Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
OptexOptex
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

ROUTERBOARD RB2011UAS-RM VLAN i routing początkujący

10 Jul 2018 09:01 1002 13
  • Level 16  
    Witam,

    Przyznam że dopiero od wczoraj mam kontakt z tym urządzeniem, jego możliwości konfiguracji mnie przytłaczają:). Wiem co chciałbym zrobić, ale nie za bardzo mi to wychodzi, do tej pory działałem na prostych routerach.

    w tej chwili ustawiłem sobie WAN na 1 porcie, chciałbym na portach 6,7,8,9 zrobić VLANy, 4 różne pule DHCP na tych VLANach oraz routing tak,aby wybrane VLANy się widziały: np: komputery z na porcie 6 widziały komputery na porcie 9, komputery na porcie 7 widziały komputer na porcie 9, ale żeby 6 i 7 się nie widziały. Chciałbym tez przekierować wybrane porty na wybrany adres w każdym VLANie. Mogę Was prosić o przykładową konfiguracje?. Nie wiem, gdzie założyć te VLANy widzie je w zakładce "Interfaces" oraz "Switch" tak sam routing widzę w "Routing" oraz w "IP/Routes". Na przykładowej konfiguracje myślę że sobie dalej poradzę. Korzystam z Winboxa.

    Pozdrawiam
  • OptexOptex
  • Network and Internet specialist
    Sekcja Inter VLAN Routing:
    https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN#InterVLAN_routing

    Po nadaniu adresów komputery mogą się komunikować ze sobą. Ruch blokuje się poprzez listy kontroli dostępu ACL.
    NAT i przekierowania ustawia się w zakładce Firewall / NAT (maskarada i src NAT)

    Przykładową konfigurację wygeneruj sobie kreatorem (po twardym resecie). Zostanie Ci tylko dodać VLANy, powielić pule DHCP, powielić i zmodyfikować wpisy w NAT i dodać ewentualnie ACL.
  • OptexOptex
  • Level 16  
    Witam,

    Coś mi to nie idzie :(, mogę prosić i przykładową konfigurację. W tej chwili mam proste ustawienie.

    ether1 to WAN (automatyczne ustawienia pula adresowa adres 192.168.3.1)
    ether2 to komputer 1 (brama 192.168.88.1)
    ether10 to komputer 2 (brama 192.168.20.1)

    zrobiłem 2 VLANy na porcie ether2 (VLAN10) i porcie ether10 VLAN20).

    Internet działa na obu komputerach, bramy pingują się, komputerowy również. Jak zrobić żeby wybrane komputery się nie widziały?, gdybym miał więcej w danej puli i chciał tylko wybrane zablokować.
  • Level 19  
    żeby komputery się nie widziały dajesz w firewallu zasadę DROP między interfejsami in interface VLAN10 out interface VLAN20.

    Niestety mikrotik jest zupełnie jak kraj trzeciego świata, jeżeli do tej pory pracowałeś tylko z klikanymi routerami to faktycznie będzie ci trudno się tam odnaleźć, na YT jest sporo różnych tutków. To oprogramowanie ma tyle opcji konfiguracyjnych że klękaj. ale jak ogarniesz to zyskasz potężne narzędzie do zrobienia wszystkiego co ci do głowy przyjdzie.
  • Network and Internet specialist
    Zasada jest taka, że raczej ruch się blokuje całkowicie, a zezwala tylko na wyjątki (np połączenie do serwera na porcie x)
    Piszę trochę z pamięci, więc proszę o wyrozumiałość:
    1. Najpierw (w linii komend):
    ip firewall

    2. Dodajemy adresy do listy (nie jest to konieczne, można dodać adresy bezpośrednio w kroku 3)
    address-list add address=... (Pojedyncze adresy, całe podsieci, inne listy)

    3. Tworzymy wpisy (blokada, forwardowanie itp). Poniżej zezwolenie na połączenie tcp na port 1422 dla ruchu wchodzącego na ether1_WAN
    filter add chain=input action=accept protocol=tcp dst-address=80.20.30.1 in-interface=ether1_WAN dst-port=1422 log=no log-prefix=""

    Oczywiście dodając filtr masz wiele innych parametrów do wyboru.
    Filtry są analizowane z góry na dół według wpisów na liście (tak samo jak w ACL Cisco - tam masz to dobrze opisane z przykładami)
  • Level 19  
    https://sekurak.pl/?s=mikrotik

    Tu masz parę artykułów o firewallu mikrotika , przystępnie i zrozumiale napisane. Jest dokładnie wyjaśnione jak działa mikrotikowy firewall, łańcuchy, input output forward i tak dalej.
  • Level 16  
    Witam,

    Ok dziękuje, będę musiał trochę się podszkolić w temacie. Mogę tylko prosić o odpowiedź na moje pytania na koniec, chciałbym tylko sobie uporząkować parę rzeczy bo nie wiem czy dobrze rozumiem wszystko.

