VLAN ограничение доступа

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
i_eremenko
Сообщения: 9
Зарегистрирован: 17 июл 2018, 12:19

Приветствую!
Есть сеть:
Изображение
Попытался разграничить доступ между 1-4 сетями с помощью VLAN, но не понял как запрещать доступ между сетями.
Конфа примерно такая:

Код: Выделить всё

/interface bridge
add name=10-br pvid=10 vlan-filtering=yes
add name=20-br pvid=20 vlan-filtering=yes
add name=30-br pvid=30 vlan-filtering=yes
add name=40-br pvid=40 vlan-filtering=yes
add name=50-br pvid=50 vlan-filtering=yes
add name=60-br pvid=60 vlan-filtering=yes
add name=70-br pvid=70 vlan-filtering=yes
add name=80-br pvid=80 vlan-filtering=yes
add name=90-br pvid=90 vlan-filtering=yes
add name=100-br pvid=100 vlan-filtering=yes
add fast-forward=no name=isp1-br pvid=11 vlan-filtering=yes
add fast-forward=no name=isp2-br pvid=12 vlan-filtering=yes
add fast-forward=no name=wifi-br pvid=130 vlan-filtering=yes
/interface vlan
add interface=10-br name=10-vlan vlan-id=10
add interface=20-br name=20-vlan vlan-id=20
add interface=30-br name=30-vlan vlan-id=30
add interface=40-br name=40-vlan vlan-id=40
add interface=50-br name=50-vlan vlan-id=50
add interface=60-br name=60-vlan vlan-id=60
add interface=70-br name=70-vlan vlan-id=70
add interface=80-br name=80-vlan vlan-id=80
add interface=90-br name=90-vlan vlan-id=90
add interface=100-br name=100-vlan vlan-id=100
add interface=isp1-br name=isp1-vlan vlan-id=11
add interface=isp2-br name=isp2-vlan vlan-id=12
add interface=wifi-br name=wifi-vlan vlan-id=130
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=Tmp
/ip pool
add name=a-10-pool ranges=10.0.10.10-10.0.10.240
add name=a-20-pool ranges=10.0.20.10-10.0.20.240
add name=a-30-pool ranges=10.0.30.10-10.0.30.240
add name=a-40-pool ranges=10.0.40.10-10.0.40.240
add name=a-50-pool ranges=10.0.50.10-10.0.50.240
add name=a-60-pool ranges=10.0.60.10-10.0.60.240
add name=a-70-pool ranges=10.0.70.10-10.0.70.240
add name=a-80-pool ranges=10.0.80.10-10.0.80.240
add name=a-90-pool ranges=10.0.90.10-10.0.90.240
add name=a-100-pool ranges=10.0.100.10-10.0.100.240
add name=a-110-pool ranges=10.0.110.10-10.0.110.240
add name=a-120-pool ranges=10.0.120.10-10.0.120.240
add name=a-130-pool ranges=10.0.130.10-10.0.130.240
add name=b-10-pool ranges=172.16.10.10-172.16.10.240
add name=b-20-pool ranges=172.16.20.10-172.16.20.240
add name=b-30-pool ranges=172.16.30.10-172.16.30.240
add name=b-40-pool ranges=172.16.40.10-172.16.40.240
add name=b-50-pool ranges=172.16.50.10-172.16.50.240
add name=b-60-pool ranges=172.16.60.10-172.16.60.240
add name=b-70-pool ranges=172.16.70.10-172.16.70.240
add name=b-80-pool ranges=172.16.80.10-172.16.80.240
add name=b-90-pool ranges=172.16.90.10-172.16.90.240
add name=b-100-pool ranges=172.16.100.10-172.16.100.240
add name=b-110-pool ranges=172.16.110.10-172.16.110.240
add name=b-120-pool ranges=172.16.120.10-172.16.120.240
add name=b-130-pool ranges=172.16.130.10-172.16.130.240
add name=c-10-pool ranges=192.168.10.10-192.168.10.240
add name=c-20-pool ranges=192.168.20.10-192.168.20.240
add name=c-30-pool ranges=192.168.30.10-192.168.30.240
add name=c-40-pool ranges=192.168.40.10-192.168.40.240
add name=c-50-pool ranges=192.168.50.10-192.168.50.240
add name=c-60-pool ranges=192.168.60.10-192.168.60.240
add name=c-70-pool ranges=192.168.70.10-192.168.70.240
add name=c-80-pool ranges=192.168.80.10-192.168.80.240
add name=c-90-pool ranges=192.168.90.10-192.168.90.240
add name=c-100-pool ranges=192.168.100.10-192.168.100.240
add name=c-110-pool ranges=192.168.110.10-192.168.110.240
add name=c-120-pool ranges=192.168.120.10-192.168.120.240
add name=c-130-pool ranges=192.168.130.10-192.168.130.240
/ip dhcp-server
add add-arp=yes address-pool=a-10-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=10-vlan lease-time=2w name=\
    10-dhcp
add add-arp=yes address-pool=a-20-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=20-vlan lease-time=2w name=\
    20-dhcp
add add-arp=yes address-pool=a-30-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=30-vlan lease-time=2w name=\
    30-dhcp
add add-arp=yes address-pool=a-40-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=40-vlan lease-time=2w name=\
    40-dhcp
add add-arp=yes address-pool=a-50-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=50-vlan lease-time=2w name=\
