Есть провайдер, который дает два реальных IP просто в один ethernet, раздает по DHCP с привязкой к MAC.
Соответственно сначала было два бриджа на маршрутизаторе, один на WAN из двух портов (Провайдер и второй комп с реальным IP), второй на LAN с NAT между ними.
И вот появилась необходимость вынести второй комп подальше от роутера, но ethernet кабель туда идет только один, а там еще должны быть и локальные компы.
Решил завернуть все в VLANы.
Все делал по стандартному мануалу, VLANы на свиче (только прибил MAC адрес бриджу, чтобы по нему провайдер выдавал IP).
Код: Выделить всё
/interface bridge
add admin-mac=4C:5E:0C:D0:68:B0 auto-mac=no name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/interface ethernet switch vlan
add independent-learning=yes ports=ether1,ether2,ether3,switch1-cpu switch=switch1 vlan-id=20
add independent-learning=yes ports=ether1,ether4,ether5,switch1-cpu switch=switch1 vlan-id=30
/interface vlan
add interface=bridge1 name=vlan-lan vlan-id=30
add interface=bridge1 name=vlan-wan vlan-id=20
/ip address
add address=192.168.99.1/24 comment=defconf interface=vlan-lan network=192.168.99.0
/interface ethernet switch port
set 1 vlan-header=add-if-missing vlan-mode=secure
set 2 default-vlan-id=20 vlan-header=always-strip vlan-mode=secure
set 3 default-vlan-id=20 vlan-header=always-strip vlan-mode=secure
set 4 default-vlan-id=30 vlan-header=always-strip vlan-mode=secure
set 5 default-vlan-id=30 vlan-header=always-strip vlan-mode=secure
set 11 vlan-mode=secure
этот последний это switch1-cpu
На свиче уже разбирается на аксес порты - vlan20 для реального IP, vlan30 - для локальных.
Все замечательно проработало месяц, пока провайдер не заменил свой свич доступа.
Тут же начались у меня проблемы, линк с провайдером поднимается, через пару секунд полностью гаснет.
И так каждые _ровно_ пять минут.
Ясно, что провайдеровскому свичу что-то не нравится с моей стороны.
Долгое и достаточно плодотворное общение с первой линией поддержки привело к тому, что провайдер подтвердил, что скорее всего с моей стороны приходит "что-то нехорошее", например Ethernet петля или DHCP сервер.
Версию DHCP сервера я быстро исключил, просто выключив его.
Теперь самое интересное. Если включить линк провайдера не прямо в мой маршрутизатор как описано выше, а через мой отдельный коммутатор в аксес порт с vlan_wan, который потом зарорачивается через VLAN20 и приходит в итоге в маршрутизатор, то все работает! Т.е. в таком виде провайдер не считает мое чем-то плохим и работает. Хотя на L2 уровне все должно быть одинаково!
Тут я начал думать, что все таки может быть не одинаково, и додумался только до того, что пакет прилетающий от провайдера в ether2 снала разлетается по bridge1, потом попадает в vlan20 и уже этот дальше идет куда следует. А точто разлетелось через бридж попадает обратно провайдеру, и тут у него срабатывает защита?
А если подключить через свич, то он сразу попадет в vlan и уже не будет просто по бриджу летать?
Более ничего умного не придумал, не сильно знаком с routerOS
Вот пришел просить помощи...
Что может быть не так в моей конфигурации с точки зрения провайдера, и почему до этого все работало?