Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Mikrotik + cAP + vlan + bridge

cienki_tm 12 Sty 2019 19:27 222 9
  • #1 12 Sty 2019 19:27
    cienki_tm
    Poziom 7  

    Witajcie,

    Żeby móc zarządzać Acces Pointami Mikrotika czyli cAPami stworzyłem na nim Bridge'a o nazwie np. "BiuroLan"
    Żeby przez WiFi niektóre laptopy mogły się łączyć z programami w firmie nadałem temu bridge'owi adresacje z DHCP
    z puli 192.168.0.0/24, ale oczywiście żeby komputery połączone kablem mogły otrzymać adres IP z tej samej puli dodałem do
    bridge'a port ether5 i to sobie jakoś funkcjonuje.

    Ale to mi nie wystarcza, bo na Mikrotiku chcę uruchomić vlan pod którym będą telefony VOIPowe, nie chcąc zmieniać nic w strukturze kabli, utworzyłem na routerze vlan10 na ether4.

    Wymyśliłem za tym że jeśli dodam ether4 do bridge'a to kabelkiem łączącym router ze swichem popłyną pakiety z puli IP 0.0 i np 10.0 z puli vlan10

    I nawet to chyba zadziałało przez moment jak chciałem, ale na cAPach pojawiać się zaczęły logi o treści:
    "nterface,warning ether1: bridge port received packet with own address as source address (b8:69:f4:9b:bc:26), probably loop"

    a na routerze w logach:
    "caps,error removing stale connection [A4:8D:8C4:11:99/18/7c67,Run,[A4:8D:8C4:11:99]] because of ident conflict with [A4:8D:8C4:11:99/18/e068,Join,[A4:8D:8C4:11:99]]"

    Może ktoś spotkał się z takimi komunikatami i udało się to jakoś rozwiązać?

    A poza tematem może ktoś mi naświetli do czego jest menu Swich w Mikrotikach?

    0 9
  • #2 12 Sty 2019 20:02
    ryba884
    Poziom 18  

    Menu switch w Mikrotikach w tej chwili służy do sprzętowego filtrowania VLAN na switch chipie, bo tylko część nowych Mikrotików ma wspierane sprzętowe filtrowanie w bridge. Odnośnie VLAN to nie tak się to robi. Tworzysz mostek. Dodajesz do niego wszystkie porty poza WAN. Na mostku tworzysz interfejsy VLAN. Pozostaje jeszcze filtrowanie w zależności co to za Mikrotik to albo przez menu switch, albo przez menu bridge. Odnośnie Cap-ów to ja sobie robię osobnego VLAN do zarządzania i w tym VLAN odbywa się komunikacja z CAPSMANEM. Dodatkowo osobny VLAN dla komputerów, ew. inne osobne VLAN. Na interfejsach VLAN dodaje adresy (z różnych pól adresowych). Ew. jakieś DHCP jak potrzebne. Resztę załatwia za mnie CAPSMAN i jego konfiguracja. W samym CAP-ie jest tylko mostek z dodanym interfejsem ethernet i VLAN na mostku ten od zarządzania. Poczytaj Wiki Mikrotika tam masz sporo opisane.

    0
  • #3 12 Sty 2019 21:01
    cienki_tm
    Poziom 7  

    Czyli w CAPs Configuration źle zrobiłem?
    Mój Mikrotik to RB2011

    W tym oknie trzeba podawać nazwę mostka? Czy nie trzeba?

    Mikrotik + cAP + vlan + bridge


    I jeszcze pytanie, czy jak zrobił bym według tego tutoriala:
    https://www.cyberbajt.pl/raport/559/0/562/ - to będę miał cAPy w jednej puli adresowej?

    Interesuje mnie też taka opcja że stworzę konfigurację w capsmanie dla wifi gości i jak na tym rysunku wpiszę capsman_guest to dla drugiego mostka dam inną pulę IP z DHCP.