    50-dhcp
add add-arp=yes address-pool=a-60-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=60-vlan lease-time=2w name=\
    60-dhcp
add add-arp=yes address-pool=a-70-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=70-vlan lease-time=2w name=\
    70-dhcp
add add-arp=yes address-pool=a-80-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=80-vlan lease-time=2w name=\
    80-dhcp
add add-arp=yes address-pool=a-90-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=90-vlan lease-time=2w name=\
    90-dhcp
add add-arp=yes address-pool=a-100-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=100-vlan lease-time=2w name=\
    100-dhcp
add address-pool=b-130-pool bootp-lease-time=lease-time bootp-support=dynamic \
    disabled=no interface=wifi-vlan lease-time=2w name=130-dhcp
/interface bridge port
add bridge=isp1-br interface=ether11 pvid=11
add bridge=isp2-br interface=ether12 pvid=12
add bridge=wifi-br interface=ether13 pvid=130
add bridge=10-br interface=ether1 pvid=10
add bridge=20-br interface=ether2 pvid=20
add bridge=30-br interface=ether3 pvid=30
add bridge=40-br interface=ether4 pvid=40
add bridge=50-br interface=ether5 pvid=50
add bridge=60-br interface=ether6 pvid=60
add bridge=70-br interface=ether7 pvid=70
add bridge=80-br interface=ether8 pvid=80
add bridge=90-br interface=ether9 pvid=90
add bridge=100-br interface=ether10 pvid=100
/interface bridge vlan
add bridge=10-br tagged=10-br untagged=ether1 vlan-ids=10
add bridge=20-br tagged=20-br untagged=ether2 vlan-ids=20
add bridge=30-br tagged=30-br untagged=ether3 vlan-ids=30
add bridge=40-br tagged=40-br untagged=ether4 vlan-ids=40
add bridge=50-br tagged=50-br untagged=ether5 vlan-ids=50
add bridge=60-br tagged=60-br untagged=ether6 vlan-ids=60
add bridge=70-br tagged=70-br untagged=ether7 vlan-ids=70
add bridge=80-br tagged=80-br untagged=ether8 vlan-ids=80
add bridge=90-br tagged=90-br untagged=ether9 vlan-ids=90
add bridge=100-br tagged=100-br untagged=ether10 vlan-ids=100
add bridge=isp1-br tagged=isp1-br untagged=ether11 vlan-ids=11
add bridge=isp2-br tagged=isp2-br untagged=ether12 vlan-ids=12
add bridge=wifi-br tagged=wifi-br untagged=ether13 vlan-ids=130
/ip address
add address=10.0.10.1/24 interface=10-vlan network=10.0.10.0
add address=10.0.20.1/24 interface=20-vlan network=10.0.20.0
add address=10.0.30.1/24 interface=30-vlan network=10.0.30.0
add address=10.0.40.1/24 interface=40-vlan network=10.0.40.0
add address=10.0.50.1/24 interface=50-vlan network=10.0.50.0
add address=10.0.60.1/24 interface=60-vlan network=10.0.60.0
add address=10.0.70.1/24 interface=70-vlan network=10.0.70.0
add address=10.0.80.1/24 interface=80-vlan network=10.0.80.0
add address=10.0.90.1/24 interface=90-vlan network=10.0.90.0
add address=10.0.100.1/24 interface=100-vlan network=10.0.100.0
add address=5.5.5.198/30 interface=isp1-vlan network=5.5.5.196
add address=6.6.0.3/24 interface=isp2-vlan network=6.6.0.0
add address=10.0.130.1/24 interface=wifi-vlan network=10.0.130.0
/ip dhcp-server network
add address=10.0.10.0/24 dns-server=10.0.10.1 gateway=10.0.10.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.20.0/24 dns-server=10.0.20.1 gateway=10.0.20.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.30.0/24 dns-server=10.0.30.1 gateway=10.0.30.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.40.0/24 dns-server=10.0.40.1 gateway=10.0.40.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.50.0/24 dns-server=10.0.50.1 gateway=10.0.50.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.60.0/24 dns-server=10.0.60.1 gateway=10.0.60.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.70.0/24 dns-server=10.0.70.1 gateway=10.0.70.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.80.0/24 dns-server=10.0.80.1 gateway=10.0.80.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.90.0/24 dns-server=10.0.90.1 gateway=10.0.90.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.100.0/24 dns-server=10.0.100.1 gateway=10.0.100.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.110.0/24 dns-server=10.0.110.1 gateway=10.0.110.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.120.0/24 dns-server=10.0.120.1 gateway=10.0.120.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.130.0/24 dns-server=10.0.130.1 gateway=10.0.130.