от провайдера приходят 3 vlan'а. Проверьте пожалуйста всё ли я делаю правильно?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
petr.podkopaev
Сообщения: 1
Зарегистрирован: 07 июн 2021, 08:11

Микротик настраиваю в первый раз, начитался инструкций, чуть мозг не взорвался, но их логику вроде понял)))
Есть маршрутизатор rb4011, от провайдера приходят 3 vlan'а по оптике:
инет - vlan74, динамический DHCP
ip телефония - vlan72, статический ip любой из подсети 192.168.72.0/24 со шлюзом 192.168.72.254
офисная сеть - vlan73, так же как выше только 73 вместо 72 соответственно
Хочу пока настроить так: из 8го порта выходит телефония, из 9го офисная сеть, из 10го интернет
(просто так было проще, а хотелось бы чтоб только из 10го порта но со своими vlan'ами, ниже напишу, правильно ли я понимаю как это сделать)
Что сделал и получилось (пока работает только телефония):
1) первым делом удалил порты 8,9 и 10 из стандартного bridge
2) поднял на 9ом и 10ом порту dhcp серверы, для телефонии не надо
3) потом завел 3 vlan интерфейса

Код: Выделить всё

add interface=sfp-sfpplus1 name=vlan72TEL vlan-id=72
add interface=sfp-sfpplus1 name=vlan73office vlan-id=73
инет тогда когда там был еще не прокинули, поэтому не делал, но сделаю аналогично

Код: Выделить всё

add interface=sfp-sfpplus1 name=vlan74inet vlan-id=74
4) создал мост для телефонии

Код: Выделить всё

add name=bridgeTEL protocol-mode=none
5) добавил 8ой порт и vlan72TEL в этот мост

Код: Выделить всё

add bridge=bridgeTEL interface=ether8
add bridge=bridgeTEL interface=vlan72TEL
6) воткнул кабель из 8го порта в wan порт ip атс, забил в неё на wan порт статический ip 192.168.72.100/24 со шлюзом 192.168.72.254 и урааа, заработало, начал пинговаться sip сервер провайдера из атс. в общем с телефонией справился.

Теперь настройка инета, ну тут вроде всё просто как в одной из многих инструкций, например,
только немного подправив, т.е.
1) сначала иду в IP -> DHCP Client и делаю его на интерфейсе vlan74inet
2) Идем в раздел IP -> Firewall, открываем вкладку NAT и жмем плюсик. На вкладке General указываем параметр Out.Interface - vlan74inet и In.Interface - ether10 т.к. мне не нужно чтоб инет уходил еще куда, это правильно?
Переходим на вкладку Action, выбираем в выпадающем списке masquerade
Вроде после этого инет только на 10м порту должен заработать, да?

Теперь осталось соединение с офисными компами (9ый порт), самое, для меня, сложное, но вроде вижу как делать, только как точно то делать, чтоб поменьше нагрузка на маршрутизатор была?
1ый способ:
настраиваю dhcp сервер на 9ом порту на адреса 192.168.73.0/24 со шлюзом 192.168.73.254
создаю офисный bridge и добавляю туда vlan73office и ether9

Код: Выделить всё

add name=bridgeOffice protocol-mode=none
add bridge=bridgeOffice interface=ether9
add bridge=bridgeOffice interface=vlan73office
и вроде должно всё заработать, да?
2ой способ:
оставить настройку dhcp как сейчас, добавить ip адрес на интерфейс vlan73office
и написать маршрут, примерно как тут
да?
или ещё как? как лучше то?

И по поводу чтоб выходил инет и офисная сеть только из 10го порта но со своими vlan'ами
тогда я добавляю интерфейсы vlan

Код: Выделить всё

add interface=ether10 name=vlan100wifi vlan-id=100
add interface=ether10 name=vlan50office vlan-id=50
и в настройках инета вместо ether10 использую vlan100wifi
а в офисной сети вместо ether9 использую vlan50office
да?

сейчас конфиг, работает только телефония
 
[admin@MikroTik] > export
# may/19/2021 01:05:38 by RouterOS 6.48.1
# software id = 87NU-1WXI
#
# model = RB4011iGS+
# serial number = xxxxxxxxxxx
/interface bridge
add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no comment=defconf name=bridge
add name=bridgeTEL protocol-mode=none
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no speed=1Gbps
/interface vlan
add interface=sfp-sfpplus1 name=vlan72TEL vlan-id=72
add interface=sfp-sfpplus1 name=vlan73office vlan-id=73
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.1.231-192.168.1.239
add name=dhcp_pool_guest ranges=192.168.100.2-192.168.101.254
add name=dhcp_pool_office ranges=192.168.50.2-192.168.50.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
add address-pool=dhcp_pool_guest disabled=no interface=ether10 name=dhcp_guest
add address-pool=dhcp_pool_office disabled=no interface=ether9 name=dhcp_office
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridgeTEL comment=TEL interface=ether8
add bridge=bridgeTEL interface=vlan72TEL
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=sfp-sfpplus1 list=WAN
add comment=lan_guest_vlan100 interface=ether10 list=LAN
add comment=office interface=ether9 list=LAN
add comment=TEL interface=ether8 list=LAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
add address=192.168.100.1/23 comment=guest_vlan100 interface=ether10 network=192.168.100.0
add address=192.168.50.1/24 comment=office interface=ether9 network=192.168.50.0
/ip dhcp-client
add comment=defconf disabled=no interface=sfp-sfpplus1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
add address=192.168.50.0/24 dns-server=192.168.50.1 gateway=192.168.50.1 netmask=24
add address=192.168.100.0/23 dns-server=192.178.100.1,8.8.8.8,77.88.8.8,8.8.4.4 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="my drop" dst-address=192.168.100.0/23 src-address=192.168.1.0/24
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.100.0/23
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.50.0/24
add action=drop chain=forward dst-address=192.168.50.0/24 src-address=192.168.1.0/24
add action=drop chain=forward dst-address=192.168.50.0/24 src-address=192.168.100.0/23
add action=drop chain=forward dst-address=192.168.100.0/23 src-address=192.168.50.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet address=192.168.1.0/24 disabled=yes
set ftp address=192.168.1.0/24 disabled=yes
set www address=192.168.1.0/24
set ssh address=192.168.1.0/24 disabled=yes
set api address=192.168.1.0/24 disabled=yes
set winbox address=192.168.1.0/24 disabled=yes
set api-ssl address=192.168.1.0/24 disabled=yes
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Tashkent
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»