    Rozumiem że jest dużo możliwości konfiguracyjnych ale zasadniczo chciałbym się trzymać jakiejś konwencji - dlatego tyle pytań :)

    W sumie mam zasadnicze pytanie: jakie minimalne opcje konfiguracyjne trzeba spełnić by capy się meldowały w capsman'ie

    0
  • #4 13 Sty 2019 11:16
    ryba884
    Poziom 18  

    W capsmanie nie ustawiasz w datapath mostka. To musisz ustawić w każdym cap-ie. Tak jak pisałem najpierw zrób porządnie konfigurację RB2011. Czyli tworzysz jeden mostek ze wszystkimi portami oprócz WAN. Do mostka dodaj potrzebne VLAN (w nich jako interfejs ma być ustawiony mostek stworzony przed chwilą). Teraz na interfejsach VLAN dodaj adresy z wybranych pul. Analogicznie na cap-ach tworzysz też mostek z portem ethernet do niego dodanym, dodajesz do mostka VLAN i nadajesz mu adres (czy stały, czy dhcp to już jak wolisz). Nie dodawaj do mostka żadnego interfejsu wlan, to zrobi sam capsman. W capie musisz zaznaczyć, że ma korzystać z capsmana, dodać interfejs wlan, ustawić mostek capa i wybrać discovery interface na VLAN który ma nadany adres i ma działającą łączność do capsmana. Narysuj topologię sieci to może pomogę, ale jak chcesz by cap rozsyłał Ci kilka sieci to jest tylko jedna możliwość na VLAN-ach. Tylko uwaga zabawa z VLAN i filtrowaniem może skończyć się odcięciem dostępu do routera i w najgorszym wypadku resetem do ustawień fabrycznych. Ja dla bezpieczeństwa jeśli to router to tymczasowo wyłączam firewalla i zezwalam na łączność po mac adresach na wszystkich interfejsach, co czasami chroni przed zablokowaniem do niego dostępu.

    0
  • #5 13 Sty 2019 23:38
    cienki_tm
    Poziom 7  

    Witaj,

    Na początek topologia - jak na razie działa mi bez vlan i voip, a docelowo chciałbym coś takiego osiągnąć

    Mikrotik + cAP + vlan + bridge


    Opis:
    Na Mietku ustawiłem Eth1 na WAN, Eth5 na Lan, do Eth5 dodałem jeszcze Vlan10
    Żeby mieć sieć firmową adresów 192.168.1.0/24 stworzyłem mostek: caps-work (łączy mi capy i siec ze switcha w jedną całość),
    czyli jeśli ktoś jest podłączony kablem lub laptopem służbowym do wifi_work będzie miał ip z tej samej puli.
    Żeby goście nie widzieli sieci, stworzyłem mostek: caps-guest gdzie mostek przyjął zakres 10.0.0.0/24 i stworzyłem odpowiednie filtry
    tak aby się nie widziały te sieci na wzajem.

    Chciałbym teraz dołożyć vlana o id 10 któremu nadam adresację 192.168.10.0/24
    dzięki czemu telefony dostaną adresy z puli 10.0 a komputery podpięte pod port PC w telefonie dostaną IP z puli 1.0.

    Zasadniczo osiągnąłem swój cel w tej konfiguracji ale chyba nie jest ona wydajna, po paru minutach użytkowania
    zaczęło wszystko przysiadywać a w logach był te komunikaty
    Cytat:

    I nawet to chyba zadziałało przez moment jak chciałem, ale na cAPach pojawiać się zaczęły logi o treści:
    "nterface,warning ether1: bridge port received packet with own address as source address (b8:69:f4:9b:bc:26), probably loop"

    a na routerze w logach:
    "caps,error removing stale connection [A4:8D:8C4:11:99/18/7c67,Run,[A4:8D:8C4:11:99]] because of ident conflict with [A4:8D:8C4:11:99/18/e068,Join,[A4:8D:8C4:11:99]]"


    Jeśli można zrobić to lepiej i zgodnie z konwencją MT to chętnie przyjmę każdą sugestię. :)
    A jak trzeba coś dodać co mogłem pominąć to czekam na info.

    Najbardziej smuci mnie fakt iż trzeba będzie jednak konfigurować cAPy osobno.

    Jak podłączyłem je do sieci z przyciskiem Mode przez 5 sekund to same się skonfigurowały przez provisioning.

