Маршрутизация между VLANами.

Обсуждение оборудования и его настройки
Ответить
Gungster
Сообщения: 6
Зарегистрирован: 12 фев 2018, 09:13

24 дек 2018, 12:44

Собственно настроил кучку VLANов, присвоил адреса, поднял DHCP сервер для VLANов. Компы кахдого из VLANов получают адреса, видят друг друга, можно выходить в тырнет, а вот компы из соседних VLANов не видно и шлюзы VLANов тоже не видно. Если делать трассировку до хостов в соседнем VLAе, то трафик улетает в тырнет, а вот где моя ошибка ?????
Вот настройки:

Код: Выделить всё

/interface bridge
add name=bridge-VLAN0
add name=bridge-VLAN2
add name=bridge-VLAN3
add name=bridge-VLAN15
add name=bridge-VLAN100
add name=bridge-VLAN101
add name=bridge-VLAN102
add name=bridge-VLAN210
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN1
set [ find default-name=ether2 ] name=ether2-WAN2
set [ find default-name=ether3 ] name=ether3-WAN3
set [ find default-name=ether4 ] name=ether4-WAN4
set [ find default-name=ether13 ] name=ether13-LAN
/interface l2tp-server
add name=RO2_to_HQ user=User2
add name=RO1_to_HQ user=User1
add name=User8_to_HQ user=User8
add name=RO7_to_HQ user=User7
add name=RO6_to_HQ user=User6
add name=RO3_to_HQ user=User3
add name=RO4_to_HQ user=User4
add name=RO5_to_HQ user=User5
/ip neighbor discovery
set ether1-WAN1 discover=no
set ether2-WAN2 discover=no
set ether3-WAN3 discover=no
set ether4-WAN4 discover=no
set ether5 discover=no
set ether6 discover=no
set ether7 discover=no
set ether8 discover=no
set ether9 discover=no
set ether10 discover=no
set ether11 discover=no
set ether12 discover=no
/interface bonding
add mode=802.3ad name=CISCO3750 slaves=ether13-LAN,ether12,ether11,ether10 \
    transmit-hash-policy=layer-2-and-3
/interface vlan
add interface=CISCO3750 name=VLAN0 vlan-id=10
add interface=CISCO3750 name=VLAN2 vlan-id=2
add interface=CISCO3750 name=VLAN3 vlan-id=3
add interface=CISCO3750 name=VLAN15 vlan-id=15
add interface=CISCO3750 name=VLAN100 vlan-id=100
add interface=CISCO3750 name=VLAN101 vlan-id=101
add interface=CISCO3750 name=VLAN102 vlan-id=102
add interface=CISCO3750 name=VLAN210 vlan-id=210
/interface list
add name=lst-WAN
/ip pool
add name=pool-VLAN0 ranges=192.168.0.51-192.168.0.250
add name=pool-VLAN2 ranges=192.168.2.6-192.168.2.250
add name=pool-VLAN3 ranges=192.168.3.6-192.168.3.250
add name=pool-VLAN15 ranges=192.168.15.6-192.168.15.250
add name=pool-VLAN100 ranges=192.168.100.6-192.168.100.250
add name=pool-VLAN101 ranges=192.168.101.6-192.168.101.250
add name=pool-VLAN102 ranges=192.168.102.6-192.168.102.250
/ip dhcp-server
add add-arp=yes address-pool=pool-VLAN0 always-broadcast=yes authoritative=\
    yes disabled=no interface=bridge-VLAN0 name=DHCP-VLAN0
add add-arp=yes address-pool=pool-VLAN2 always-broadcast=yes authoritative=\
    yes disabled=no interface=bridge-VLAN2 name=DHCP-VLAN2
add add-arp=yes address-pool=pool-VLAN3 always-broadcast=yes authoritative=\
    yes disabled=no interface=bridge-VLAN3 name=DHCP-VLAN3
add add-arp=yes address-pool=pool-VLAN15 always-broadcast=yes authoritative=\
    yes disabled=no interface=bridge-VLAN15 name=DHCP-VLAN15
add add-arp=yes address-pool=pool-VLAN100 always-broadcast=yes authoritative=\
    yes disabled=no interface=bridge-VLAN100 name=DHCP-VLAN100
add add-arp=yes address-pool=pool-VLAN101 always-broadcast=yes authoritative=\
    yes disabled=no interface=bridge-VLAN101 name=DHCP-VLAN101
add add-arp=yes address-pool=pool-VLAN102 always-broadcast=yes authoritative=\
    yes disabled=no interface=bridge-VLAN102 name=DHCP-VLAN102
/ppp profile
set *FFFFFFFE use-compression=yes
/queue type
add kind=pcq name=pcq-download-1M pcq-classifier=dst-address \
    pcq-dst-address6-mask=64 pcq-rate=1M pcq-src-address6-mask=64
