Не могу понять, пакеты к с каким vlan выходят из точки доступа.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
goombert
Сообщения: 0
Зарегистрирован: 20 май 2018, 21:24

Имеется точка доступа на базе RB951.
На ней настроены 2 AP, одна из который virtual ap с vlan20.
Рабочая подсеть 192.168.1.0 и гостевая 192.168.2.0.
Точка подключена к коммутатору через кабель, в этот коммутатор так же сходятся все хосты рабочей сети. Как изолировать трафик гостевой подсети 192.168.2.0 на коммутаторе и пробросить его до маршрутизатора? Если бы из точки выходило 2 кабеля, то для гостевой можно было бы назначить на коммутаторе порт с нужным вланом и запустить потом в транк на маршрутизатор, но тут один кабель и я никак не могу понять логически как безопасно пробросить трафик из гостевой подсети через общий коммутатор.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Мда, понаписали без конкретики...
goombert писал(а): 21 май 2018, 01:07 Имеется точка доступа на базе RB951.
Вроде это обычный роутер?
goombert писал(а): 21 май 2018, 01:07 На ней настроены 2 AP, одна из который virtual ap с vlan20.
Рабочая подсеть 192.168.1.0 и гостевая 192.168.2.0.
Подсети заданы wlan* интерфейсам или бриджам?
Как настроены в целом точки и "точка доступа" как
и каким портом подключена к сети/к коммутатору?
goombert писал(а): 21 май 2018, 01:07 Точка подключена к коммутатору через кабель, в этот коммутатор так же сходятся все хосты рабочей сети.
Что за коммутатор? Фирма, марка,модель? Коммутатор по описанию умеет работать с виланами?
goombert писал(а): 21 май 2018, 01:07 Как изолировать трафик гостевой подсети 192.168.2.0 на коммутаторе и пробросить его до маршрутизатора?
Сначала добиться чтобы:
а) с точки доступа выходил тегированный трафик (то есть выходит обычный локальный трафик и тегированный гостевой трафик).
б) подать это всё на коммутатор
в) с коммутатора на маршрутизатор
goombert писал(а): 21 май 2018, 01:07 Если бы из точки выходило 2 кабеля, то для гостевой можно было бы назначить на коммутаторе порт с нужным вланом и запустить потом в транк на маршрутизатор
Виланы для того и созданы чтобы в рамках одной "физики", то есть в рамках одного порта/провода разделять разные типы трафика.
Почитайте и теорию и что я выше написал.
goombert писал(а): 21 май 2018, 01:07 но тут один кабель и я никак не могу понять логически как безопасно пробросить трафик из гостевой подсети через общий коммутатор.
Сначала нарисовать схему, описать не только обобщённо, но и конкретно, как настроено, какое оборудование,
с какова порта в какой подключается. Также не известно что у Вас за коммутатор и что такое в Вашем описании
маршрутизатор.

С виланами всё просто, гостевую сеть делаете виланом, загоняете этот трафик внутри этого же порта,
и дальше уже пройдя коммутатор (если он пропускает/понимает виланы) и уже на маршрутизаторе вытаскиваете
вилан или если маршрутизатор не умеет работать с виланом, то на выходе перед маршрутизатором делаете трафик
гостевой сети не-тегированный и подаёте в маршрутизатор.

Более дельных и явных советов дать не могу, нету ни чётких данных, не описания.
И ещё раз - виланы нужны чтобы по одному проводу прогонять сразу несколько независимых видов трафиков, как раз
Ваш случай. Рекомендую почитать основательно.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
goombert
Сообщения: 0
Зарегистрирован: 20 май 2018, 21:24

1) Да, это обычный роутер, пытаюсь разобраться с микротиками.
Как изначально настраивал:
Есть 2 подсети: 192.168.31.0/24 и 192.168.32.0/24
К подсети 31.0/24 относятся интерфейс основной wi-fi и порт ether2 на роутере, к
которому
подключен кабель который идет на прямую к маршрутизатору на базе freeDSD.
Эти 2 интерфейса объединены бриджем default.
Подсеть назначена на интерфейс ether2, все настройки клиенты получают из домена win
за маршрутизатором. Микротик поключается к интерфейсу re0 в bsd который считается локальным и доверенным.
--------------------------
Подсеть номер 2, для гостей: 32.0/24. Она назначена на интерфейс WI-FI-GUEST (который
виртуальный). В разделе интерфейс\vlan создан интерфейс VLAN20 который сопоставлен
с ether2 (ниже поясню почему я так сделал)
Создан бридж VLAN20-interface куда включены: интерфейс WI-FI-GUEST и интерфейс
VLAN20. Настройки сеть получает от DHCP который поднят и прослушивает интерфейс re.20 который ловит пакеты с тегом vlan20 на маршрутизаторе bsd.
На маршрутизаторе прописаны 3 правила:
$fwcmd 12 deny all from 192.168.32.0/24 to any out via $Lan
$fwcmd 12 deny all from 192.168.31.0/24 to any out via $Vlan
$fwcmd 21 allow all from any to any via $Lan
Остальные правила заводят поток с $vlan в pipe после чего в Nat и выкидывают наружу.
Т.е. пакеты с маршрутизатора больше никуда не попадают, днс берется гугла.
__________________
Вот в таком режиме все работает без проблем, подсети не видят друг друга (правила на bsd запрещают это), но у меня нет уверенности до конца, что это реально безопасно, учесток между микротиком и до шлюза.
Поскольку микротик подключен к шлюзу напрямую только для настройки, между ними необходимо воткнуть коммутатор, в роли коммутатора циска 3750, насколько я понимаю, порт куда будет приходить трафик с микротика мы делаем транковым, и порт выхода в шлюз тоже транковый. И нужно чтобы пакеты с нетегированным трафиком офисной wi-fi пропускались скажем на 2-8 порты циски, т.е. либо они будут в группе vlan1(нетегированный) коими являются пакеты от микротика с офисной вай-фай, толи делать какую-то дополнительную группу vlan с портами и на циске и на самом микротике.
И вот у меня встают 2 вопроса, которые не могу понять:
По идее с микротика выходит смешанный трафик, тегированный (vlan20) и не (от офисной wi-fi).
Я не могу понять в каком месте настроек микротика трафик c vlan20 помечается тегом 20, какой именно интерфейс добавляет метку. Как транковый порт циски будет воспринимать нетегированный трафик, если скажем остальные порты циски точно так же в режиме access, или лучше (правильнее) на микротике и для основной wi-fi создать vlan и помечать пакеты, а на циске остальные порты включить в группу vlan с которой работают клиенты офисного wi-fi.
Как вообще по правильному организуют доступ по гостевому wi-fi, подключают по отдельному порту девайс, или же могут реализовать и через виртуальную точку доступа?
В общем самый темный лес для меня именно настройки микротика, понимаю назначение бриджа, интерфейса, но не понимаю например сопоставление одного интерфейса с другим, что это означает. Как то так.
Еще мне не понятно, назначение создание интерфейса vlan как в разделе бридж, так и в разделе интерфес. В чем отличие?
Возможно на микротике можно было сделать так:
Создаем vlan20 сопоставляем с WI-FI-GUEST и vlan40 сопоставляем с WI-FI-office, создаем бридж куда запихиваем ether2, эти 2 vlan и 2 wi-fi интерфейса. Т.е. бридж будет по сути мостом между этими интерфейсами. Но тогда нужно будет писать блокирующие правила и на самом микротике, чтобы клиенты подсетей не могли видеть друг друга. В общем, нужно максимально разнести подсети, с минимальными рисками взаимного доступа.


Ответить