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=172.16.10.0/24 dns-server=172.16.10.1 gateway=172.16.10.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=172.16.20.0/24 dns-server=172.16.20.1 gateway=172.16.20.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=172.16.30.0/24 dns-server=172.16.30.1 gateway=172.16.30.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=172.16.40.0/24 dns-server=172.16.40.1 gateway=172.16.40.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=172.16.50.0/24 dns-server=172.16.50.1 gateway=172.16.50.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=172.16.60.0/24 dns-server=172.16.60.1 gateway=172.16.60.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=172.16.70.0/24 dns-server=172.16.70.1 gateway=172.16.70.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=172.16.80.0/24 dns-server=172.16.80.1 gateway=172.16.80.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=172.16.90.0/24 dns-server=172.16.90.1 gateway=172.16.90.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=172.16.100.0/24 dns-server=172.16.100.1 gateway=172.16.100.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=172.16.110.0/24 dns-server=172.16.110.1 gateway=172.16.110.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=172.16.120.0/24 dns-server=172.16.120.1 gateway=172.16.120.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=172.16.130.0/24 dns-server=172.16.130.1 gateway=172.16.130.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=192.168.30.0/24 dns-server=192.168.30.1 gateway=192.168.30.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=192.168.40.0/24 dns-server=192.168.40.1 gateway=192.168.40.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=192.168.50.0/24 dns-server=192.168.50.1 gateway=192.168.50.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=192.168.60.0/24 dns-server=192.168.60.1 gateway=192.168.60.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=192.168.70.0/24 dns-server=192.168.70.1 gateway=192.168.70.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=192.168.80.0/24 dns-server=192.168.80.1 gateway=192.168.80.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=192.168.90.0/24 dns-server=192.168.90.1 gateway=192.168.90.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=192.168.110.0/24 dns-server=192.168.110.1 gateway=192.168.110.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=192.168.120.0/24 dns-server=192.168.120.1 gateway=192.168.120.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
add address=192.168.130.0/24 dns-server=192.168.130.1 gateway=192.168.130.1 \
    netmask=24 ntp-server=95.213.132.254,213.28.138.38
/ip dns
set allow-remote-requests=yes cache-size=4096KiB servers=\
    2.2.2.2,1.1.1.1
/ip firewall filter
add action=drop chain=output comment=\
    "Deny ping 8.8.4.4 throogh reserved channel" dst-address=8.8.4.4 \
    out-interface=isp2-vlan protocol=icmp
/ip firewall mangle
add action=mark-connection chain=input dst-address=1.1.1.1 \
    in-interface=isp1-vlan new-connection-mark=isp1-connection-in \
    passthrough=yes
add action=mark-routing chain=output connection-mark=isp1-connection-in \
    new-routing-mark=isp1-connection-out passthrough=no
add action=mark-connection chain=forward in-interface=isp1-vlan \
    new-connection-mark=isp1-connection-forward passthrough=no
add action=mark-connection chain=input dst-address=3.3.3.3 \
    in-interface=isp2-vlan new-connection-mark=isp2-connection-in \
    passthrough=yes
add action=mark-routing chain=output connection-mark=isp2-connection-in \
    new-routing-mark=isp2-connection-out passthrough=no
add action=mark-connection chain=forward in-interface=isp2-vlan \
    new-connection-mark=isp2-connection-forward passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=isp1-vlan
add action=masquerade chain=srcnat out-interface=isp2-vlan
/ip route
add check-gateway=arp distance=1 gateway=isp1-vlan routing-mark=\
    isp1-connection-out
add check-gateway=arp distance=1 gateway=isp2-vlan routing-mark=\
    isp2-connection-out
add check-gateway=arp distance=1 gateway=1.1.1.1
add check-gateway=arp distance=2 gateway=3.3.3.3
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Tmp
/system ntp client
set enabled=yes primary-ntp=95.213.132.254 secondary-ntp=213.28.138.38
/system routerboard settings
set silent-boot=no
/tool romon
set enabled=yes