add kind=pcq name=pcq-upload-1M pcq-classifier=src-address \
    pcq-dst-address6-mask=64 pcq-rate=1M pcq-src-address6-mask=64
/queue simple
add max-limit=50M/50M name=GuestWiFi-limit-1M queue=\
    pcq-upload-1M/pcq-download-1M target=192.168.3.0/24
/interface bridge port
add bridge=bridge-VLAN0 interface=VLAN0
add bridge=bridge-VLAN2 interface=VLAN2
add bridge=bridge-VLAN3 interface=VLAN3
add bridge=bridge-VLAN15 interface=VLAN15
add bridge=bridge-VLAN100 interface=VLAN100
add bridge=bridge-VLAN101 interface=VLAN101
add bridge=bridge-VLAN102 interface=VLAN102
add bridge=bridge-VLAN210 interface=VLAN210
/interface l2tp-server server
set authentication=mschap2 enabled=yes
/interface list member
add interface=ether1-WAN1 list=lst-WAN
add interface=ether2-WAN2 list=lst-WAN
add interface=ether3-WAN3 list=lst-WAN
add interface=ether4-WAN4 list=lst-WAN
/ip address
add address=192.168.220.254/24 interface=ether5 network=192.168.220.0
add address=192.168.210.254/24 interface=bridge-VLAN210 network=192.168.210.0
add address=4.4.4.4 interface=ether1-WAN1 network=5.5.5.5
add address=3.3.3.3 interface=ether2-WAN2 network=5.5.5.5
add address=2.2.2.2 interface=ether3-WAN3 network=5.5.5.5
add address=1.1.1.1 interface=ether4-WAN4 network=5.5.5.5
add address=192.168.0.254/24 interface=bridge-VLAN0 network=192.168.0.0
add address=192.168.2.254/24 interface=bridge-VLAN2 network=192.168.2.0
add address=192.168.3.254/24 interface=bridge-VLAN3 network=192.168.3.0
add address=192.168.15.254/24 interface=bridge-VLAN15 network=192.168.15.0
add address=192.168.100.254/24 interface=bridge-VLAN100 network=192.168.100.0
add address=192.168.101.254/24 interface=bridge-VLAN101 network=192.168.101.0
add address=192.168.102.254/24 interface=bridge-VLAN102 network=192.168.102.0
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=\
    192.168.0.11,192.168.0.100,192.168.0.254 gateway=192.168.0.254 netmask=24
add address=192.168.2.0/24 dns-server=192.168.2.254 gateway=192.168.2.254 \
    netmask=24
add address=192.168.3.0/24 dns-server=192.168.3.254 gateway=192.168.3.254 \
    netmask=24
add address=192.168.15.0/24 dns-server=192.168.15.254 gateway=192.168.15.254 \
    netmask=24
add address=192.168.100.0/24 dns-server=192.168.100.254 gateway=\
    192.168.100.254 netmask=24
add address=192.168.101.0/24 dns-server=192.168.101.254 gateway=\
    192.168.101.254 netmask=24
add address=192.168.102.0/24 dns-server=192.168.102.254 gateway=\
    192.168.102.254 netmask=24
add address=192.168.210.0/24 dns-server=192.168.210.254 gateway=\
    192.168.210.254 netmask=24
/ip dns
set allow-remote-requests=yes servers=\
    8.8.8.8,4.4.4.4
/ip firewall address-list
add address=192.168.0.21 list=LA
add address=192.168.0.22 list=LA
add address=192.168.0.9 list=LA
add address=192.168.0.50-192.168.0.250 list=IP	
add address=192.168.2.0/24 list=IP
add address=192.168.3.0/24 list=IP
add address=192.168.102.0/24 list=IP
add address=192.168.0.23 list=IP
add address=192.168.0.24 list=IP
add address=192.168.0.25 list=AS
add address=192.168.0.26 list=AS
add address=192.168.0.27 list=AK
add address=192.168.0.71 list=AS
add address=192.168.0.28 list=AK
add address=192.168.0.47 list=AK
add address=192.168.0.90 list=AK
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
/ip firewall filter
add action=drop chain=input comment="BOGON Drop" in-interface=ether1-WAN1 \
    src-address-list=BOGON
add action=drop chain=input comment="BOGON Drop" in-interface=ether4-WAN4 \
    src-address-list=BOGON
add action=drop chain=input comment="BOGON Drop" in-interface=ether3-WAN3 \
    src-address-list=BOGON
add action=drop chain=input comment="BOGON Drop" in-interface=ether2-WAN2 \
    src-address-list=BOGON
