MikroTik - Brak internetu na VLAN10, konfiguracja VLANów i mostów

Question

Schemat sieci: WAN --> RB951G-2HND (192.168.1.1) ----->CRS125-24G-1S (192.168.1.3)---> reszta urządzeń tj. kamery IP, NASy itd NA CRS125 (192.168.1.3) na porcie 'ether1-master' utworzyłem dwa VLANy (VLAN10 z odrębnym serwerm DHCP 10.0.0.0/8): VLAN10 - 10.0.0.0./8 - VLAN utworzony dla portu,...

Szczota6 · Accepted Answer

Zrob tak.

Backup konfiga na obu mikrotikach.
Na obu reset configuration z opcja "no default configuration"
Masz wtedy oba mikrotiki gołe i wesołe.
Do urządzeń logujesz sie po MAC
vlany traktuj jak normalne interface

ether1 w RB951 podpinasz do ether1 w CRS
ether5 w RB951 podpinasz do modemu czy co tam masz

Na RB951 definiujesz tak:
ether1 lan do vlanow
ether5 WAN.

WAN konfigurujesz tak żeby mieć łączność z netem czyli ustawiasz PPPoE czy adres IP. Dodajesz trase routingu jeśli IP dodajesz (w przypadku PPPoE domyślnie jest dodawana trasa).
Konfigujesz NAT.

Ether1 dodajesz dwa vlany. Jeden nazwij vlan10 i daj mu takie samo ID. Drugi vlan20 i ID też 20.

Na vlan10 dajesz IP 192.168.1.1 na vlan20 192.168.2.1
Tworzysz w IP --> Pools dwie pule. Pierwsza to 192.168.1.100-192.168.1.200
Druga 192.168.2.100-.192.168.2.200
Zakładka DHCP server i ustawiasz prawidłowo dwa serwery DHCP z odpowiednimi pulami i prawidłowo przypisanych IP.
Zakładka networks wpisujesz:
adress 192.168.1.0/24
gateway 192.168.1.1
netmask 24
DNS server 8.8.8.8 i 8.8.4.4

Dodajesz druga sieć w networks
adress 192.168.2.0/24
gateway 192.168.2.1
netmask 24
DNS server 8.8.8.8 i 8.8.4.4

Teraz przechodzisz na CRS i na ether1 dodajesz vlan10 i vlan20.
Robisz bridge1 i bridge2.
Bridge1 dodajesz vlan10 i porty ether od 2 do 24 z pominięciem portu 14 i 16.
Bridge2 dodajesz vlan20 i porty ether 14 i 16.

Teraz na lanach od 2 do 24 z pominięciem portu 14 i 16 powinieneś dostawać adresy IP z puli 192.168.1.1 a na portach 14 i 16 z puli 192.168.2.1

Masz dwie podsieci teoretycznie odseparowane od siebie ale będą potrafiły się komunikować przez RB951. Możesz to sprawdzić poleceniem ping.

Logujesz się spowrotem na RB951 jak wszystko będzie działało tak jak chcesz i robisz regułę firewall.
chain forward
in interface vlan10
out interface vlan20
action drop

Wtedy masz całkowicie zablokowaną komunikacje między vlanami.

Z głowy to piszę więc może być gdzieś babol w networks.

Jak Ci będzie działało to później możesz zacząć eksperymentować.

Mam nadzieje, że podstawy takie jak ręczne przypisywanie adresów IP, NAT i robienie tras statycznych znasz

Szczota6 · Accepted Answer

Zacznij od mojego opisu to jest szansa że załapiesz jak vlany działają.
Konfiguracje zawsze zaczynaj jak mikrotik jest goły. Domyślne konfiguracje często psuja dość sporo.

Pamiętaj vlan traktuj jak zwykły interface ether.
Czasem jest lepiej korzystać z vlanów niż z fizycznych interface bo można szybko przełączać bez potrzeby fizycznej obecności przy sprzęcie.

Najważniejsze. Nigdy nie używaj vlan z ID 1. Nigdy!

