Mikrotik rb951ui-2hnd настройка VLAN

[Denitornado]

Доброго коллеги!
Имеется Mikrotik rb951ui-2hnd. Прошу помочь разобраться как все таки нужно корректно настроить на моем устройстве vlans, а то уже вторые выходные (в свободное время сижу разбираюсь) не могу понять что я недопонимаю и что надо исправить, чтобы задача была выполнена.(
Итак.
Микротик настроен уже давно, настройки базовые, как говорится лишь бы инет раздавал и локалка работала.
Изначально настроен Bridge, в него были добавлены все 5 портов. В Adresses настроено подключение к ISP, и второй строкой к Bridge привязан 192.168.10.1/24 (адрес по которому я подключаюсь Winbox). Настроен DHCP для данной сети и NAT, ,базовые правила firewall.
----------
Теперь я хочу сделать основной Vlan на всех портах 10 (native vlan). А 4 порт сделать транковым, в него потом будет подключаться внешняя точка доступа WiFi для гостевой сети vlan 20 и сети с доступом в основную - vlan 10.

Искал, читал, смотрел видосы, как правильно настраивать, что сейчас концепция у Миктротика через bridge настраивать vlan и т.п. Ну я и начал.
Если надо будет конфу скинуть, скину, пока кратко опишу мысли и чего делал
1) В Bridge-vlan создал vlan 10 у которого tagged сам bridge1, 4 порт, а остальные untagged
2) В Bridge-vlan создал vlan 20 у которого tagged сам bridge1 и 4 порт
этим же я говорю что 4 порт будет транк, а остальные access?
3) далее в interfaces-vlan я создаю по интерфейсу для каждого vlan. Создаю указываю name=vlan10, vlanid=10, interface=bridge1.
Для 20 vlan делаю так же интерфейс с привязкой к bridge1, только vlanid=20

Я правильно понимаю, что такие vlan интерфейсы делаются для того, чтобы потом можно было маршрутизацию между vlanами настроить и адрес который я далее повешу на vlan интерфейс, будет шлюзом по умолчанию подсети vlan?
4) Ну а теперь я в Addresses создаю адрес для vlan интерфейса\сети. Создаю пока для 20vlan 192.168.20.1/24, interface=vlan20. Для vlan10 создавал чуть позже объясню почему и что мне тут не понятно.
5) Теперь надо бы DHCP сервера создать. Создал DHCP и привязал его для vlan20 и Scope к нему. А для сети 192.168.10.ххх уже был создал DHCP пока оставляю его. Но он пока привязан к Bridge1.
6) Далее я делаю привязку тегов к портам. Во 2 порт у меня воткнут мой ПК, в 3 порт ТВ приставка, 5 порт свободен. Поэтому 2 и 3 порты - vlan10. А 4 порт у меня транк. Теперь у порта 2 и 3 в Bridge-Ports на вкладке Vlan у поля PVID ставлю 10. 4 порт не трогаю там остается PVID-1.

и казалось бы почти все, последний шаг - включить у всего Бриджа Vlan Filtering чтобы он начал теги обрабатывать, но возвращаюсь теперь к пункту №4. Как понимаю я.... Надо же теперь создать интерфейс для Vlan-10. Иду в addresses и делаю интерфейс с адресом 192.168.10.1/24 для vlan10 - interface=vlan10.
Но видимо тут уже ошибка у меня и так нельзя делать? Ведь такой адрес у меня там уже есть и он привязан к Bridge1. Но как ни странно, система дает создать интерфейс с таким же адресом. Но после создания этой строки в addresses пропадает интернет! Роутер пока остается доступен.
7) Теперь мне надо DHCP сервер привязанный к бриджу у которого Scope 192.168.10.50-192.168.10.100, надо привязать к vlan10. Делаю это.
8) Удаляю из Addresses строку адреса 192.168.10.1/24 привязанную к Bridge1. Ведь у меня теперь есть такой же привязанный адрес 192.168.10.1/24 только к vlan10.
9) Включаю у всего бриджа Vlan Filtering.

Все, после этих действий роутер у меня отваливается от Winbox, не пингуется, инета естественно тоже нет. Но как ни странно, если сделать на ПК ipconfig /release и запросить новый адрес ipconfig /renew, то я получаю адрес из 10 подсети! Т.е. DHCP мне адрес дает.