add action=accept chain=input comment=Ping protocol=icmp
add action=accept chain=input comment=DNS dst-port=53 in-interface-list=\
    !lst-WAN protocol=udp
add action=accept chain=input comment=L2TP dst-port=1701 in-interface=\
    ether1-WAN1 protocol=udp
add action=accept chain=forward out-interface=all-ppp
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment=\
    "Access to Mikrotik only from our local network" src-address=\
    192.168.0.0/16
add action=accept chain=forward comment=\
    "Access to Internet from our local network" disabled=yes src-address=\
    192.168.0.0/16
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward disabled=yes dst-address=192.168.0.0/16
add action=drop chain=input connection-state=invalid
add action=drop chain=input connection-state=new in-interface=!CISCO3750
/ip firewall mangle
add action=mark-connection chain=prerouting new-connection-mark=con-WAN1 \
    src-address-list=LA
add action=mark-connection chain=prerouting new-connection-mark=con-WAN2 \
    src-address-list=IP
add action=mark-connection chain=prerouting new-connection-mark=con-WAN3 \
    src-address-list=AS
add action=mark-connection chain=prerouting new-connection-mark=con-WAN4 \
    src-address-list=AK
add action=mark-routing chain=prerouting connection-mark=con-WAN1 \
    in-interface-list=!lst-WAN new-routing-mark=WAN1 passthrough=yes \
    src-address-list=LA
add action=mark-routing chain=prerouting connection-mark=con-WAN2 \
    in-interface-list=!lst-WAN new-routing-mark=WAN2 passthrough=yes \
    src-address-list=IP
add action=mark-routing chain=prerouting connection-mark=con-WAN3 \
    in-interface-list=!lst-WAN new-routing-mark=WAN3 passthrough=yes \
    src-address-list=AS
add action=mark-routing chain=prerouting connection-mark=con-WAN4 \
    in-interface-list=!lst-WAN new-routing-mark=WAN4 passthrough=yes \
    src-address-list=AK
add action=mark-routing chain=prerouting dst-address=192.168.32.0/24 \
    new-routing-mark=rm_to_User1 passthrough=yes
add action=mark-routing chain=prerouting dst-address=192.168.37.0/24 \
    new-routing-mark=rm_to_User7 passthrough=yes
add action=mark-routing chain=prerouting dst-address=192.168.34.0/24 \
    new-routing-mark=rm_to_User6 passthrough=yes
add action=mark-routing chain=prerouting dst-address=192.168.38.0/24 \
    new-routing-mark=rm_to_User5 passthrough=yes
add action=mark-routing chain=prerouting dst-address=192.168.36.0/24 \
    new-routing-mark=rm_to_User4 passthrough=yes
add action=mark-routing chain=prerouting dst-address=192.168.35.0/24 \
    new-routing-mark=rm_to_User3 passthrough=yes
add action=mark-routing chain=prerouting dst-address=192.168.31.0/24 \
    new-routing-mark=rm_to_User2 passthrough=yes
add action=mark-routing chain=prerouting dst-address=192.168.39.0/24 \
    new-routing-mark=rm_to_User8 passthrough=yes
add action=mark-routing chain=prerouting disabled=yes dst-address=\
    192.168.0.0/24 new-routing-mark=rm_from_RO passthrough=yes src-address=\
    172.16.30.0/24
/ip firewall nat
add action=netmap chain=dstnat comment="Emergency RDP 1C" dst-port=60086 \
    in-interface=ether3-WAN3 protocol=tcp to-addresses=192.168.0.4 to-ports=\
    3389
add action=netmap chain=dstnat comment="Emergency RDP Autodealer" dst-port=\
    60087 in-interface=ether4-WAN4 protocol=tcp to-addresses=192.168.0.241 \
    to-ports=3389
add action=netmap chain=dstnat comment="to SecurOS Mobile Client" dst-port=\
    7777 in-interface=ether2-WAN2 protocol=tcp to-addresses=192.168.102.10 \
    to-ports=7777
add action=masquerade chain=srcnat out-interface=all-ppp
add action=src-nat chain=srcnat out-interface=ether1-WAN1 to-addresses=\
    4.4.4.4
add action=src-nat chain=srcnat out-interface=ether2-WAN2 to-addresses=\