Jak ogarniesz temat to zostanie na deser obsługa vlanów przez switch chip a nie CPU

MikroTik - Brak internetu na VLAN10, konfiguracja VLANów i mostów

Przykład vlanów tuneli i VPN na jednym z moich RB3011

rikardo67 · Answer

Pozmieniaj adresacje, nie używaj kilku jednakowych adresacji, u Ciebie są dwie 192.168.1.0/24 na wanie i CRS125-24G-1S dostaje 192.168.1.3, na vlanie20 też masz 192.168.1.0/24, a to wprowadza routing w błąd. Zmień to bo brama na CRS125-24G-1S to 192.168.1.3, która gryzie się pewnie z brama 192.168.1.1 na vlanie20. Aczkolwiek moge sie mylić bo nie podałeś nic na temat routingu jaki zrobiłeś miedzy sieciami.

whizzo · Answer

NA RB951 poza wyłaczeniem serwera DHCP nie robiłem nic (nie tworzyłem VLANów na RB951 - powinienem również to zrobić?). Co do adresacji to zamysłem było aby wszystkie urządzenia stanowiły część jednej sieci stąd taka adresacja. Natomiast chodziło mi o to aby na jednym z MT (CRS125) odseparować jeden z portów od reszty sieci (ten dodany do VLAN10 na CRS125) Sugerujesz, aby umieścić obydwa MT w różnych podsieciach? Przepraszam, że takie banalne pytania zadaje, ale cały czas próbuje złapać podstawy i nie do końca jeszcze wszystko rozumiem.

Szczota6 · Answer

Co chcesz osiągnąć? Chyba sam nie wiesz po co vlany sie stosuje.
Vlan jest po to żeby sieci odseparować.
Ty w zasadzie możesz przez master port zrobić dwa switche i sobie pogrupować porty jak pasuje. Robisz dwie podsieci na kazdy switch

rikardo67 · Answer

No właśnie, jak napisał poprzednik, wszystko zależy co chcesz osiągnąć, bo pewnie jest to prostsze niż myślisz. A co do rożnych podsieci, to napisz konkretnie co chcesz osiągnąć, bo tak jak pisze kolega może starczy ci tylko jeden server dhcp, i drugi jako swich z rożnymi ustawieniami portów.
EDIT
ten rb951 jako co robi? router, swich, most, brama.

whizzo · Answer

Byc może macie rację a ja sie trochę miotam. Punktem wyjścia jest odseparowanie konkretnie dwóch portów powiedzmy 'ether14' i 'ether16' w CRS125 (192.168.1.3) od reszty sieci. Tu ma być odrębna adresacja oraz brak dostępu od sieci właściwej. Urządzenia jakie mam to właśnie MT. Tylko tyle i aż tyle mam narazie do ustawienia, bo za każdym razem odbijam się od braku internetu na tych portach. DHCP skonfigurowany poprawnie (tak wynika z IPCONFIG, które dostaje IP i pokazuje brame). Zatem w jaki sposób to ugryżć? Oto moje urządzenia: RB951G-2HND - podłaczony jako router za modem od operatora. Po 'ether1-master' podłączony jest CRS125-24G do którego jest podłączona reszta urządzeń. Tu jest serwer DHCP, któy rozdaje IP wszystkim urządzeniom bez statycznego IP. I tu chcę odseparować 2 wspomniane porty.

rikardo67 · Answer

powinno wystarczyć wyłączenie master port na tych portach i jednak zmień adresacje, jeżeli rb951 robi jako router czyli ma włączone DHCP, po co drugie dhcp, jeżeli dostajesz IP z rb951 192.168.1.x to nie możesz już raczej użyć tej adresacji na innym dhcp na tym samym urządzeniu nie masz internetu na tych ether14 i 16?a chcesz mieć na nich inne sieci z dostępem do netu. EDIT tego troche nie rozunie standardowo MT jest ustawiony jako 5-cio portowy swich rozumie że rb951 masz ustawiony już jako router i z niego internet wychodzi normalnie?

whizzo · Answer

Nie nie. Nie do końca. Przepraszam nie opisałem tego precyzyjnie. DHCP działa tylko na CRS125 i stąd rozdaje IP pozostałym urządzeniom. Na RB951 serwer DHCP jest wyłączony. Tam tylko mam NAT. No dobrze. Wyłączam w takim razie DHCP na CRS125 i włączam ponownie na RB951. W jaki spósób porty 'ether14' i 'ether16' z CRS125 dostaną IP z innej podsieci, która wtedy ustawie na RB951? Przyznam, że bezradny jestem tutaj i tego zagadnienia nie ogarnąłem jeszcze. Mam jeszcze pytanie o 'master-port'. Jeśli ustawiam 'master-port' zmieniajac ustawienie na 'None' na porcie 'ether14' i ustawiając port 'ether16' jako 'slave' dla 'ether14' czy muszę jeszcze tworzyć most z portem 'ether1-master'? W domyślnej konfiguracji cRS125 (ustawionym w Quickset w trybie 'Bridge') jest ustawiony most na wszystkie porty z jednym centralnym czyli 'ether1-master' Czy ten most mam usunąć? Pozdrawiam

