hAP ac3 - VLAN и межвлан

Ребята, извиняюсь, что копаюсь в пятимесячной теме, но я застрял и в последнее время не мог этим заняться. Наступили праздники, и теперь у меня есть время разобраться с этим вопросом или хотя бы попытаться

Как уже говорил, у меня есть ac3, который управляет всей домашней сетью, и мой опыт изменения настроек без «профессиональных» знаний обычно заканчивается отключением всей сети и выговором от жены. Поэтому я решил купить второй hAP Lite, чтобы тестировать VLAN-конфигурации — так я могу настраивать всё, как душе угодно, не бесить никого постоянными отключениями. Когда разберусь, просто скопирую настройки на ac3 одним махом.

У hAP Lite 4 Ethernet-порта (eth1 — WAN, eth2, eth3, eth4) и wlan1. Чтобы понять, как хочу это настроить, я упростил задачу. Вкратце, что я хочу сделать:

VLAN3 на eth3 → DHCP 192.168.3.1/24  
VLAN4 на eth4 → DHCP 192.168.4.1/24  
между VLAN — связь на определённых портах

Я даже не уверен, что правильно настроил VLAN, потому что интерфейсы имеют вкладку VLAN, мост — VLANs, а коммутатор — VLAN. Я перепробовал столько вариантов, что теперь вообще запутался и сижу тут, как дурак, пишу этот пост и не понимаю, как объяснить, что сделал.

Чтобы понять, что надо сделать, я обычно смотрю в .rsc файлы и вручную повторяю команды в WinBox. Может, какой-нибудь гуру Mikrotik не поленится и подскажет правильное направление, например, приведёт набор CLI-команд, которые я мог бы просто скопировать и выполнить в WinBox для настройки:

— мостов (Bridge)  
— портов  
— VLAN  
— IP-адресов  
— DHCP-серверов  
— правил фаервола

Огромное спасибо всем, кто поможет!  

С уважением, Стив

Для начала прочитай (и пойми) руководство по VLAN, @anav оставил ссылку во втором сообщении выше. Сейчас это самый универсальный способ настройки (возможно, не самый экономный по ресурсам, но с hAP ac3 это не проблема). Помни, VLAN — это по сути отдельные локальные сети. Что касается связи между разными VLAN, то дело уже не в «определённых портах», а в маршрутизации, которая работает на уровне IP-адресов. Но я бы советовал двигаться поэтапно: сначала разберись с VLAN, наличие маршрутизатора между ними обеспечит связь между VLAN. А потом можно приступать к контролю соединений.

@DarkNate: Спасибо за ссылку, очень полезное чтение и помогает понять, как лучше работать с VLAN, думаю, интерфейс bridge vlan — это правильный путь.  
@mkx: Да, я воспользовался ссылкой, которую прислал anav, и выделил конфигурацию VLAN для "Router-Switch-AP (все в одном)".  
@anav: Я как можно скорее сделаю топологию. Не припомню, чтобы я родился Ethernet-коннектором, но сегодня вечером чувствую себя настоящим глупым устройством ;.)  

В качестве последней попытки в это воскресенье вечером я немного пофиксил файл RouterSwitchAP.rsc из поста anav. Кажется, что что-то пошло — VLAN работают отлично, они получают правильные IP от своих DHCP-серверов, не пингуют друг друга, но при этом пингуют 8.8.8.8 и google.com (DNS тоже работает). Теперь осталось понять, как заставить interVLAN работать. Огромное спасибо вам за помощь и за вашу поддержку впереди, ребята!  

Стив  

Для справки, вот конфигурационный файл, который я собрал из оригинального .rsc файла поста Router-Switch-AP:  

#######################################  
Bridge  
#######################################  
Создаем один мост, отключаем VLAN-режим на время настройки  
/interface bridge  
add name=bridgeVLAN protocol-mode=none vlan-filtering=no  

#######################################  
– Access Ports –  
#######################################  
Правила приема портов  
/interface bridge port  
#VLAN3  
add bridge=bridgeVLAN interface=ether3 pvid=3  
#VLAN4  
add bridge=bridgeVLAN interface=ether4 pvid=4  