    3.3.3.3
add action=src-nat chain=srcnat out-interface=ether3-WAN3 to-addresses=\
    2.2.2.2
add action=src-nat chain=srcnat out-interface=ether4-WAN4 to-addresses=\
    1.1.1.1
/ip firewall raw
add action=drop chain=prerouting comment="sbl dshield" dst-address-list=\
    "sbl dshield"
add action=drop chain=prerouting comment="sbl spamhaus" dst-address-list=\
    "sbl spamhaus"
add action=drop chain=prerouting comment="sbl blocklist.de" dst-address-list=\
    "sbl blocklist.de"
/ip route
add check-gateway=ping diUser3ce=1 gateway=5.5.5.5%ether1-WAN1 \
    routing-mark=WAN1
add check-gateway=ping diUser3ce=1 gateway=5.5.5.5%ether2-WAN2 \
    routing-mark=WAN2
add check-gateway=ping diUser3ce=1 gateway=5.5.5.5%ether3-WAN3 \
    routing-mark=WAN3
add check-gateway=ping diUser3ce=1 gateway=5.5.5.5%ether4-WAN4 \
    routing-mark=WAN4
add diUser3ce=1 gateway=RO1_to_HQ routing-mark=rm_to_User1
add diUser3ce=1 gateway=RO2_to_HQ routing-mark=rm_to_User2
add diUser3ce=1 gateway=RO3_to_HQ routing-mark=rm_to_User3
add diUser3ce=1 gateway=RO4_to_HQ routing-mark=rm_to_User4
add diUser3ce=1 gateway=RO5_to_HQ routing-mark=rm_to_User5
add diUser3ce=1 gateway=RO6_to_HQ routing-mark=rm_to_User6
add diUser3ce=1 gateway=RO7_to_HQ routing-mark=rm_to_User7
add diUser3ce=1 gateway=172.16.30.9 routing-mark=rm_to_User8
add diUser3ce=1 gateway="5.5.5.5%ether1-WAN1,5.5.5.5%ether3-WAN3,\
    5.5.5.5%ether2-WAN2,5.5.5.5%ether4-WAN4"
/ip route rule
add action=unreachable comment="Isolate Office net to Guest WiFi" \
    dst-address=192.168.3.0/24 src-address=192.168.0.0/24
add action=unreachable comment="Isolate Guest WiFi to Office net" \
    dst-address=192.168.0.0/24 src-address=192.168.3.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.0.0/24,192.168.210.0/24,192.168.220.0/24
set api-ssl disabled=yes
/ppp secret
add local-address=172.16.30.1 name=User1 password=XXXXXXXXX \
    profile=default-encryption remote-address=172.16.30.2 service=l2tp
add local-address=172.16.30.1 name=User2 password=XXXXXXXXX \
    profile=default-encryption remote-address=172.16.30.3 service=l2tp
add local-address=172.16.30.1 name=User3 password=XXXXXXXXX \
    profile=default-encryption remote-address=172.16.30.4 service=l2tp
add local-address=172.16.30.1 name=User4 password=XXXXXXXXX \
    profile=default-encryption remote-address=172.16.30.5 service=l2tp
add local-address=172.16.30.1 name=User5 password=XXXXXXXXX profile=\
    default-encryption remote-address=172.16.30.6 service=l2tp
add local-address=172.16.30.1 name=User6 password=XXXXXXXXX profile=\
    default-encryption remote-address=172.16.30.7 service=l2tp
add local-address=172.16.30.1 name=User7 password=XXXXXXXXX \
    profile=default-encryption remote-address=172.16.30.8 service=l2tp
add local-address=172.16.30.1 name=User8 password=XXXXXXXXX profile=\
    default-encryption remote-address=172.16.30.9 service=l2tp
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Yekaterinburg
/system logging
set 0 disabled=yes
/system ntp client
set enabled=yes primary-ntp=88.147.254.232 secondary-ntp=88.147.254.230
/system ntp server
set enabled=yes manycast=no
/system scheduler
add interval=12h name="Check BlockList" on-event="/tool fetch address=www.squi\
    dblacklist.org host=www.squidblacklist.org mode=http src-path=/downloads/d\
    rop.malicious.rsc" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
    nov/29/2018 start-time=00:00:00
add interval=12h1m name="Import BlockList" on-event=":log warning \93Disabling\
    \_system Logging\94:\r\
    \nimport drop.malicious.rsc\r\
    \n/system logging enable 0\r\
    \n" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive \
    start-date=nov/29/2018 start-time=00:01:00


