vlan от провайдера

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
seregasimf
Сообщения: 0
Зарегистрирован: 16 июл 2014, 18:31

Обзавелся недавно Mikrotik-ом 951-2n и столкнулся со следующей проблемой.
Для подключения к интернету необходимо выбрать dhcp-протокол и интернет работает. Но я заказал у провайдера внешний белый ip-адрес. Поключив Mikrotik на ether1 убнаружил, что адрес, полученный роутером, 10.2.6.60, т.е. так и остался внутренним локальной сети провайдера. Позвонил в тех поддержку и там мне сообщили, что на wan-интерфейсе нужно прописать vlan 2000. На вопрос: "Как это сделать?" ответили, что человек, занимающийся микротиками, в отпуске и пока помочь ничем не могут.
Мои действия:
- Добавил новый vlan-интерфейс c id 2000, расположив его на физическом ether1, т.е. на wan.
А вот что дальше делать, ума не приложу. Может что-то в файерволе нужно еще настроить?


DeLL
Сообщения: 74
Зарегистрирован: 05 июн 2014, 00:24

Далее нужно связать бриджом ether1 и vlan, а также поставить галочку Use Service Tag на VLAN'е, если трафик приходит тэгированный (наверно так оно и есть)
И еще момент - удалите с ether1 DHCP-клиента, а также перенастроить NAT скорее всего придется)


seregasimf
Сообщения: 0
Зарегистрирован: 16 июл 2014, 18:31

DeLL писал(а):Далее нужно связать бриджом ether1 и vlan, а также поставить галочку Use Service Tag на VLAN'е, если трафик приходит тэгированный (наверно так оно и есть)
И еще момент - удалите с ether1 DHCP-клиента, а также перенастроить NAT скорее всего придется)


Трафик не тэгированный.
Вот что я сделал по Вашему совету, если я правильно понял:
-в DHCP-client интерфейс выбрал vlan вместо ether1
-в NAT указал scrnat, out-interface vlan, masquerade
Инет работает. Но как только я создаю новый бридж и добавляю туда ether1 и vlan, то инет пропадает


DeLL
Сообщения: 74
Зарегистрирован: 05 июн 2014, 00:24

С такими настройками интернет работает так, как и должен (с белым IP?)
Если да, то Вам больше ничего и не нужно настраивать.

Попробуйте настроить NAT на созданный бридж.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

seregasimf писал(а):Трафик не тэгированный.


Вы что-то путаете. Если трафик не тегированный, то есть порт провайдера работает в режиме Access, то нет никакого VLAN на принимающей стороне.

Может быть они между собой обсуждали, что ваш порт нужно загнать в специальный VLAN?


seregasimf
Сообщения: 0
Зарегистрирован: 16 июл 2014, 18:31

seregasimf писал(а):
Вот что я сделал по Вашему совету, если я правильно понял:
-в DHCP-client интерфейс выбрал vlan вместо ether1
-в NAT указал scrnat, out-interface vlan, masquerade
Инет работает.


Вот этого вполне хватило. Спасибо всем за помощь.

А вот по поводу тегированного трафика - тут косяк провайдера и есть.
Я после каждого ребута роутера получаю новый белый ip из всего пула адресов провайдера :-)
Позвонил им. Сказали, разберуться


ullquiorra
Сообщения: 9
Зарегистрирован: 25 апр 2013, 17:26

DeLL писал(а):Далее нужно связать бриджом ether1 и vlan, а также поставить галочку Use Service Tag на VLAN'е

Думаешь, что говоришь-то? Забриджевав eth1 и вланом (микротик НЕ умеет НЕ тегированных вланов, по этом он априори тегированный) ты весь трафик, что ходит в 2000 влане и весь траффик в нетегированном влане провайдера через свой роутер тупо замешаешь между собой, чем наведешь не кислого кипеша в ИТ отделе провайдера.
Галочка "use service tag" - это для QinQ (в гугле есть)


ullquiorra
Сообщения: 9
Зарегистрирован: 25 апр 2013, 17:26

seregasimf писал(а):Трафик не тэгированный.

Нетэгированный трафик приходит на eth1 вне зависимости от того, какой там у них "по определению" влан дается нетегированным. В случае же данном, нужно добавить влан на интерфейс аплинка (eth1) с vlanid 2000 и диашсипи клиент навесить на него, вместо eth1, если же, конечно, внешние адреса у сего провайдера раздаются по диашсипи, или же навесить адрес на интерфейс vlan руками (в ip addresses, если кто не в курсе) и добавить маршрут на 0.0.0.0/0 через шлюз провайдера, ну и нат, конечно, в соответствующем направлении. В данном случае я не совсем понимаю, зачем козе баян (внешка в отдельном влане) и спешу напомнить, что шлюз провайдера отличается от того, что был на сетке 10.х.х.х
Последний раз редактировалось ullquiorra 06 авг 2014, 01:52, всего редактировалось 1 раз.


ullquiorra
Сообщения: 9
Зарегистрирован: 25 апр 2013, 17:26

seregasimf писал(а):Вот что я сделал по Вашему совету, если я правильно понял:
-в DHCP-client интерфейс выбрал vlan вместо ether1
-в NAT указал scrnat, out-interface vlan, masquerade

Понял не правильно, но сделал все правильно.

Кстати, прошу прощения за некропост, просто у меня от первого совета настолько сильно бомбануло, что я не успел даже прочитать оставшиеся сообщения в теме, в которых, оказывается, все проблемы уже решили =)


DeLL
Сообщения: 74
Зарегистрирован: 05 июн 2014, 00:24

ullquiorra писал(а):Думаешь, что говоришь-то? Забриджевав eth1 и вланом (микротик НЕ умеет НЕ тегированных вланов, по этом он априори тегированный) ты весь трафик, что ходит в 2000 влане и весь траффик в нетегированном влане провайдера через свой роутер тупо замешаешь между собой, чем наведешь не кислого кипеша в ИТ отделе провайдера.
Галочка "use service tag" - это для QinQ (в гугле есть)

Ну раз уж пошла такая пляска - читаем и вникаем
Q-in-q это просто:
В исходном виде стандарт 802.1Q допускает только один VLAN-заголовок, тогда как Q-in-Q допускает два или более VLAN-заголовков.
В RouterOS Q-in-Q возможно реализовать посредством добавления одного VLAN-интерфейса поверх другого.

И кто вам сказал что микротик не умеет НЕтегированных виланов? :-) Это стандарт 802.1Q, а стандарт - он и в африке стандарт


Ответить