В 11 порт подключён основной провайдер.
в 12 порт подключён клиент, для которого мы резервный провайдер, а он резервный провайдер для нас.
Убрал только реальные адреса.
При подключении к порту клиент получает адрес, теоретически попадает в VLAN, соответствующий порту, при этом видит всех.
Если я включаю на порту Frame types: admit only untagged and priority tagged, ничего не меняется.
Перекопал кучу инфы, прежде чем сюда писать, похоже не понимаю какую-то мелочь. Или руки кривые... :smu:sche_nie:
Как разграничить VLANы, не прибегая к правилам фаервола?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

i_eremenko писал(а): 17 авг 2018, 12:26 Перекопал кучу инфы, прежде чем сюда писать, похоже не понимаю какую-то мелочь. Или руки кривые... :smu:sche_nie:
Как разграничить VLANы, не прибегая к правилам фаервола?
Это и есть та самая мелочь: маршрутизатор для того и создан, чтобы маршрутизировать трафик между разными сетями.
Чем он и занимается без ограничений, пока вы ему эти ограничения не зададите в firewall'е.


Telegram: @thexvo
i_eremenko
Сообщения: 9
Зарегистрирован: 17 июл 2018, 12:19

xvo писал(а): 17 авг 2018, 12:49 Это и есть та самая мелочь: маршрутизатор для того и создан, чтобы маршрутизировать трафик между разными сетями.
Чем он и занимается без ограничений, пока вы ему эти ограничения не зададите в firewall'е.
Правильно ли я понял?
На маршрутизаторе мы создаём VLANы, настраиваем маршруты и задаём правила.
Для того, чтобы ограничивать VLANы по портам, нужен коммутатор 2-3 уровня. Или железка с действующим свитч чипом.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Не прибегая к правилам фаеровола можно разграничить сети через ip route rule, но этот вариант не такой гибкий как фаервол.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

