Настройка сети с VLAN

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

archik писал(а):ДД, настроил 3 влана тагом на 5порту, в каждом влане DHCP. есть на данный момент 2 проблемы
1) не вижу соседние сети ( в других вланах)
2) нет доступа в интернет ( на самом микротике есть)
RB951G-2HnD
Подскажите где допустил ошибку? в фаервол добавлял маскарад форвард делал, не помогает.


1) а сам DHCP, и именно настройки сети правильно настроено, то есть клиентам правильно отдаётся шлюз(ы) при получении адреса (настраивается это во второй закладки DHCP Server)?
2) ну а микротик то имеет адрес из какой то основной сети? или имеет WAN порт с подключенным провайдером? Надо задать сеть и шлюз для микротика самого или задать шлюз на провайдера

а файрволл - в нём пока лучше правила отключить и без них пробовать.
Обычно сначала настраивают микротик, интернет на нём, и основные базовые настройки в рамках основной адресации,
чтобы микротик был доступен в целом. А уж потом виланы, сегменты и т.д.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
archik
Сообщения: 6
Зарегистрирован: 22 сен 2016, 17:36

если
Vlad-2 писал(а):
1) а сам DHCP, и именно настройки сети правильно настроено, то есть клиентам правильно отдаётся шлюз(ы) при получении адреса (настраивается это во второй закладки DHCP Server)?
2) ну а микротик то имеет адрес из какой то основной сети? или имеет WAN порт с подключенным провайдером? Надо задать сеть и шлюз для микротика самого или задать шлюз на провайдера

а файрволл - в нём пока лучше правила отключить и без них пробовать.
Обычно сначала настраивают микротик, интернет на нём, и основные базовые настройки в рамках основной адресации,
чтобы микротик был доступен в целом. А уж потом виланы, сегменты и т.д.

адресация во VLAN раздается нормально.( та что заданна настройками DHCP)
на микротик попадаю из влана на микротик без проблем, с самого микротика пингую интернет.
вот и не могу понять где косяк, в маршрутизации и фаерволе.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Друзья, давайте-ка не описывать свои ощущения, а пункт 5 правил вверху + пункт 6 по запросу. Иначе эта теплая беседа похожа на разговор о болячках двух бабушек у подъезда.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
archik
Сообщения: 6
Зарегистрирован: 22 сен 2016, 17:36

