Настройка 2 LAN на CRS125-24G-1S-2HnD-IN (бывш. Перенос портов в другой бридж)

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Cryogenic
Сообщения: 0
Зарегистрирован: 15 фев 2018, 08:59

Добрый день.

Есть CRS125-24G-1S-2HnD-IN.
Нужно часть портов выделить в отдельную сеть.
Создал VLAN-ы, распределил по ним порты, создал новый бридж, но не могу через web-интерфейс перенести в него порты. Ругается, что не могу изменять то, что настроено динамически.


И ещё, помимо созданных мной VLANов, есть ещё один «динамический», куда попали часть портов из обеих подсетей и он тоже не не редактируется/удаляется через WEB-интерфейс.

Подскажите, где и как это починить? Может, есть FAQ на эту тему (я не нашёл)?
Последний раз редактировалось Cryogenic 26 фев 2018, 10:39, всего редактировалось 1 раз.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Cryogenic писал(а): 15 фев 2018, 09:11 создал новый бридж
Меня вот насторожила эта фраза. Вы что на CRS не используется чип коммутации?

А для общего развития почитайте настройку vlan на CRS с использованием коммутации. В статье как раз используется такойже коммутатор, только без wifi.


Александр
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

algerka писал(а): 15 фев 2018, 09:56
Cryogenic писал(а): 15 фев 2018, 09:11 создал новый бридж
Меня вот насторожила эта фраза. Вы что на CRS не используется чип коммутации?

А для общего развития почитайте настройку vlan на CRS с использованием коммутации. В статье как раз используется такойже коммутатор, только без wifi.
так в последней прошивке чтобы использовать чип коммутации и нужно создать бридж.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Cryogenic писал(а): 15 фев 2018, 09:11 создал новый бридж
Значит уже есть старый, получается что создали второй. Но это не важно.

Порты настроить получилось ?


Александр
Cryogenic
Сообщения: 0
Зарегистрирован: 15 фев 2018, 08:59

Добрый день.

Получилось распределить порты по VLAN-ам указанным способом. Спасибо большое!
Нужно было предварительно очистить конфигурацию, как написано в FAQ.

Еще вопрос:
Теперь необходимо настроить DHCP-сервер, чтобы выдавал адреса из отдельного пула для каждого из VLAN-ов.
Засада, в том, что при создании DHCP-настроек, в выпадающем списке интерфейсов нет моих VLAN-ов. Их нужно отдельно создать в настройках Switch/Bridge или для CRS тоже есть какой-то иной способ?


Cryogenic
Сообщения: 0
Зарегистрирован: 15 фев 2018, 08:59

Что-то чем больше думаю, тем больше возникает ощущение, что я пытаюсь пилой гвозди забивать. :du_ma_et:

Есть задача на одном CRS сделать две изолированных друг от друга сети, каждая со своим DHCP-сервером. Одна - обычная локальная сеть с "медными" и WLAN-клиентами и доступом в интернет. Вторая - изолированная от первой и интернета, и лишь только один из ее узлов должен быть виден в первой через NAT, как нарисовано на картинке. Сам роутер должен быть доступен для администрирования из LAN1.

Изображение

Вот и думаю, а нужны ли тут VLAN-ы? Никаких trunk-портов, в которые требовалось бы засовывать трафик обеих сетей, а потом разделять, нет.

Как я предполагал сделать:
1. Создать два бриджа, распределить по ним порты, как на рисунке.
2. Создать два DHCP-пула и сервера, для раздачи адресов каждому из бриджей. В качестве GW указаны 192.168.5.1 и 192.168.50.1 соответственно. Оба адреса указаны в IP->Address на Микротике.
3. Настроить NAT-ы и роутинг между WAN и LAN1 и 192.168.50.10 и LAN1

Сделал первые 2 пункта и обнаружил, что компы обеих сетей спокойно видят и пингуют друг друга. Подозреваю, что это связано с тем, что оба GW принадлежат роутеру и он по умолчанию маршрутизирует трафик между ними, но не понимаю, как разделить это.