i_eremenko писал(а): 17 авг 2018, 13:01
xvo писал(а): 17 авг 2018, 12:49 Это и есть та самая мелочь: маршрутизатор для того и создан, чтобы маршрутизировать трафик между разными сетями.
Чем он и занимается без ограничений, пока вы ему эти ограничения не зададите в firewall'е.
Правильно ли я понял?
На маршрутизаторе мы создаём VLANы, настраиваем маршруты и задаём правила.
Для того, чтобы ограничивать VLANы по портам, нужен коммутатор 2-3 уровня. Или железка с действующим свитч чипом.
Коммутатор аппаратно разграничит VLANы на своих портах, но это все равно не избавит от необходимости организовывать маршрутизацию там, где все эти VLANы сойдутся - на маршрутизаторе.


Telegram: @thexvo
i_eremenko
Сообщения: 9
Зарегистрирован: 17 июл 2018, 12:19

KARaS'b писал(а): 17 авг 2018, 13:06 Не прибегая к правилам фаеровола можно разграничить сети через ip route rule, но этот вариант не такой гибкий как фаервол.
Я говорил о привязке порта к VLANу, о действиях на уровне порта. Камрад xvo заслуженно макнул меня носом в [вырезанно цензурой], ему за это огромная благодарность. Теперь у меня картинка сложилась. Побежал за циской на попробовать. :)


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

i_eremenko писал(а): 17 авг 2018, 13:18
KARaS'b писал(а): 17 авг 2018, 13:06 Не прибегая к правилам фаеровола можно разграничить сети через ip route rule, но этот вариант не такой гибкий как фаервол.
Я говорил о привязке порта к VLANу, о действиях на уровне порта. Камрад xvo заслуженно макнул меня носом в [вырезанно цензурой], ему за это огромная благодарность. Теперь у меня картинка сложилась. Побежал за циской на попробовать. :)
Всегда пожалуйста ;;-)))
Кстати, глянул конфиг - больно сложно все.
На текущих версиях ROS достаточно все локальные порты запихнуть в один bridge и все VLANы сконфигурировать на нем.
https://wiki.mikrotik.com/wiki/Manual:I ... _Filtering
Тем более, что на RB1100AHx4 VLANы все равно не аппаратные, как ни настраивай.


Telegram: @thexvo
i_eremenko
Сообщения: 9
Зарегистрирован: 17 июл 2018, 12:19

xvo писал(а): 17 авг 2018, 13:39
Кстати, глянул конфиг - больно сложно все.
На текущих версиях ROS достаточно все локальные порты запихнуть в один bridge и все VLANы сконфигурировать на нем.
Это дань моим шаманским пляскам с бубном. Нафигачил сетей целую пачку, с запасом по принцыпу "чтоб было готово, если понадобится, руками вбивать каждый раз впадлу"
Когда начинал разбираться, был конфиг попроще. Что-то типа:

