываем этот бридж. Опять пингуем- видим, что идут уже тегированные пакеты с 10-ым вланом(я проверял- ставил между пингуемой железкой и роутером коммутатор микротик, на котором настраивал пропуск только пакетов с 10 вланом).
Теперь надо как-то присобачить еще 1 влан. Добавляем в интерфейсах vlan id=20, привязка опять же к eth1, добавляем этот влан в наш бридж. И...дальше непонятно. Т.е. надо заставить какой-то трафик идти на vlan 10, а какой-то- на vlan 20 ? Только вот как? В каком месте это сделать?
-
Ca6ko
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
В каком ни будь другом микротике подключенном к eth1
Для простоты понимания vlan это виртуальный кабель, проложенный внутри кабеля воткнутого в Вашем случае в eth1. Оба виртуальных кабеля, на этой стороне Вы воткнули в бридж, а куда воткнули на другой стороне?
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
AndreyA
- Сообщения: 41
- Зарегистрирован: 10 дек 2020, 11:07
Хотите сказать, что этот бридж нужно "прицепить" к локальной сети? :) Не знаю- это как-то само собой прицепилось :) В общем, в том способе, который я описал- все работает- из ВАН-а выходит тегированный трафик. Проблема в том, что ВЕСЬ трафик идет с одним влан-ом, а надо, чтобы трафик на одни адреса шел с одним, а на другие- с другим.
-
AndreyA
- Сообщения: 41
- Зарегистрирован: 10 дек 2020, 11:07
Видимо, микротик это просто не умеет делать и надо его просто выкинуть и купить ту же Cisco. А микротики годятся только чтобы раздавать дома инет.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Видимо, не микротик, а вы.
Маршрут добавьте до вашей офисной подсети через нужный шлюз и все.
Маршрут добавьте до вашей офисной подсети через нужный шлюз и все.
Telegram: @thexvo
-
AndreyA
- Сообщения: 41
- Зарегистрирован: 10 дек 2020, 11:07
Может быть и так. Я пробовал в IP- Firewall добавлять правило: если идет пакет снаружи с id=10, то попадает на влан10, а если с id=20- то на влан20. Вы это имели в виду? Нужно, чтобы шло и в другую сторону: если, например, адрес назначения- 10.10.10.10, то пакету цепляется 10-ый влан, а если 20.20.20.20- то 20-ый.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Нет, не это.
vlan'ы и маршрутизация - это разные уровни модели OSI.
Вам на вашем интерфейсе в сторону провайдера нужно создать несколько vlan-интерфейсов.
На эти vlan-интерфейсы надо будет повесить адреса из соответсвующих сетей, каждый со своим шлюзом.
А дальше:
/ip route
Прописываете маршруты до тех адресов, до которых надо, через те шлюзы, которые надо.
vlan'ы и маршрутизация - это разные уровни модели OSI.
Вам на вашем интерфейсе в сторону провайдера нужно создать несколько vlan-интерфейсов.
На эти vlan-интерфейсы надо будет повесить адреса из соответсвующих сетей, каждый со своим шлюзом.
А дальше:
/ip route
Прописываете маршруты до тех адресов, до которых надо, через те шлюзы, которые надо.
Telegram: @thexvo
-
AndreyA
- Сообщения: 41
- Зарегистрирован: 10 дек 2020, 11:07
«Вам на вашем интерфейсе в сторону провайдера нужно создать несколько vlan-интерфейсов.
На эти vlan-интерфейсы надо будет повесить адреса из соответсвующих сетей, каждый со своим шлюзом.»
Допустим, нам надо, чтобы пакеты на 192.168.0.4 шли через влан 193. Создаем vlan193 с ид=193, физ. интерфейс- ether1. Идем в IP- Addresses- на vlan193 вешаем адрес 192.168.0.10. На ether1 вешаем любой адрес- например, 1.1.1.1. В IP- dhcp servers- Networks добавляем строчку 192.168.0.0/24, 192.168.0.86(т.е. прописываем, получается, шлюз для этого влана). Также, добавляем в IP- Firewall на вкладке NAT строчку, там прописываем маскарад, out interface- ether1.
«Прописываете маршруты до тех адресов, до которых надо, через те шлюзы, которые надо.»
Идем в IP - Routes- там видим, что есть роут и через ether1 и через vlan193.
Добавляем строку с маршрутом до 192.168.0.4 через шлюз 192.168.0.86. Запускаем пинг до 192.168.0.4 и получаем ответ от 192.168.100.1(это шлюз для LAN)- «Заданный узел недоступен».
Может быть, я вас в чем-то неправильно понял?
На эти vlan-интерфейсы надо будет повесить адреса из соответсвующих сетей, каждый со своим шлюзом.»
Допустим, нам надо, чтобы пакеты на 192.168.0.4 шли через влан 193. Создаем vlan193 с ид=193, физ. интерфейс- ether1. Идем в IP- Addresses- на vlan193 вешаем адрес 192.168.0.10. На ether1 вешаем любой адрес- например, 1.1.1.1. В IP- dhcp servers- Networks добавляем строчку 192.168.0.0/24, 192.168.0.86(т.е. прописываем, получается, шлюз для этого влана). Также, добавляем в IP- Firewall на вкладке NAT строчку, там прописываем маскарад, out interface- ether1.
«Прописываете маршруты до тех адресов, до которых надо, через те шлюзы, которые надо.»
Идем в IP - Routes- там видим, что есть роут и через ether1 и через vlan193.
Добавляем строку с маршрутом до 192.168.0.4 через шлюз 192.168.0.86. Запускаем пинг до 192.168.0.4 и получаем ответ от 192.168.100.1(это шлюз для LAN)- «Заданный узел недоступен».
Может быть, я вас в чем-то неправильно понял?