Подскажите, в правильном ли направлении я копаю свою задачу? Если нет, направьте на путь истинный. :smu:sche_nie:


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Cryogenic писал(а): 25 фев 2018, 09:58 Подскажите, в правильном ли направлении я копаю свою задачу? Если нет, направьте на путь истинный. :smu:sche_nie:
Если вы делаете два бриджа, вы теряете свитч чип и получаете бридж софтвернй один. Ни о какой проводной скорости внутри бриджа даже - речи не будет
Как и в роутинге (между бриджами)

Запрет роутинга делается как и с ван портов.

правило форвард ин интерфейс = бридж2 аут интерфейс = бридж1 конекшнстатус = нью экшен = дроп

Но таки с вланами будет правильнее просто ввиду того, что на обе сети будет действовать свитч чип и скорости нормальные будут


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Cryogenic писал(а): 25 фев 2018, 09:58 Есть задача на одном CRS сделать две изолированных друг от друга сети, каждая со своим DHCP-сервером. Одна - обычная локальная сеть с "медными" и WLAN-
...
Вот и думаю, а нужны ли тут VLAN-ы? Никаких trunk-портов, в которые требовалось бы засовывать трафик обеих сетей, а потом разделять, нет.
Раз надо разграничить - без VLAN никак.
Cryogenic писал(а): 25 фев 2018, 09:58 Как я предполагал сделать:
1. Создать два бриджа, распределить по ним порты, как на рисунке.
Сделать так можно, но в корне не правильно.
Вы планируете CRS использовать и как маршрутизатор и как коммутатор, при это не используете чип коммутации.
Результат будет что вы очень быстро разочаруетесь в скорости.

Чисто теоретически, раз у вас один CRS, вы можете сделать и с одним мостом, но на фильтрах между портами просто запутаетесь и черезчур перегрузите устройство правилами.


Александр
Cryogenic
Сообщения: 0
Зарегистрирован: 15 фев 2018, 08:59

Добрый вечер.
Форумчане, большое спасибо за подсказки. Вроде, удалось настроить что хотел.

В итоге, оставил один бридж, создал два VLAN-а (VLAN5 и VLAN50) и распределил между ними порты.
Затем настроил DHCP, завязав его на VLAN-ы - все работает, адреса выдаются в зависимости портов.
Но все равно, компьютеры из разных сетей видят (ping-уют) друг друга.
Запретил маршрутизацию между сетями:
/ip firewall filter add in-interface=vlan50 out-interface=vlan5 connection-state=new action=drop chain=forward
/ip firewall filter add in-interface=vlan5 out-interface=vlan50 connection-state=new action=drop chain=forward
Больше компы из разных сетей не видят друг друга.

Хотел настроить NAT в интернет, но только для одной сети:
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-wan in-interface=vlan5
но роутер ругается: incoming interface matching not possible in output and postrouting chains
подскажите, как правильно сделать такую настройку?
Может быть есть толковая статья, где можно доходчиво почитать про команды route и firewall, со всеми параметрами, action-ами, цепочками для Mikrotik-а? Или они общие для остальных роутеров тоже?


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Cryogenic писал(а): 25 фев 2018, 20:46 Хотел настроить NAT в интернет, но только для одной сети:
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-wan in-interface=vlan5
но роутер ругается: incoming interface matching not possible in output and postrouting chains
подскажите, как правильно сделать такую настройку?
В вашем случае:

Код: Выделить всё

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-wan src-address=192.168.5.0/24 
Но правильнее, на мой взгляд:.

Код: Выделить всё

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-wan 
/ip firewall filter 
add action=accept chain=forward comment="Allow established & related" connection-state=established,related
add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid
add in-interface=vlan50 out-interface=ether1-wan  action=accept chain=forward
add action=drop chain=forward comment="All other Drop"
И не нужны ваши два правила запрещающие хождение между vlan.
Я придерживаюсь принципа: что в правилах надо разрешить что нужно (что знаешь), а остальное все запретить. И это особенно новичкам будет полезно.
Cryogenic писал(а): 25 фев 2018, 20:46 Может быть есть толковая статья, где можно доходчиво почитать про команды route и firewall, со всеми параметрами, action-ами, цепочками для Mikrotik-а? Или они общие для остальных роутеров тоже?
https://wiki.mikrotik.com


Александр
Ответить