    0
  • #6 17 Sty 2019 08:31
    cienki_tm
    Poziom 7  

    ryba884 napisał:
    W capsmanie nie ustawiasz w datapath mostka. To musisz ustawić w każdym cap-ie. Tak jak pisałem najpierw zrób porządnie konfigurację RB2011. Czyli tworzysz jeden mostek ze wszystkimi portami oprócz WAN. Do mostka dodaj potrzebne VLAN (w nich jako interfejs ma być ustawiony mostek stworzony przed chwilą). Teraz na interfejsach VLAN dodaj adresy z wybranych pul. Analogicznie na cap-ach tworzysz też mostek z portem ethernet do niego dodanym, dodajesz do mostka VLAN i nadajesz mu adres (czy stały, czy dhcp to już jak wolisz). Nie dodawaj do mostka żadnego interfejsu wlan, to zrobi sam capsman. W capie musisz zaznaczyć, że ma korzystać z capsmana, dodać interfejs wlan, ustawić mostek capa i wybrać discovery interface na VLAN który ma nadany adres i ma działającą łączność do capsmana. Narysuj topologię sieci to może pomogę, ale jak chcesz by cap rozsyłał Ci kilka sieci to jest tylko jedna możliwość na VLAN-ach. Tylko uwaga zabawa z VLAN i filtrowaniem może skończyć się odcięciem dostępu do routera i w najgorszym wypadku resetem do ustawień fabrycznych. Ja dla bezpieczeństwa jeśli to router to tymczasowo wyłączam firewalla i zezwalam na łączność po mac adresach na wszystkich interfejsach, co czasami chroni przed zablokowaniem do niego dostępu.


    Cześć,

    A czy z dokumentacji nie wynika że master-port został zastąpiony od wersji 6.41 hardwerowym bridgem?
    Nie chcę z siebie robić głupka i angielski nie jest też bardzo mocną stroną ale może choć zaprzeczysz że się mylę ;)

    0
  • #7 17 Sty 2019 21:46
    ryba884
    Poziom 18  

    cienki_tm napisał:

    ...Cześć,

    A czy z dokumentacji nie wynika że master-port został zastąpiony od wersji 6.41 hardwerowym bridgem?
    Nie chcę z siebie robić głupka i angielski nie jest też bardzo mocną stroną ale może choć zaprzeczysz że się mylę ;)

    Ja nigdzie nie pisałem nic na temat master-port. Nie każdy Mikrotik obsługuje sprzętowo filtrowanie vlan na portach z poziomu mostka, więc tak jak w przypadku RB2011 należy do tego celu użyć menu switch.

    Odnośnie Twojej konfiguracji. Zrób tak jak pisałem. Robisz sobie tylko bałagan w konfiguracji ustawiając w ten sposób. Stwórz jeden mostek. Do niego dodaj wszystkie porty LAN (ether2 do ether10 + sfp1). Na mostku tworzysz potrzebne vlan (vlan10 - voip, vlan11 - work, vlan12 - guest). Dodatkowo proponuję dodatkowy vlan do zarządzania urządzeniami. Dodajesz wybrane podsieci na interfejsach vlan. Dodajesz serwery dhcp na nich. Do capów kierujesz ruch całkowicie tagowny (sam capsman się zajmie resztą). Robisz to za pomocą menu switch. Dla komputerów ustawiasz odtagowane porty. Oczywiście na porty puszczasz odpowiednie vlan. Uwaga na rysunku masz dodatkowego switcha. Jeśli mają na nim działać vlan to musi być to przynajmniej switch zarządzalny L2. Nie wiem co z voip. Na rysunku wygląda to tak jak by komputery były podłączone przez telefony. Jeśli tak jest to telefon musi mieć wbudowanego switcha zarządzalnego.
    Poza tym sprzętowo może być obsługiwane tylko tyle mostków ile masz switch chipów. Więc nie możesz sobie robić co chcesz z nimi chyba, że nie zależy Ci na wydajności. RB2011 to nie jest potężny router i raczej cienko widzę próby routowania więcej niż 200Mbit - 300Mbit ruchu, więc lepiej użyć możliwości switcha dla ruchu w obrębie jednej sieci LAN.

    0
  • #8 18 Sty 2019 14:32
    cienki_tm
    Poziom 7  

    To zrobię jak radzisz
    Mikrotik + cAP + vlan + bridge

    Na rysunku przedstawiam dwie opcję z vlanem, którą użyć?

    0
  • #9 18 Sty 2019 14:54
    ryba884
    Poziom 18  

    Interfejsy VLAN tworzysz z menu interface. W menu bridge ustawia się filtrowanie vlanów, ale u Ciebie nie jest to wspierane sprzętowo.

    0
  • #10 18 Sty 2019 16:04
    cienki_tm
    Poziom 7  

    To już prawie wszystko zrozumiałem co napisałeś. Jeszcze tylko to jedno:

    Cytat:
    Do capów kierujesz ruch całkowicie tagowny (sam capsman się zajmie resztą). Robisz to za pomocą menu switch. Dla komputerów ustawiasz odtagowane porty


    a właściwie tylko to :
    Cytat:
    Robisz to za pomocą menu switch.
    , chodzi o router czy już o capa?

    0