Страница 1 из 1
Настройка гостевого доступа в интернет с использованием VLAN
Добавлено: 22 мар 2017, 18:00
Yokon
Добрый день!
Из оборудования:
Точка доступа TP-Link в режиме Multi-SSID c единственным SSID и назначенным VLAN ID: 2
Физически находится в одном из офисов.
Mikrotik 2011UiAS
Стоит у провайдера.
Задействовано 2 интерфейса, один для WAN и один для 2-ух VLAN (по одному для каждого офиса).
Каждый из VLAN обслуживает свою подсеть.
Потребовалось в одном из офисов сделать гостевой интернет.
Не могу понять, в верном ли направлении иду.
Самой точке доступа я назначаю ip адрес из подсети, которая используется в офисе 192.168.1.0/24
Отключаю DHCP на точке доступа, так как хочу, что бы адреса получали от микротика.
Учитывая то, что у меня уже работают 2 VLAN в Микротике, я создаю дополнительный VLAN, указываю VLAN ID: 2 и в поле "Интерфейс" выбираю VLAN, соответствующий подсети, в которой находится точка доступа.
Получается VLAN в VLAN.
А каким образом Микротик в таком случае будет обрабатывать тегированный трафик я не понимаю и не могу найти информации по этому вопросу.
Не прошу разжевывать, просто направьте или подскажите что прочесть, что бы осознать это все.
Созданный мной VLAN, если не ошибаюсь, микротик считает отдельным интерфейсом.
Отсюда вопрос - если я в "Adress list" и "DHCP Server" создам другую подсеть для своего VLAN, будут ли подключаемые к точке доступа устройства получать ip адреса из этой подсети и смогут ли передавать пакеты через созданный VLAN, находясь физически в другой подсети?
Заранее благодарю!
Re: Настройка гостевого доступа в интернет с использованием VLAN
Добавлено: 22 мар 2017, 21:34
Vlad-2
Yokon писал(а):А каким образом Микротик в таком случае будет обрабатывать тегированный трафик я не понимаю и не могу найти информации по этому вопросу.
Не прошу разжевывать, просто направьте или подскажите что прочесть, что бы осознать это все.
Созданный мной VLAN, если не ошибаюсь, микротик считает отдельным интерфейсом.
Отсюда вопрос - если я в "Adress list" и "DHCP Server" создам другую подсеть для своего VLAN, будут ли подключаемые к точке доступа устройства получать ip адреса из этой подсети и смогут ли передавать пакеты через созданный VLAN, находясь физически в другой подсети?
Сложно как-то всё.
1) Вилан это вилан...то есть пакеты одного вилана не видят/не пересекаются с пакетами другого/других виланов (это L2-layer)
2) пока вы адресацию виланам не дали...виланы есть виланы, роутер о них глубоко не знает...
3) дали адресацию....вилан-интерфейсу(виланам) - по умолчанию IP-маршрутизация в рамках микротика открыта..значит уже сети будут друг друга видеть (условно говоря пинговать)
4) по поводу адрес-листов и DHCP, не совсем понял при чёт тут адрес лист, но дам от себя такой лайфхак - чтобы DHCP работал в рамках нужного одного вилана, засуньте данный вилан в бридж (отдельный),
и получается вот что, чтобы превратить тегируемый трафик в нетегируемый и его не смешать ни с чем(с другим), создайте для вилана отдельный бридж и там уже в бридже будет чистый нетегированный трафик этого вилана,
и DHCP на бридже работает правильнее кошернее.
Re: Настройка гостевого доступа в интернет с использованием VLAN
Добавлено: 23 мар 2017, 10:58
Yokon
Особо ничего не понял, но спасибо, что ответили!)
А вообще существует какой-то материал о том, как микротик обрабатывает пакеты, которые ходят по vlan?
Re: Настройка гостевого доступа в интернет с использованием VLAN
Добавлено: 23 мар 2017, 11:28
Vlad-2
Yokon писал(а):Особо ничего не понял, но спасибо, что ответили!)
Не за что, но в целом как-то странно, по первому вашему сообщению вроде с виланами работаете,
а суть советов не поняли...
Yokon писал(а):А вообще существует какой-то материал о том, как микротик обрабатывает пакеты, которые ходят по vlan?
VLAN он и в Африке вилан, как может микротик обрабатывать пакеты с вилан меткой? Всё в рамках RFC стандартов,
микротик это сетевое оборудование, подчиняется основным правилам...сделали вилан, дали ему ID, всё,
трафик на этом вилан-интерфейсе будет тегированным с данным ID, то есть в заголовок пакета будет
добавляться будет ID вилана. Ну а дальше, этот тегированный трафик пропускайте до другого офиса/объекта/устройства/сети
и там с ним делайте обратные процедуры (если того требуют условия).
NB:Повторюсь ещё раз, пока внутри трафика имеется тег(и) (ID VLAN'а(ов)) то такие пакеты не пересекаются никак,
если Вы на вилан-интерфейсе задали адрес, и/или добавили вилан в бридж, тем самым вы трафик данного ID VLAN'а
как бы затерминировали и после этого у Вас на микротике данный трафик и данная сеть этого вилана станет доступна.
То есть VLAN - это уровень 2, поставили адресацию, сделали маршрут и т.д. - перешли на уровень 3 - всё, сеть стала доступна.
(обобщённо и в целом)
Re: Настройка гостевого доступа в интернет с использованием VLAN
Добавлено: 23 мар 2017, 12:33
Yokon
С VLAN мне в целом боле или мене понятно, но вот что касается VLAN в VLAN не очень.
Смотрите.
Компьютер в одной из подсетей.
Отправляет пакет.
Пакет проходит через оборудование провайдера и он маркируется, что бы в дальнейшем, можно было этот пакет завернуть на мой микротик.
Микротик получает данный пакет, так как понимает, что это пакет определенного vlan.
А дальше в зависимости от правил NAT и Firewall обрабатывается, но уже со снятым маркером.
А теперь, я отправляю пакет с этого же компьютера, только я уже подключен по WI-FI к TP-Link, который маркерует все мои пакеты.
Уже маркированный пакет проходит по выше описанной схеме и получается, что маркируется повторно?
Микротик по идее должен вначале принять пакет маркированный провайдером, потом обнаружить второй маркер и опять обработать согласно правилам NAT и Firewall, разрешив доступ только в интернет.
И не очень понятно, как только микротик получит тегированный пакет, он снимет с него маркировку и будет обрабатывать как обычный пакет или сохранит метку, что бы конкретно для таких пакетов создавать правила обработки?
Вот этот процесс и не понятен.
Знаний конечно у меня не хватает по этой части.
Еще раз спасибо, что тратите время свое!!