    - ustawienie bridge powoduje że wszystkie porty się "widzą"?
    - jeżeli dodam np: "bridge2" i wrzucę tam port 9 i 10 to dlaczego na tych portach nie ma już internetu?
    - jeżeli chcę zrobić VLAN10 i VLAN20 na portach 9 i 10 z osobną pulą DHCP to musze stworzyć taką pulę, serwer DHCP i przypisać je do tych portów tak?, jeżeli chcę wybrane komputery z tych VLANów się widziały to muszę stowrzyć wpis w "Routes" i na Firewallu stworzyć odpowiednie wpisy?.
  • Network and Internet specialist
    ad 1. Bridge to most łączący interfejsy
    ad 2. Bo nie masz nadanej adresacji IP i wpisów w NAT
    ad 3. Musisz nadać interfejsowi adres IP (wpis w routera utworzy się sam bo sieć podłączona bezpośrednio do interfejsu routera). ACL ograniczają ruch (domyślnie ruch jest dozwolony między interfejsami L3)

    To co robisz, to oczywiście do nauki. W rzeczywistości takie bridge i VLANY na tym routerze mocno ograniczają wydajność.
  • Level 16  
    To jak proponujesz to podłączyć?. Mam 3 switche zarządzalne TP-Link, wszystkie połączone światłowodem. Router chcę podłączyć również do switcha wkładką SFP. Zależy mi żeby ruch nie obciążał routera. Mamy 20 kamer IP 4Mpix. W sumie jest aktualnie 70 urządzeń w tej samej sieci (192.168.1.1), chciałbym je wydzielić dla bezpieczeństwa (biuro, kamery, ochrona, automatyka)
  • Network and Internet specialist
    Na razie pobaw się tym routerem, poćwicz konfigurację, firewall. Podłącz jak proponujesz na testy. Postaraj się tak podzielić sieć, aby większość ruchu pozostawało w obrębie danego VLANU. 70 urządzeń to nie jest dużo. Zobaczysz, jak sobie router radzi. Jak będzie "przymulać", lub router będzie łapał zwiechy (MT lubią się wieszać w bardziej wymagającej konfiguracji) to możesz zroybic tak:
    Kup switch L3, np używany 3750g-12s. Będzie on switchem agregacyjnym, przełączającym ruch pomiędzy VLAN-ami oraz kierującym pakiety przeznaczone do wysłania do Internetu do routera MT. Sam MT niech wykonuje tylko NAT i funkcje związane z przetwarzaniem ruch z/do Internetu.
    Istniejące switche L2 łączysz bezpośrednio ze switchem L3 (możesz też agregować łącze z użyciem LACP).
    Liczbę VLAN-ów tworzysz wg potrzeb + 1 VLAN do zarządzania (switche, MT) + 1 VLAN (lub osobne porty) ruch między switchem L3 a MT
  • Level 16  
    Ok dzięki. Mam jeszcze pytanie:
    1. Ustawiłem przy domyślnej konfiguracji urządzenie jako router na eth1 z ustawieniami automatycznymi, gdzie mogę zmienić te ustawienia?.
    2. Jeżeli ustawienia DHCP, a podłączone są urządzenia z statycznych adresem to, gdzie mogę sprawdzić czy te komputery są podłączone? (widzę tylko te z DHCP w lease).
  • Network and Internet specialist
    ad1. Zrób eksport konfiguracji do pliku tekstowego i znajdziesz informacje jakie potrzebujesz
    ad2. Np tu: ip firewall connection
  • Level 16  
    Czy połączenie Mikrotika ze switchem za pomocą kilku przewodów LAN (dajmy na to 4 zamiast), zwiększy jego wydajność?.
  • Helpful post
    Network and Internet specialist
    Lukasino wrote:
    Czy połączenie Mikrotika ze switchem za pomocą kilku przewodów LAN (dajmy na to 4 zamiast), zwiększy jego wydajność?.


    Możesz połączyć różne VLANY różnymi przewodami - wtedy nie obciążasz procesora routera tagowaniem ramek (w nowych wersjach OS podobno naprawili ten błąd i tagowanie odbywa się już na poziomie switcha, bez użycia procesora).
    Druga możliwość to agregacja portów (LACP, Etherchannel) zwiększająca przepustowość łącza (ale nie zwiększająca wydajności samego routera).