L3 маршрутизация, поэтому мост должен быть tagged участником  
/interface bridge vlans  
set bridge=bridgeVLAN tagged=bridgeVLAN [find vlan-ids=3]
set bridge=bridgeVLAN tagged=bridgeVLAN [find vlan-ids=4]

#######################################  
IP Службы  
#######################################  
Создание VLAN3 интерфейса, назначение IP и запуск DHCP сервера  
/interface vlan  
add interface=bridgeVLAN name=vlan3 vlan-id=3  
/ip address  
add interface=vlan3 address=192.168.3.1/24  
/ip pool  
add name=dhcp_poolVLAN3 ranges=192.168.3.2-192.168.3.10  
/ip dhcp-server  
add address-pool=dhcp_poolVLAN3 interface=vlan3 name=dhcp3 disabled=no  
/ip dhcp-server network  
add address=192.168.3.0/24 dns-server=8.8.8.8 gateway=192.168.3.1  

Создание VLAN4 интерфейса, назначение IP и запуск DHCP сервера  
/interface vlan  
add interface=bridgeVLAN name=vlan4 vlan-id=4  
/ip address  
add interface=vlan4 address=192.168.4.1/24  
/ip pool  
add name=dhcp_pool4 ranges=192.168.4.2-192.168.4.10  
/ip dhcp-server  
add address-pool=dhcp_pool4 interface=vlan4 name=dhcp4 disabled=no  
/ip dhcp-server network  
add address=192.168.4.0/24 dns-server=8.8.8.8 gateway=192.168.4.1  

#######################################  
Firewall и NAT  
#######################################  
Используем функцию “list” MikroTik для удобства при подборе правил.  
/interface list  
add name=VLAN  
/interface list member  
add interface=vlan3 list=VLAN  
add interface=vlan4 list=VLAN  

################## INPUT CHAIN ##################  
add chain=input action=accept connection-state=established,related comment="Разрешить установленные и связанные соединения"  

################## FORWARD CHAIN ##################  
add chain=forward action=accept connection-state=established,related comment="Разрешить установленные и связанные соединения"  

Разрешить всем VLAN доступ в интернет, но не друг к другу  
add chain=forward action=accept connection-state=new in-interface-list=VLAN out-interface-list=WAN comment="Доступ VLAN только в интернет"  
add chain=forward action=drop comment="Отбросить"  

################## NAT ##################  
/ip firewall nat  
add chain=srcnat action=masquerade out-interface-list=WAN comment="Маскарадинг по умолчанию"  

#######################################  
Безопасность VLAN  
#######################################  
Разрешаем приходить пакеты без тегов только на Access портах  
/interface bridge port  
set bridge=bridgeVLAN ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=ether3]
set bridge=bridgeVLAN ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=ether4]

#######################################  
Включаем VLAN режим  
#######################################  
/interface bridge  
set bridgeVLAN vlan-filtering=yes

Привет, Стив, не переживай, маленькие победы тоже хороши!  
(1) Значит, у тебя приватный IP от роутера/модема провайдера. Если нужно пробросить порты, предполагается, что у тебя есть доступ к роутеру провайдера, чтобы перенаправить их на 192.168.4.2.  
(2) Ether2 выделен под VLAN10, который дальше идет на простой свитч, то есть это порт доступа.  
(3) Ether3 выделен под VLAN101 и подключен к mesh-устройству, но неизвестно, умный этот mesh или простой?  
(4) Ether4 выделен под VLAN8 и идёт на управляемый свитч, что обычно означает trunk-порт, но кроме VLAN8 других VLAN'ов, обслуживаемых свитчем, не видно, хотя свитч, скорее всего, должен быть либо в管理VLAN, либо в базовом VLAN — получается, должно быть два VLAN’а!  
(5) Ethernet5 выделен под VLAN222, и это выглядит как порт доступа, если pihole не умеет работать с VLAN’ами…  
(7) Всем VLAN'ам нужен доступ к pihole для DNS?  
(8) По VLAN222 — хочешь ограниченный доступ вне подсети:  
а. Ограниченные сервисы — только DNS на pihole? Если да, то это покрывается пунктом (7).  
б. Ограниченный доступ к FTP — куда и чему именно? В интернет, на FTP-сервис роутера, непонятно.  
(9) Вопрос: какие VLAN'ы имеют полный доступ в интернет? Ладно, вижу — да, все должны иметь полный доступ.  
(10) Был ли у тебя в планах management VLAN или админ всё время на VLAN10?  
(11) Нужно больше информации о mesh-сети, умные устройства там или нет, бренд и т. д. Ладно, это Tenda... но они умные?