rikardo67 · Answer

nie , nie usuwaj, no chyba że są takie ustawienia na 14 i 16 to wyłacz je, jak dasz na 14 none i 16 połączysz z nim możesz zrobić na nich bridge i na nim ustawić sobie DHCP, i routing do bridge na ether1-mastera, przyznam się że z CRS125 nie miałem do czynienia ale MT to MT (to program, chyba

whizzo · Answer

OK. Zlikwidowałem VLANy. Wróciłem właściwie do konfiguracji domyslnej, gdzie wszystkie porty ustawione są w jednym moście. Do tego dwa serwery DHCP. Ustawiłem na porcie'ether14' master-port na 'none'. Ustawiłem jeden z serwerów DHCP na ten interfejs. Tu wszystko działa. IPconfig wypluwa IP, maske i brame. Wszystko tak jak ustawiłem. Niestety nie potrafię zrobić routingu do mostu z ether1-master. Czy mogę prosić o małą podpowiedź?

rikardo67 · Answer

z głownego menu IP>routers EDIT powinienes zmostkować oba 14 i 16 bridgem i dhcp dac na bridga, no chyba ze chcesz aby były osobno. moze załaczanik pomoże

whizzo · Answer

Tak właśnie zrobiłem. W tablicy 'Route List' wprowadziłem: Dst Address: 10.0.0.0/8 (podsiec dla ether14). Gateway ustawilem na 'bridge1' gdzie sa pozostale porty. Pref source ustawilem na 10.0.0.1 Dla tej trasy atrybut ustawil sie 'static'. Distance to:1 bridge1 ustawiony jest jako reachable. Chyba wyglada ok, ale internetu w porcie ether14 nie ma. Gdzie robię błąd?

rikardo67 · Answer

jaką masz w końcu adresacje?? 192.1658.1.x czy 10.0.0.x bo widzę obie na bridge pokarz co masz w IP>addresses EDIT spóźniłem się troche

whizzo · Answer

Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka # may/30/2016 20:54:59 by RouterOS 6.35.2 # software id = 67EZ-HQC7 # /ip pool add name=dhcp_pool1 ranges=192.168.1.139-192.168.1.199 add name=pool2_guest ranges=10.0.0.10-10.0.0.50 /ip address add address=192.168.1.3/24 comment=defconf interface=ether1-master network=\     192.168.1.0 add address=10.0.0.1/8 comment=vlan_adam interface=ether14-adam4 network=\     10.0.0.0 /ip dhcp-client add dhcp-options=hostname,clientid /ip dhcp-server add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1 add address-pool=pool2_guest disabled=no interface=bridge2 name=dhcp2 /ip dhcp-server network add address=10.0.0.0/8 dns-server=8.8.4.4,192.168.1.1,8.8.8.8 gateway=\     10.0.0.1 netmask=8 add address=192.168.1.0/24 dns-server=8.8.4.4,8.8.8.8 gateway=192.168.1.1 /ip dns set servers=8.8.8.8,8.8.4.4,192.168.1.1 /ip route add distance=1 gateway=192.168.1.1 add check-gateway=arp distance=1 dst-address=10.0.0.0/8 gateway=bridge1 \     pref-src=10.0.0.1 Wyjasnienie: Tak są dwie adresacje. Jedna dhcp_pool1 jest dla mojej domowej sieci i z tej puli idą wszystkie IP dla urządzeń. pool2_guest to pula dla 'ether14' właśnie. Dodano po 1 [minuty]: Dziękuję za ten opis. Jeśli juz nic nie pomoże zrobie calkowity reset i zaczne zgodnie z powyższym opisem.

MikroTik - Brak internetu na VLAN10, konfiguracja VLANów i mostów

Post #1

Post #2

Post #3

Post #4

Post #5

Post #6

Post #7

Post #8

Post #9

Post #10

Post #11

Post #12

Post #13

Post #14

Post #15

Post #16

Podsumowanie tematu