Аватара пользователя
podarok66
Модератор
Сообщения: 3079
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

24 дек 2018, 19:53

Дык vlan это же Virtual Local Area Network - виртуальная локальная вычислительная сеть. Виланы заводят обычно для того, чтобы обособить сети друг от друга (Вики по этому поводу говорит - "...логическое деление коммутатора на несколько не сообщающихся между собой сетей..."). А вы хотите наоборот, чтобы сети друг друга видели. Может вам виланы-то ни к чему? Почитайте, пожалуйста, о них побольше.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Vlad-2
Модератор
Сообщения: 1238
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Камчатка
Контактная информация:

24 дек 2018, 20:53

Согласен с podarok66

Добавлю лишь:
1) один вилан, один DHCP, одна IP-сеть, один шлюз.
2) чтобы компьютеры были в своём вилане, виланы настраивают не только на одном оборудовании,
ещё надо настроить и на свитчах/на портах к которым подключены эти компьютеры.
3) как вилан подаётся до клиента или уже клиенту у Вас ? (тегированный или не-тегированный)
Может Вы виланы нарезали, а забыли на аксес-свитчах прописать виланы и PVID'ы ?
4) у Микротика на уровне L3-layer сети разных виланов между собой доступны,
это значит что трафик вилана10 и вилана20 не пересекается, но с микротика, который
находиться в вилане10 и в вилане20 = может видеть их сразу, и может их между собой
на уровне маршрутизации объединять (обычно это по-умолчанию).

Поэтому по Вашему посту я не понял что у Вас не идёт явно. Вы не видите компьютер из вилана20
пингуя с компа в вилане10 ?
Так частая ошибка = между виланами/локальными сетями НАТ делают, хотя он не нужен и нужна
обычная статическая маршрутизация. Проверьте.

А вообще конфиг не простой у Вас, и застрять с виланами = как-то слишком просто. :sh_ok:


На работе(ах): 2xCCR1016-12G, 2xRB3011UiAS и hAP lite
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов: hAP mini и что-то ещё по мелочи
MTCNA
MTCRE
Ответить