Видимость компов внутри Vlan

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
lorddemon
Сообщения: 41
Зарегистрирован: 05 дек 2017, 12:01

Настроил на RB1100AHx4
2 UPlink (2 провайдера)
10 портов на каждом своя подсеть VLAN с выходом в инет
1 порт с 5 VLAN также с инетом
некоторые ходят через одного провайдера некоторые через второго

между подсетями компы не видят друг друга и не должны

внутри подсети некоторые должны друг друга видеть а некоторые нет
как это сделать правильно?

в CapsMan все красиво включил или нет Local Forwarding


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Устройство может управлять только тем трафиком, который через него проходит.

Так что если это
lorddemon писал(а): 27 сен 2018, 00:01 10 портов на каждом своя подсеть VLAN с выходом в инет
подразумевает, что на портах висит какое-то ещё оборудование (коммутаторы, точки доступа), в которое уже подключены клиентские устройства, то вот это
lorddemon писал(а): 27 сен 2018, 00:01 внутри подсети некоторые должны друг друга видеть а некоторые нет

надо настраивать на этом самом другом оборудовании.


Telegram: @thexvo
lorddemon
Сообщения: 41
Зарегистрирован: 05 дек 2017, 12:01

xvo писал(а): 27 сен 2018, 00:25 Устройство может управлять только тем трафиком, который через него проходит.

Так что если это
lorddemon писал(а): 27 сен 2018, 00:01 10 портов на каждом своя подсеть VLAN с выходом в инет
подразумевает, что на портах висит какое-то ещё оборудование (коммутаторы, точки доступа), в которое уже подключены клиентские устройства, то вот это
lorddemon писал(а): 27 сен 2018, 00:01 внутри подсети некоторые должны друг друга видеть а некоторые нет

надо настраивать на этом самом другом оборудовании.
за соответствующими портами есть только простые свичи так что управляет трафиком только микротик
если точнее это учебное заведение в котором есть 8 комп классов и каждый из классов должен крутится только в своем окружение и с доступом в инет
на других портах компы администрации но не все VLAN ы должны позволять общение внутри подсети
какое правило надо прописать для изолированных VLAN ов чтоб они были таковыми


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

lorddemon писал(а): 27 сен 2018, 00:41
xvo писал(а): 27 сен 2018, 00:25 Устройство может управлять только тем трафиком, который через него проходит.

Так что если это
lorddemon писал(а): 27 сен 2018, 00:01 10 портов на каждом своя подсеть VLAN с выходом в инет
подразумевает, что на портах висит какое-то ещё оборудование (коммутаторы, точки доступа), в которое уже подключены клиентские устройства, то вот это
lorddemon писал(а): 27 сен 2018, 00:01 внутри подсети некоторые должны друг друга видеть а некоторые нет

надо настраивать на этом самом другом оборудовании.
за соответствующими портами есть только простые свичи так что управляет трафиком только микротик
если точнее это учебное заведение в котором есть 8 комп классов и каждый из классов должен крутится только в своем окружение и с доступом в инет
на других портах компы администрации но не все VLAN ы должны позволять общение внутри подсети
какое правило надо прописать для изолированных VLAN ов чтоб они были таковыми
Если у вас на порту микротика висит неуправляемый свитч, то управлять трафиком между портами этого свитча вы никак не сможете.


Telegram: @thexvo
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

lorddemon писал(а): 27 сен 2018, 00:41 какое правило надо прописать для изолированных VLAN ов чтоб они были таковыми
Что должно быть изолированно: vlan'ы друг от друга или клиенты внутри одного vlan'а?
Если первое, то это firewall на микротике.
Если второе, то это что-то вроде port isolation или protected ports на свитче, если он умеет.

А вообще, зачем вам нужны vlan'ы, если все равно на каждом порту своя подсеть?
Нарисуйте что ли схему, без этого совершенно не понятно, что вы хотите получить в итоге.
А играть в угадайку, это мы с вами долго можем.


Telegram: @thexvo
lorddemon
Сообщения: 41
Зарегистрирован: 05 дек 2017, 12:01

xvo писал(а): 27 сен 2018, 01:29
lorddemon писал(а): 27 сен 2018, 00:41 какое правило надо прописать для изолированных VLAN ов чтоб они были таковыми
Что должно быть изолированно: vlan'ы друг от друга или клиенты внутри одного vlan'а?
Если первое, то это firewall на микротике.
Если второе, то это что-то вроде port isolation или protected ports на свитче, если он умеет.

А вообще, зачем вам нужны vlan'ы, если все равно на каждом порту своя подсеть?
Нарисуйте что ли схему, без этого совершенно не понятно, что вы хотите получить в итоге.
А играть в угадайку, это мы с вами долго можем.
внутри подсети некоторые должны друг друга видеть а некоторые нет
как это сделать правильно?

в 2 из созданных VLAN ов компы внутри этого VLAN а не должны друг друга видеть


port1 |port2 | port3 | port4 |port5 |port6 |port7 |port8 |port9 |port10 |port11 | port12 | port13
Uplink1 | Uplink2 | Класc1 |Класc2 |Класc3 |Класc4|Класc5|Класc6|Класc7|Класc8|Admin1|Admin2|Cam
|Vlan1 |Vlan2 | Vlan3 |Vlan4 |Vlan5 |Vlan6 |Vlan7 |Vlan8 |Vlan9 |Vlan10 |Vlan11

Между собой VLANы не общаются вообще
Vlan1 - Vlan8, Vlan11 - компы видят друг друга внутри своего VLANа
Vlan9, Vlan10 - компы внутри VLANa не должны видеть друг друга

Еще возможно понадобится сделать на порту 11 еще 2 VLANa изолированных от остальных но с взаимодействием внутри VLANa Vlan бухгалтерии и VLAN директора
как я понимаю компы уже будут привязаны в Vlan по мак но это я еще не делал


SergeyZ
Сообщения: 111
Зарегистрирован: 10 сен 2018, 09:07
Откуда: Санкт-Петербург

Дак сделайте больше вланов. Зачем внутри вланов усложнять все?


lorddemon
Сообщения: 41
Зарегистрирован: 05 дек 2017, 12:01

SergeyZ писал(а): 28 сен 2018, 19:48 Дак сделайте больше вланов. Зачем внутри вланов усложнять все?
в чем усложнение? в запрете взаимодейтсвия компов внутри влана? сделать больше вланов это по вашему сколько компов столько вланов?


SergeyZ
Сообщения: 111
Зарегистрирован: 10 сен 2018, 09:07
Откуда: Санкт-Петербург

Вы внутри влана делите компы на группы, которые аналогичны вланам. Только вланы проще и менее требовательны к ресурсам роутера.


lorddemon
Сообщения: 41
Зарегистрирован: 05 дек 2017, 12:01

SergeyZ писал(а): 28 сен 2018, 21:40 Вы внутри влана делите компы на группы, которые аналогичны вланам. Только вланы проще и менее требовательны к ресурсам роутера.
а подробнее как сделать
как вы говорите в одном влане 3 группы компов из которых 2 группы будут между собой общаться а в одной нет
по поводу ресурсов ...у меня 1100AHx4 и на нем пока порядка 300 юзеров и добавятся около 300 по WiFi + 30 камер ...
для этого рутера это пыль....


Ответить