согласно п5

Код: Выделить всё

[admin@MikroTik] > export
# sep/23/2016 12:12:27 by RouterOS 6.34.4
# software id = LME3-N75Q
#
/interface bridge
add admin-mac=E4:8D:8C:67:D8:8B auto-mac=no comment=defconf name=bridge
add name=bridge1011
add name=bridge1012
add name=brige1010
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
    MikroTik-67D88F wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
/ip neighbor discovery
set ether1 discover=no
set bridge comment=defconf
/interface vlan
add interface=ether5 name=1010 vlan-id=1010
add interface=ether5 name=1011 vlan-id=1011
add interface=ether5 name=1012 vlan-id=1012
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys wpa-pre-shared-key=******* wpa2-pre-shared-key=*******
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool43 ranges=192.168.43.2-192.168.43.254
add name=dhcp_pool11 ranges=192.168.11.2-192.168.11.254
add name=dhcp_pool12 ranges=192.168.12.2-192.168.12.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
add add-arp=yes address-pool=dhcp_pool43 authoritative=yes disabled=no \
    interface=brige1010 lease-time=1d10m name=43seg
add address-pool=dhcp_pool11 interface=bridge1011 lease-time=4d10m name=11seg
add address-pool=dhcp_pool12 interface=bridge1012 lease-time=4d10m name=12seg
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
add bridge=brige1010 interface=1010
add bridge=bridge1011 interface=1011
add bridge=bridge1012 interface=1012
/interface bridge settings
set use-ip-firewall-for-vlan=yes
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2-master network=\
    192.168.88.0
add address=192.168.43.1/24 interface=brige1010 network=192.168.43.0
add address=192.168.11.1/24 interface=bridge1011 network=192.168.11.0
add address=192.168.12.1/24 interface=bridge1012 network=192.168.12.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.11.0/24 gateway=192.168.11.1
add address=192.168.12.0/24 gateway=192.168.12.1
add address=192.168.20.0/24 gateway=192.168.43.1 ntp-server=192.168.43.1
add address=192.168.21.0/24 gateway=192.168.43.1 ntp-server=192.168.43.1
add address=192.168.43.0/24 dns-server=8.8.8.8 gateway=192.168.43.1 ntp-server=\
    192.168.43.1
add address=192.168.44.0/24 gateway=192.168.43.1 ntp-server=192.168.43.1
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="defconf: accept ICMP" disabled=yes protocol=icmp
add chain=input comment="defconf: accept establieshed,related" \
    connection-state=established,related disabled=yes
add chain=input dst-port=8291 protocol=tcp
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=\
    ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add chain=forward comment="defconf: accept established,related" \
    connection-state=established,related disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid disabled=yes
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new disabled=yes in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
    192.168.43.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
    ether1
add action=netmap chain=dstnat comment=ipcam20dom dst-port=2700 in-interface=\
    ether1 protocol=tcp to-addresses=192.168.43.202 to-ports=2700
add action=netmap chain=dstnat comment=CTO_20dom dst-port=40000 in-interface=\
    ether1 protocol=tcp to-addresses=192.168.43.33 to-ports=34567
add action=netmap chain=dstnat comment=17/3 dst-port=40001 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.43.22 to-ports=34567
add action=netmap chain=dstnat comment=17/3 dst-port=40004 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.43.20 to-ports=34567
add action=netmap chain=dstnat comment=Uriki dst-port=40003 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.43.111 to-ports=34567
add action=netmap chain=dstnat comment=CTO3 dst-port=40002 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.43.24 to-ports=666
add action=netmap chain=dstnat comment=ipcam_cto3 dst-port=2702 in-interface=\
    ether1 protocol=tcp to-addresses=192.168.43.203 to-ports=2702
add action=netmap chain=dstnat comment=ipcam17/3dom dst-port=2701 in-interface=\
    ether1 protocol=tcp to-addresses=192.168.43.203 to-ports=2701
/ip route
add distance=1 gateway=192.168.88.1
/ip service
set winbox address=0.0.0.0/0
/system clock
set time-zone-name=Europe/Moscow
/system clock manual
set time-zone=+03:00
/system leds
set 0 interface=wlan1
/system routerboard settings
set protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Прошу прощения, но с бабушками сравнивать не надо. :men:
Я ещё ФИДО застал..где хорошо сформулированный вопрос - содержит половину ответа.
Так что ответ мной был дан на основе чётких заданных вопросов с применением личных знаний и также с учётом опыта и ошибок :ti_pa:

Для
archik]

Я увидел конфиг и ахнул. :sh_ok:
1) конфиг сделан в автоматическом режиме или через QuickSetup (вижу слово "devconf") - советую с нуля набить конфиг
2) в моём ответе что был намного выше (где я привожу скриншот) отчётливо видно, что виланы и логика построена на программных виланах и бриджах,
я не использовал возможности свитч-чипа и его возможности работы с виланами, возможно в этом ошибка у вас
3) создайте нормальные название бриджей, логику, схему и так далее..так же не забывайте проверять не только с роутера,но и с клиентов доступность и работоспособность.
Считаю на этом мои советы исчерпаны, всё что мог показал и разжёвал, осталось -съесть. :-)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
archik
Сообщения: 6
Зарегистрирован: 22 сен 2016, 17:36

Vlad-2 писал(а):Считаю на этом мои советы исчерпаны, всё что мог показал и разжёвал, осталось -съесть. :-)

сразу после того как написал прошлый пост, в принципе почти так и поступил. но все ровно спасибо за помощь =)
я создал бриджи и к ним привязал VLan.
Но для меня осталась загадка по какому принципу он формирует Tag/untag. надо будет позже еще проштудировать манулы


Ответить