Настройка гостевого доступа в интернет с использованием VLAN

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Yokon
Сообщения: 0
Зарегистрирован: 22 мар 2017, 17:18

Добрый день!
Из оборудования:
Точка доступа TP-Link в режиме Multi-SSID c единственным SSID и назначенным VLAN ID: 2
Физически находится в одном из офисов.

Mikrotik 2011UiAS
Стоит у провайдера.
Задействовано 2 интерфейса, один для WAN и один для 2-ух VLAN (по одному для каждого офиса).
Каждый из VLAN обслуживает свою подсеть.

Потребовалось в одном из офисов сделать гостевой интернет.
Не могу понять, в верном ли направлении иду.

Самой точке доступа я назначаю ip адрес из подсети, которая используется в офисе 192.168.1.0/24
Отключаю DHCP на точке доступа, так как хочу, что бы адреса получали от микротика.

Учитывая то, что у меня уже работают 2 VLAN в Микротике, я создаю дополнительный VLAN, указываю VLAN ID: 2 и в поле "Интерфейс" выбираю VLAN, соответствующий подсети, в которой находится точка доступа.
Получается VLAN в VLAN.

А каким образом Микротик в таком случае будет обрабатывать тегированный трафик я не понимаю и не могу найти информации по этому вопросу.
Не прошу разжевывать, просто направьте или подскажите что прочесть, что бы осознать это все.

Созданный мной VLAN, если не ошибаюсь, микротик считает отдельным интерфейсом.
Отсюда вопрос - если я в "Adress list" и "DHCP Server" создам другую подсеть для своего VLAN, будут ли подключаемые к точке доступа устройства получать ip адреса из этой подсети и смогут ли передавать пакеты через созданный VLAN, находясь физически в другой подсети?

Заранее благодарю!


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Yokon писал(а):А каким образом Микротик в таком случае будет обрабатывать тегированный трафик я не понимаю и не могу найти информации по этому вопросу.
Не прошу разжевывать, просто направьте или подскажите что прочесть, что бы осознать это все.
Созданный мной VLAN, если не ошибаюсь, микротик считает отдельным интерфейсом.
Отсюда вопрос - если я в "Adress list" и "DHCP Server" создам другую подсеть для своего VLAN, будут ли подключаемые к точке доступа устройства получать ip адреса из этой подсети и смогут ли передавать пакеты через созданный VLAN, находясь физически в другой подсети?

Сложно как-то всё.
1) Вилан это вилан...то есть пакеты одного вилана не видят/не пересекаются с пакетами другого/других виланов (это L2-layer)
2) пока вы адресацию виланам не дали...виланы есть виланы, роутер о них глубоко не знает...
3) дали адресацию....вилан-интерфейсу(виланам) - по умолчанию IP-маршрутизация в рамках микротика открыта..значит уже сети будут друг друга видеть (условно говоря пинговать)
4) по поводу адрес-листов и DHCP, не совсем понял при чёт тут адрес лист, но дам от себя такой лайфхак - чтобы DHCP работал в рамках нужного одного вилана, засуньте данный вилан в бридж (отдельный),
и получается вот что, чтобы превратить тегируемый трафик в нетегируемый и его не смешать ни с чем(с другим), создайте для вилана отдельный бридж и там уже в бридже будет чистый нетегированный трафик этого вилана,
и DHCP на бридже работает правильнее кошернее.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Yokon
Сообщения: 0
Зарегистрирован: 22 мар 2017, 17:18

Особо ничего не понял, но спасибо, что ответили!)
А вообще существует какой-то материал о том, как микротик обрабатывает пакеты, которые ходят по vlan?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Yokon писал(а):Особо ничего не понял, но спасибо, что ответили!)

Не за что, но в целом как-то странно, по первому вашему сообщению вроде с виланами работаете,
а суть советов не поняли...
Yokon писал(а):А вообще существует какой-то материал о том, как микротик обрабатывает пакеты, которые ходят по vlan?

VLAN он и в Африке вилан, как может микротик обрабатывать пакеты с вилан меткой? Всё в рамках RFC стандартов,
микротик это сетевое оборудование, подчиняется основным правилам...сделали вилан, дали ему ID, всё,
трафик на этом вилан-интерфейсе будет тегированным с данным ID, то есть в заголовок пакета будет
добавляться будет ID вилана. Ну а дальше, этот тегированный трафик пропускайте до другого офиса/объекта/устройства/сети
и там с ним делайте обратные процедуры (если того требуют условия).

NB:
Повторюсь ещё раз, пока внутри трафика имеется тег(и) (ID VLAN'а(ов)) то такие пакеты не пересекаются никак,
если Вы на вилан-интерфейсе задали адрес, и/или добавили вилан в бридж, тем самым вы трафик данного ID VLAN'а
как бы затерминировали и после этого у Вас на микротике данный трафик и данная сеть этого вилана станет доступна.
То есть VLAN - это уровень 2, поставили адресацию, сделали маршрут и т.д. - перешли на уровень 3 - всё, сеть стала доступна.
(обобщённо и в целом)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Yokon
Сообщения: 0
Зарегистрирован: 22 мар 2017, 17:18

С VLAN мне в целом боле или мене понятно, но вот что касается VLAN в VLAN не очень.
Смотрите.
Компьютер в одной из подсетей.
Отправляет пакет.
Пакет проходит через оборудование провайдера и он маркируется, что бы в дальнейшем, можно было этот пакет завернуть на мой микротик.
Микротик получает данный пакет, так как понимает, что это пакет определенного vlan.
А дальше в зависимости от правил NAT и Firewall обрабатывается, но уже со снятым маркером.

А теперь, я отправляю пакет с этого же компьютера, только я уже подключен по WI-FI к TP-Link, который маркерует все мои пакеты.
Уже маркированный пакет проходит по выше описанной схеме и получается, что маркируется повторно?
Микротик по идее должен вначале принять пакет маркированный провайдером, потом обнаружить второй маркер и опять обработать согласно правилам NAT и Firewall, разрешив доступ только в интернет.
И не очень понятно, как только микротик получит тегированный пакет, он снимет с него маркировку и будет обрабатывать как обычный пакет или сохранит метку, что бы конкретно для таких пакетов создавать правила обработки?

Вот этот процесс и не понятен.
Знаний конечно у меня не хватает по этой части.
Еще раз спасибо, что тратите время свое!!


Ответить