VLAN на RB2011UiAS-RM в сторону провайдера

Обсуждение ПО и его настройки
alpha
Сообщения: 7
Зарегистрирован: 26 май 2017, 11:26

Есть RB2011UiAS-RM
Есть провайдер, который дает два реальных IP просто в один ethernet, раздает по DHCP с привязкой к MAC.
Соответственно сначала было два бриджа на маршрутизаторе, один на WAN из двух портов (Провайдер и второй комп с реальным IP), второй на LAN с NAT между ними.
И вот появилась необходимость вынести второй комп подальше от роутера, но ethernet кабель туда идет только один, а там еще должны быть и локальные компы.
Решил завернуть все в VLANы.
Все делал по стандартному мануалу, VLANы на свиче (только прибил MAC адрес бриджу, чтобы по нему провайдер выдавал IP).

Код: Выделить всё

/interface bridge
add admin-mac=4C:5E:0C:D0:68:B0 auto-mac=no name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5

/interface ethernet switch vlan
add independent-learning=yes ports=ether1,ether2,ether3,switch1-cpu switch=switch1 vlan-id=20
add independent-learning=yes ports=ether1,ether4,ether5,switch1-cpu switch=switch1 vlan-id=30
/interface vlan
add interface=bridge1 name=vlan-lan vlan-id=30
add interface=bridge1 name=vlan-wan vlan-id=20
/ip address
add address=192.168.99.1/24 comment=defconf interface=vlan-lan network=192.168.99.0

/interface ethernet switch port
set 1 vlan-header=add-if-missing vlan-mode=secure
set 2 default-vlan-id=20 vlan-header=always-strip vlan-mode=secure
set 3 default-vlan-id=20 vlan-header=always-strip vlan-mode=secure
set 4 default-vlan-id=30 vlan-header=always-strip vlan-mode=secure
set 5 default-vlan-id=30 vlan-header=always-strip vlan-mode=secure
set 11 vlan-mode=secure
этот последний это switch1-cpu
После чего в первый порт роутера идет транк с обоими vlan до отдельного свича в транковый-же порт.
На свиче уже разбирается на аксес порты - vlan20 для реального IP, vlan30 - для локальных.

Все замечательно проработало месяц, пока провайдер не заменил свой свич доступа.
Тут же начались у меня проблемы, линк с провайдером поднимается, через пару секунд полностью гаснет.
И так каждые _ровно_ пять минут.
Ясно, что провайдеровскому свичу что-то не нравится с моей стороны.
Долгое и достаточно плодотворное общение с первой линией поддержки привело к тому, что провайдер подтвердил, что скорее всего с моей стороны приходит "что-то нехорошее", например Ethernet петля или DHCP сервер.
Версию DHCP сервера я быстро исключил, просто выключив его.

Теперь самое интересное. Если включить линк провайдера не прямо в мой маршрутизатор как описано выше, а через мой отдельный коммутатор в аксес порт с vlan_wan, который потом зарорачивается через VLAN20 и приходит в итоге в маршрутизатор, то все работает! Т.е. в таком виде провайдер не считает мое чем-то плохим и работает. Хотя на L2 уровне все должно быть одинаково!

Тут я начал думать, что все таки может быть не одинаково, и додумался только до того, что пакет прилетающий от провайдера в ether2 снала разлетается по bridge1, потом попадает в vlan20 и уже этот дальше идет куда следует. А точто разлетелось через бридж попадает обратно провайдеру, и тут у него срабатывает защита?
А если подключить через свич, то он сразу попадет в vlan и уже не будет просто по бриджу летать?
Более ничего умного не придумал, не сильно знаком с routerOS

Вот пришел просить помощи...
Что может быть не так в моей конфигурации с точки зрения провайдера, и почему до этого все работало?


alpha
Сообщения: 7
Зарегистрирован: 26 май 2017, 11:26

Вот такое прилетело в Torch на интерфейсе ether2 с момент подключения линка до пропадания
Изображение


easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

interface bridge print


alpha
Сообщения: 7
Зарегистрирован: 26 май 2017, 11:26

См. bridge1

Код: Выделить всё

/interface bridge print 
Flags: X - disabled, R - running 
 0 R name="bridge-100" mtu=auto actual-mtu=1500 l2mtu=1598 arp=enabled 
     arp-timeout=auto mac-address=4C:5E:0C:D0:68:BD protocol-mode=rstp 
     fast-forward=yes igmp-snooping=no auto-mac=yes ageing-time=5m 
     priority=0x8000 max-message-age=20s forward-delay=15s 
     transmit-hold-count=6 vlan-filtering=no dhcp-snooping=no 

 1 R name="bridge1" mtu=auto actual-mtu=1500 l2mtu=1598 arp=enabled 
     arp-timeout=auto mac-address=4C:5E:0C:D0:68:B0 protocol-mode=rstp 
     fast-forward=yes igmp-snooping=no auto-mac=no admin-mac=4C:5E:0C:D0:68:B0 
     ageing-time=5m priority=0x8000 max-message-age=20s forward-delay=15s 
     transmit-hold-count=6 vlan-filtering=no dhcp-snooping=no
Поменял protocol-mode=rstp на none - и проблема ушла!
Я так подозреваю, что мою rstp пробу провайдеровский свич засчитывал за свое отражение и вырубал порт?


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

А у вас порт подключения оператора в бридже?


alpha
Сообщения: 7
Зарегистрирован: 26 май 2017, 11:26

Да. Весь гигабитный свич моего роутера в бридже.
Поверх бриджа уже VLANы для логического разделения.
Соответственно и порт к оператору ether2 в бридже bridge1.
Это рекомендованная для этой модели конфигурация Basic VLAN без вских хитростей.
https://wiki.mikrotik.com/wiki/Manual:B ... _switching
Я поэтому и удивился, когда "что-то пошло не так". Да еще и не сразу, а отработав месяц.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Ваш микротик - не свич, он выполняет роль роутера.
Статья к ситуации на мой взгляд не подходит.


easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

еще можно это дочитать https://wiki.mikrotik.com/wiki/Manual:I ... _Filtering


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Дочитать можно.
Только маршрутизацию с коммутацией не путайте.

Вам оператор дал 2 реальных IP в одной подсети?
На интерфейсе в сторону оператора эти адреса, или другие, а реальные натятся оператором где-то там?
Он на входе вам тегированный трафик дает? Или нет?


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Я бы попробовал создать виртуальный эзернет.
Присвоил бы ему второй мак, к которому привязан второй IP у оператора.
Соединил бы в бридж порт 2 и этот виртуальный порт.
И поднял бы 2 DHCP клиента. На порт 2 и на виртуальный порт.
А дальше в правилах ната тот один комп (которому второй адрес предназначен) выпускал бы через виртуальный эзернет.


Ответить