При таких настройках, доступа к роутеру ни как не могу получить, но т.к. 5й порт я оставил без изменений, я перетыкиваю ПК в него и вижу в Winbox-Neigbors свой роутер с его MAC адресом, но IP у него 0.0.0.0 почему-то, но подключиться могу по MAC значит. Я так считаю, что я что-то делаю неправильно в шаге №4.

Но я не пойму почему адрес роутера становится недоступным 192.168.10.1 и Winbox-Neigbors тоже не показывает мне роутер доступным. Я же вроде кинул адрес 192.168.10.1 на vlan10 интерфейс... В общем сохранил пока такой конфиг в файлах роутера с пометкой confVlan_nowork и откатился к рабочей конфе без всех этих манипуляций до момента пока все пойму(.

Прошу прощения много написал, но если кто дочитал, буду признателен за помощь, т.к. просто хотел изъяснить ход своих мыслей и верно ли я вообще думаю как делаю).
Спасибо!

[gmx]

Скажите, пожалуйста, какой ответ вы ждете?
Вами написано очень много, понять и включится очень трудно.

В чем собственно заключается вопрос???

Вот одно из самых толковых руководств на тему vlan https://www.youtube.com/watch?v=wbmHmCDce5Y&t=326s

Я так понимаю, что интерес у вас чисто академический... Если просто хочется поучится, то будут правильнее купить два hAP Lite и крутить их "и в хвост, и в гриву" не ломая рабочую сеть.
Это даст простор и волю фантазии. Можно вообще купить только один, а второй поднять на виртуальной машине на компе. Но на двух железяках экспериментировать удобнее.

И еще совет, теперь по делу. Зачем вы назначаете vlan тот же адрес, что и сейчас у вас работает на бридже? 192.168.10.1/24 для vlan10 - interface=vlan10???? Причем упорно это делаете? Понятно, что это нужно, чтобы заработали остальные устройства в сети, но давайте пока про них забудем.
Назначьте vlan другой ip из другой подсети, повесьте на него новый dhcp. И вот тогда будет точно ясно, правильно ли вы настроили нативе vlan? Получат ли устройства в сети новый адрес или нет? Будут ли пинговаться роутер и устройства с новыми IP? В конце концов, не спешите все это сразу проделывать с несколькими портами. Пока попробуйте создать новый брижд и используйте один (если есть свободный, если нет, пожертвуйте одним) порт Ethernet. Создайте на этот бридже новый VLAN, потом IP (совсем из другой подсети) новый DHCP и проверяйте - перетыкайте компьютер и смотрите... Вот как только ваш комп начнет пинговать ip адрес нового влана, вот тогда вы все поймете и сможете сделать что-то более сложное. Следующий этап, так сказать, сделать так, чтобы на компе заработал инет с новым ip адресом...

[Denitornado]

Скажите, пожалуйста, какой ответ вы ждете?
Вами написано очень много, понять и включится очень трудно.

В чем собственно заключается вопрос???

Вот одно из самых толковых руководств на тему vlan https://www.youtube.com/watch?v=wbmHmCDce5Y&t=326s

Я так понимаю, что интерес у вас чисто академический... Если просто хочется поучится, то будут правильнее купить два hAP Lite и крутить их "и в хвост, и в гриву" не ломая рабочую сеть.
Это даст простор и волю фантазии. Можно вообще купить только один, а второй поднять на виртуальной машине на компе. Но на двух железяках экспериментировать удобнее.

И еще совет, теперь по делу. Зачем вы назначаете vlan тот же адрес, что и сейчас у вас работает на бридже? 192.168.10.1/24 для vlan10 - interface=vlan10???? Причем упорно это делаете? Понятно, что это нужно, чтобы заработали остальные устройства в сети, но давайте пока про них забудем.
Назначьте vlan другой ip из другой подсети, повесьте на него новый dhcp. И вот тогда будет точно ясно, правильно ли вы настроили нативе vlan? Получат ли устройства в сети новый адрес или нет? Будут ли пинговаться роутер и устройства с новыми IP? В конце концов, не спешите все это сразу проделывать с несколькими портами. Пока попробуйте создать новый брижд и используйте один (если есть свободный, если нет, пожертвуйте одним) порт Ethernet. Создайте на этот бридже новый VLAN, потом IP (совсем из другой подсети) новый DHCP и проверяйте - перетыкайте компьютер и смотрите... Вот как только ваш комп начнет пинговать ip адрес нового влана, вот тогда вы все поймете и сможете сделать что-то более сложное. Следующий этап, так сказать, сделать так, чтобы на компе заработал инет с новым ip адресом...