Код: Выделить всё

/interface bridge
add name=vlan-br vlan-filtering=yes
/interface vlan
add interface=vlan-br name=vlan10 vlan-id=10
add interface=vlan-br name=vlan20 vlan-id=20
add interface=vlan-br name=vlan30 vlan-id=30
add interface=vlan-br name=vlan40 vlan-id=40
add interface=vlan-br name=vlan100 vlan-id=100
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=vlan10-pool ranges=10.0.10.10-10.0.10.240
add name=vlan20-pool ranges=10.0.20.10-10.0.20.240
add name=vlan30-pool ranges=10.0.30.10-10.0.30.240
add name=vlan40-pool ranges=10.0.40.10-10.0.40.240
add name=vlan100-pool ranges=10.0.100.10-10.0.100.240
/ip dhcp-server
add add-arp=yes address-pool=vlan10-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=vlan10 lease-time=2w name=\
    vlan10-dhcp
add add-arp=yes address-pool=vlan20-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=vlan20 lease-time=2w name=\
    vlan20-dhcp
add add-arp=yes address-pool=vlan30-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=vlan30 lease-time=2w name=\
    vlan30-dhcp
add add-arp=yes address-pool=vlan40-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=vlan40 lease-time=2w name=\
    vlan40-dhcp
add add-arp=yes address-pool=vlan100-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=vlan100 lease-time=2w name=\
    vlan100-dhcp
/interface bridge port
add bridge=vlan-br interface=ether3 pvid=10
add bridge=vlan-br interface=ether4 pvid=20
add bridge=vlan-br interface=ether5 pvid=30
add bridge=vlan-br interface=ether6 pvid=40
add bridge=vlan-br interface=ether7 pvid=40
add bridge=vlan-br interface=ether8 pvid=40
add bridge=vlan-br interface=ether9 pvid=40
add bridge=vlan-br interface=ether10 pvid=40
add bridge=vlan-br interface=ether11 pvid=100
add bridge=vlan-br interface=ether12 pvid=100
add bridge=vlan-br interface=ether13 pvid=100
/interface bridge vlan
add bridge=vlan-br tagged=vlan-br untagged=ether3 vlan-ids=10
add bridge=vlan-br tagged=vlan-br untagged=ether4 vlan-ids=20
add bridge=vlan-br tagged=vlan-br untagged=ether5 vlan-ids=30
add bridge=vlan-br tagged=vlan-br untagged=\
    ether6,ether7,ether8,ether9,ether10 vlan-ids=40
add bridge=vlan-br tagged=vlan-br untagged=ether11,ether12,ether13 vlan-ids=\
    100
/ip address
add address=10.0.10.1/24 interface=vlan10 network=10.0.10.0
add address=10.0.20.1/24 interface=vlan20 network=10.0.20.0
add address=10.0.30.1/24 interface=vlan30 network=10.0.30.0
add address=10.0.40.1/24 interface=vlan40 network=10.0.40.0
add address=10.0.100.1/24 interface=vlan100 network=10.0.100.0
/ip dhcp-server network
add address=10.0.10.0/24 domain=euro.auto gateway=10.0.10.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.20.0/24 domain=euro.auto gateway=10.0.20.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.30.0/24 domain=euro.auto gateway=10.0.30.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.40.0/24 domain=euro.auto gateway=10.0.40.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.100.0/24 domain=euro.auto gateway=10.0.100.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
/system identity
set name=Dobroe
/system ntp client
set enabled=yes primary-ntp=95.213.132.254 secondary-ntp=213.28.138.38
/system routerboard settings
set silent-boot=no
По вики пытался делать, но не получалось сконфигурировать DHCP на VLANe. Где-то на микротиковском форуме нашёл сработавшую конфигурацию, на которой получилось. Вокруг неё долго стучал в бубен, научился её ронять и чинить без сноса конфигурации. Например, если положить и поднять бридж вланы, то они не заведутся, пока не сделаешь то же самое с самими бриджами. Короче изображал шамана, пока не получил в бубен... ;;-)))


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

i_eremenko писал(а): 17 авг 2018, 14:01
xvo писал(а): 17 авг 2018, 13:39
Кстати, глянул конфиг - больно сложно все.
На текущих версиях ROS достаточно все локальные порты запихнуть в один bridge и все VLANы сконфигурировать на нем.
Это дань моим шаманским пляскам с бубном. Нафигачил сетей целую пачку, с запасом по принцыпу "чтоб было готово, если понадобится, руками вбивать каждый раз впадлу"
Когда начинал разбираться, был конфиг попроще. Что-то типа:

