Странности со вторым SSID на отдельном влане

Обсуждение ПО и его настройки
andrey.miroshnikov
Сообщения: 7
Зарегистрирован: 07 ноя 2019, 21:14

Здравствуйте.

Устройство: HAP AC² RBD52G-5HacD2HnD-TC
Версия ПО: 6.45.7

Первый мой опыт работы с микротиками. Работаю через webfig. Настраиваю multi-ssid: есть основная обычная wi-fi-сеть (SSID), добавляю дополнительную, которая должна бриджеваться с внутренней сетью, подаваемой на роутер через vlan: на один из портов приходит кабель с основной сетью в untag (access)-режиме, и по этому же кабелю в этот же порт подаётся вторая сеть в режиме tag.
Собственно, добавил виртуальный SSID. Добавил vlan через Interfaces > Vlan, интерфейсом указал ether2 (физический порт). Далее добавил бридж в Bridge > Bridge. И затем в Bridge > Ports сделал два соединения бриджа: с wireless-сетью, а так же с вланом.
Ну и в IP > Addresses добавил адрес на бридж, чтобы можно было пинговать роутер и проверять связность.

DHCP и DNS выключено, потому что раздаются отдельным сервером. От микротика в данном случае трубуется только L2.

С основной wifi-сетью проблем нет, там всё ок. А вот со второй сетью, которая бриджуется с вланом, есть странность. При подключении клиента, у него сразу есть связность с самим роутером: я могу пинговать его адрес. Но при этом я не могу пинговать ничего за этим роутером, в частности - сервер/шлюз. Хотя он в этой же подсети, и должен быть доступен по L2.
Со шлюза при этом я могу пинговать роутер, но клиент на фай-фае не пингуется. Такая картина длится какое-то длительное время, около 5 +/-, после чего связность появляется в обе стороны "сама", и всё работает как надо.
После переподключения клиента к вай-фай-сети снова нужно ждат минут 5 прежде, чем появится связность между клиентом и всем, что за роутером.

В чём может быть дело?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Связность появляется не сама, а когда вы с двух сторон попробуете попинговать, добавив нужные адреса в arp-таблицу.

Причина - поломанный arp. Из-за неправильно настроенного влана - бриждевать влан-интерфейсы и физические интерфейсы вместе нельзя.
А в вашем случае и не нужно.

Как правильно:
- создаете бридж.
- добавляете туда все нужные интерфейсы (для простоты пока ether1, wlan1 и wlan2, который виртуальный).
- дальше на вкладке bridge -> vlan настраиваете: tagged портами для вашего vlan-id ether1 и wlan2
- в настройках самого wlan2 интерфейса указываете режим vlan mode - use tag и ставите номер vlan'а
- для основной сети ничего не трогаете
- включаете vlan filtering на бридже.

Vlan-интерфейс вам нужен, только если у самого роутера должен быть адрес в этом влане.
И создавать этот vlan-интерфейс надо на бридже, а не на физическом порту входящем в бридж.
Eдинственное, что тогда ещё нужно будет добавить: на 3ем шаге, ещё сам бридж тоже должен быть tagged портом для этого влана.


Telegram: @thexvo
andrey.miroshnikov
Сообщения: 7
Зарегистрирован: 07 ноя 2019, 21:14

Спасибо!

Делаю по Вашему гайду, всё равно связности нет. И есть вопросы к инструкции.
- создаете бридж.
Сделал, заполнив только имя бриджа, и сразу включив "VLAN Filtering", оставив PVID в значении 1.
- добавляете туда все нужные интерфейсы (для простоты пока ether1, wlan1 и wlan2, который виртуальный).
Вот здесь не совсем понял. Этот влан мне нужно прокинуть только между одним физическим портом и wifi-сетью. wlan2 я добавил, но зачем добавлять туда ещё wlan1 (основная wifi-сеть) и ether1 - не понял, ведь влан подан на порт в тегированном виде, и если добавить в бридж физический порт, то, видимо, забреджуется именно untag-сеть с этого порта.
Да оно и не даёт добавить такие связи: при попытке добавить в бридж ether говорит: "Couldn't add New Bridge Port - device already added as bridge port (6)", при попытке добавить wlan1 говорит: "Couldn't add New Bridge Port - object already exists (7)".

Остальные шаги выполнил. Связности нет (


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну то есть здесь делаю, здесь не делаю, потом удивляюсь, почему не работает?!

Если у вас что-то где-то не добавляется, видимо есть какой-то второй бридж, куда эти порты уже добавлены.
А бридж должен быть всего один.


Telegram: @thexvo
andrey.miroshnikov
Сообщения: 7
Зарегистрирован: 07 ноя 2019, 21:14

Если у вас что-то где-то не добавляется, видимо есть какой-то второй бридж, куда эти порты уже добавлены.
А бридж должен быть всего один.
Такой бридж действительно есть, это основной первый "bridge", через который работает основная сеть. Он подан на порт в untag-режиме, и мне хотелось бы это так и оставить. Это возможно? Соответственно, удалить привязку к порту я не могу.

В то же время я не понимаю для чего нужна связь второго нового бриджа и ether-порта, ведь ещё раз - влан подан на порт в tag-режиме, а бридж на него означал бы связь с untag на этом порту.

В чём я ошибаюсь?


andrey.miroshnikov
Сообщения: 7
Зарегистрирован: 07 ноя 2019, 21:14

По вашей логике я не могу подать на порт более одного влана в принципе, ведь для этого нужно прицепить к нему более одного бриджа, а это невозможно.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Если у вас бридж уже создан и в него уже добавлены и ether по которому должны приходить оба влана, и основной wifi wlan1, то просто добавляйте в него wlan2 и дальше с третьего пункта того, что я вам изначально описал.
Последний раз редактировалось xvo 07 ноя 2019, 23:52, всего редактировалось 1 раз.


Telegram: @thexvo
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

andrey.miroshnikov писал(а): 07 ноя 2019, 23:46 По вашей логике я не могу подать на порт более одного влана в принципе, ведь для этого нужно прицепить к нему более одного бриджа, а это невозможно.
Я нигде не говорил, что какой-либо порт должен быть в двух бриджах одновременно.
Я вам изначально написал, как настроить роутер с пустой конфигурации.


Telegram: @thexvo
andrey.miroshnikov
Сообщения: 7
Зарегистрирован: 07 ноя 2019, 21:14

Вот оно что :) Я полагал, что для каждого влана нужен свой бридж, ведь бриджи объединяют интерфейсы по L2, а L2 у вланов - отдельные, изолированные друг от друга. А тут получается, что все интерфейсы нужно засунуть в один общий бридж. Не очень понимаю как, но теперь оно работает.

Спасибо!


andrey.miroshnikov
Сообщения: 7
Зарегистрирован: 07 ноя 2019, 21:14

Хотя, кажется, врубаюсь: видимо здесь бридж - это внутренний общий для всех интерфейсов L2, близкий к hardware, поверх которого мы уже можем пустить фреймы с тегами там, где нам нужны вланы.


Ответить