Привет, anav, спасибо за твою помощь. Я уточнил диаграмму, чтобы она была более точной. Отвечаю на твои вопросы:

1) По сути, ты получаешь приватный IP от роутера/модема провайдера. Верно, роутер провайдера (192.168.1.1) выдает статический адрес (192.168.1.2) на WAN-порт ac3. Знаю, что многие не любят двойной NAT, но в этом случае он особых проблем не доставляет, так что двойной NAT — не проблема. Даже если в роутере провайдера включен файрвол, когда звонишь им с проблемой, они всё равно как-то получают доступ к внутренней топологии сети, а это меня раздражает. С вторым роутером за роутером провайдера они видят только один IP — ac3 (192.168.1.2), а не всю топологию. Порты из Интернета во внутреннюю сеть пробрасывать не нужно.

2) Ether2 выделен под VLAN10, который дальше идет на обычный свитч, так что это access-порт. Верно, при необходимости этот свитч можно заменить на другой TPlink TL-SG108G (поддерживает 802.1Q).

3) Ether3 выделен под VLAN101 и идет на mesh-устройство, но неясно, умное оно или обычное? Это Tenda MW6 Mesh (3 штуки), они работают очень эффективно, но очень простые. Ты просто подключаешь основное устройство к роутеру, настраиваешь SSID через их приложение, потом включаешь второе устройство, которое обычно соединяется с первым по отдельному радиоканалу (у меня для быстрой связи используется back-haul порт), а потом третье, и они просто работают. Так что, отвечая на вопрос, я бы сказал, что это “простые” устройства.

4) Ether4 выделен под VLAN8, подключен к управляемому свитчу, обычно это trunk-порт, но я не вижу других VLAN, кроме 8, которые обслуживает этот свитч, хотя он должен быть в management VLAN или базовом VLAN — значит, должно быть два VLAN!!! Сейчас этот TPLink используется как обычный (неуправляемый) свитч. Он поддерживает 802.1Q, но это не реализовано. Маленький 8-портовый управляемый свитч стоит всего на пару евро дороже обычного, так что я придерживаюсь философии — покупай лучшее, что можешь себе позволить по бюджету.

5) Ethernet5 выделен под VLAN222, и это, по-видимому, access-порт, учитывая, что PiHole не умеет работать с VLAN… Верно, по моим данным PiHole не поддерживает VLAN.

7) Всем VLAN нужен доступ к PiHole для DNS? Верно, PiHole работает как сетевой DNS-сервер, чтобы избавиться от всех надоедливых всплывающих окон, французского RGPD (этих заморочек с защитой данных), которые испортили 3/4 интернета. PiHole — это лучшее, что придумали после изобретения хлеба в нарезке.

8) По VLAN222: хочешь ограниченный доступ вне подсети,  
а) ограниченный доступ только к DNS-сервисам на PiHole? Если так, то это уже покрыто пунктом (7).  
б) ограниченный доступ к FTP-сервисам куда и к чему (в интернет, к FTP роутера, не уверен).  
VLAN222 используется только для одной машины — NanoPi Neo2 с Docker. В Docker у меня Portainer, PiHole и локальный OpenSpeedTest для теста гигабитного кабеля и прочего.

9) Вопрос — какие VLAN получают полный доступ в интернет???  
Отвечаю: да, все VLAN имеют полный доступ в интернет.

10) Ты планировал management VLAN или админ всегда в VLAN10?  
Идеально, если management будет на VLAN10 и VLAN8.

11) Нужно больше информации про mesh, умные устройства, бренд и т.д.  
Окей, это Tenda… но они умные? См. пункт (3).

Все варианты будут работать. Но вам всё равно нужно настроить DHCP-сервисы для всех VLANов. Однако нужно разобраться с management VLAN. Откуда админ будет заходить на маршрутизатор для настройки? Какова цель сети 192.168.2.0? (если она не на мосту, то неплохо иметь вне моста аварийный резервный доступ к маршрутизатору).