Код: Выделить всё

/interface bridge
add name=vlan-br vlan-filtering=yes
/interface vlan
add interface=vlan-br name=vlan10 vlan-id=10
add interface=vlan-br name=vlan20 vlan-id=20
add interface=vlan-br name=vlan30 vlan-id=30
add interface=vlan-br name=vlan40 vlan-id=40
add interface=vlan-br name=vlan100 vlan-id=100
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=vlan10-pool ranges=10.0.10.10-10.0.10.240
add name=vlan20-pool ranges=10.0.20.10-10.0.20.240
add name=vlan30-pool ranges=10.0.30.10-10.0.30.240
add name=vlan40-pool ranges=10.0.40.10-10.0.40.240
add name=vlan100-pool ranges=10.0.100.10-10.0.100.240
/ip dhcp-server
add add-arp=yes address-pool=vlan10-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=vlan10 lease-time=2w name=\
    vlan10-dhcp
add add-arp=yes address-pool=vlan20-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=vlan20 lease-time=2w name=\
    vlan20-dhcp
add add-arp=yes address-pool=vlan30-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=vlan30 lease-time=2w name=\
    vlan30-dhcp
add add-arp=yes address-pool=vlan40-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=vlan40 lease-time=2w name=\
    vlan40-dhcp
add add-arp=yes address-pool=vlan100-pool bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=vlan100 lease-time=2w name=\
    vlan100-dhcp
/interface bridge port
add bridge=vlan-br interface=ether3 pvid=10
add bridge=vlan-br interface=ether4 pvid=20
add bridge=vlan-br interface=ether5 pvid=30
add bridge=vlan-br interface=ether6 pvid=40
add bridge=vlan-br interface=ether7 pvid=40
add bridge=vlan-br interface=ether8 pvid=40
add bridge=vlan-br interface=ether9 pvid=40
add bridge=vlan-br interface=ether10 pvid=40
add bridge=vlan-br interface=ether11 pvid=100
add bridge=vlan-br interface=ether12 pvid=100
add bridge=vlan-br interface=ether13 pvid=100
/interface bridge vlan
add bridge=vlan-br tagged=vlan-br untagged=ether3 vlan-ids=10
add bridge=vlan-br tagged=vlan-br untagged=ether4 vlan-ids=20
add bridge=vlan-br tagged=vlan-br untagged=ether5 vlan-ids=30
add bridge=vlan-br tagged=vlan-br untagged=\
    ether6,ether7,ether8,ether9,ether10 vlan-ids=40
add bridge=vlan-br tagged=vlan-br untagged=ether11,ether12,ether13 vlan-ids=\
    100
/ip address
add address=10.0.10.1/24 interface=vlan10 network=10.0.10.0
add address=10.0.20.1/24 interface=vlan20 network=10.0.20.0
add address=10.0.30.1/24 interface=vlan30 network=10.0.30.0
add address=10.0.40.1/24 interface=vlan40 network=10.0.40.0
add address=10.0.100.1/24 interface=vlan100 network=10.0.100.0
/ip dhcp-server network
add address=10.0.10.0/24 domain=euro.auto gateway=10.0.10.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.20.0/24 domain=euro.auto gateway=10.0.20.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.30.0/24 domain=euro.auto gateway=10.0.30.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.40.0/24 domain=euro.auto gateway=10.0.40.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
add address=10.0.100.0/24 domain=euro.auto gateway=10.0.100.1 netmask=24 \
    ntp-server=95.213.132.254,213.28.138.38
/system identity
set name=Dobroe
/system ntp client
set enabled=yes primary-ntp=95.213.132.254 secondary-ntp=213.28.138.38
/system routerboard settings
set silent-boot=no
По вики пытался делать, но не получалось сконфигурировать DHCP на VLANe. Где-то на микротиковском форуме нашёл сработавшую конфигурацию, на которой получилось. Вокруг неё долго стучал в бубен, научился её ронять и чинить без сноса конфигурации. Например, если положить и поднять бридж вланы, то они не заведутся, пока не сделаешь то же самое с самими бриджами. Короче изображал шамана, пока не получил в бубен... ;;-)))
Ага, вот такой конфиг я и имел ввиду.
Так что теперь дело только за firewall'ом :)


Telegram: @thexvo
Ответить