Ну я постарался просто точнее описать действия выполненные мной.
Ответ что я жду?.... скорее критику что я не правильно делаю.
Именно это видео что Вы мне любезно предоставили я вчера смотрел. Да то что надо, но что-то я получается не переварил по поводу vlan-ов

Зачем тратить деньги и что-то мне покупать, когда есть дома железка, вот и кручу верчу ее. Но спасибо з совет. Но к сожалению пока лишних бабосиков не завалялось(

И еще совет, теперь по делу. Зачем вы назначаете vlan тот же адрес, что и сейчас у вас работает на бридже? 192.168.10.1/24 для vlan10 - interface=vlan10????

Ну т.к. сейчас у меня адрес 192.168.10.1/24 на бридже и нет ни каких vlan-ов, я хочу сохранить эту же подсеть, но чтобы уже были задействованы vlan-ы и устройства подключенные в порты были в 10-ом!

[KaNelam]

нарисуйте желаемую схему, возможно станет понятней

[Denitornado]

нарисуйте желаемую схему, возможно станет понятней

Доброе утро!
Вот схемка моей сети


подразумевается, что 192.168.10.xxx (vlan10) - это основная сеть
PC воткнут во 2 порт. С этого же ПК админится роутер и точка доступа
ТВ Бокс в 3 порт
AP WiFi - 4 порт

[KaNelam]

ТД будет тоже тиковская?

[Denitornado]

ТД будет тоже тиковская?

Нет. Точка доступа Zyxel 5123-ac

[KaNelam]

Накидал на скорую руку. Как разрулить доступ: соседей в нужный влан, доступ тоже. Дропать управление от ненужного интерфейса. По вланам вариаций много.

Код: Выделить всё

/interface bridge
add name=bridge1 vlan-filtering=yes
/interface vlan
add interface=bridge1 name=vlan1 vlan-id=10
add interface=bridge1 name=vlan2 vlan-id=20
/ip pool
add name=dhcp_pool0 ranges=192.168.1.3-192.168.1.254
add name=dhcp_pool1 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=vlan1 name=dhcp1
add address-pool=dhcp_pool1 disabled=no interface=vlan2 name=dhcp2
/interface bridge port
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether2 pvid=10
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether4 pvid=10
add bridge=bridge1 interface=ether3
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether3 untagged=ether2,ether4 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether3 vlan-ids=20
/ip address
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
add address=192.168.2.1/24 interface=vlan2 network=192.168.2.0
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
add address=192.168.2.0/24 gateway=192.168.2.1

П.с. клепал без конфига

[Denitornado]

Накидал на скорую руку. Как разрулить доступ: соседей в нужный влан, доступ тоже. Дропать управление от ненужного интерфейса. По вланам вариаций много.

Код: Выделить всё

/interface bridge
add name=bridge1 vlan-filtering=yes
/interface vlan
add interface=bridge1 name=vlan1 vlan-id=10
add interface=bridge1 name=vlan2 vlan-id=20
/ip pool
add name=dhcp_pool0 ranges=192.168.1.3-192.168.1.254
add name=dhcp_pool1 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=vlan1 name=dhcp1
add address-pool=dhcp_pool1 disabled=no interface=vlan2 name=dhcp2
/interface bridge port
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether2 pvid=10
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether4 pvid=10
add bridge=bridge1 interface=ether3
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether3 untagged=ether2,ether4 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether3 vlan-ids=20
/ip address
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
add address=192.168.2.1/24 interface=vlan2 network=192.168.2.0
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
add address=192.168.2.0/24 gateway=192.168.2.1

П.с. клепал без конфига

Добрый день коллега!
Большое спасибо! Сравню со своей конфой, хотя так на глаз разницы пока не увидел, единственное тут
add bridge=bridge1 tagged=bridge1,ether3 untagged=ether2,ether4 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether3 vlan-ids=20

Я правильно понимаю что тут у Вас транком 3 порт? Просто у меня 4ый.

[KaNelam]

Ваял на нар lite, там 4 ethernet.