+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Основы LAN к LAN

Основы LAN к LAN, RouterOS

Kimbaras

Guest

09.08.2024 13:15:00

Всем привет! Некоторое время назад я купил RB2011UiAS-RM для своего домашнего лабораторного стенда, чтобы немного прокачать навыки в сетях, и вот недавно начал с ним играться. Теперь, когда я действительно начал работать с ним, понимаю все комменты на форумах и в реддите: «RouterOS — мощный, но довольно сложный». Это правда, несколько раз пришлось сбрасывать роутер к заводским настройкам из-за моих косяков. Не страшно, ведь это всего лишь учебная площадка, и ничего критичного от него не зависит. В итоге получилось сделать стабильную стартовую конфигурацию.

Текущая ситуация показана на скриншоте

Дальше я буду называть подсети «домашняя подсеть» (ISP выдал привычную 192.168.1.xxx) и «mikro подсеть» (стандартная, для простоты 192.168.88.xxx). Сейчас дело обстоит так: компьютер в «mikro подсети» (.88.150) может выходить в интернет и обращаться к нескольким тестовым виртуалкам в домашней сети (я проверял не всё, но базовые вещи, например, pihole, который находится в 192.168.1 подсети, доступны с .88.x).

Следующий (идеальный) шаг — чтобы из домашней сети можно было заходить во всю «mikro подсеть» (в нашем случае, например, подключаться по RDP к компу .88.150). Подозреваю, что не хватает настройки (вероятно, на роутере провайдера), чтобы он «говорил»: «все запросы к .88.150 пересылать на mikrotik, то есть на .1.250». Но мои знания базового уровня сетей и файрволлов тут уже заканчиваются.

И ещё один вопрос: можно ли сделать так, чтобы какой-то порт на mikrotik работал просто как «прозрачный», то есть, грубо говоря, хотел бы подключить устройство, скажем, к ether8 на mikrotik и чтобы оно было в той же подсети 192.168.1 (то есть mikrotik в этом порту был бы просто управляемым/прокачанным свитчем)?

Как заметил выше, я достаточно опытен в администрировании, но сетевые настройки за рамками iptables и простых правил файрволла даются мне с трудом, и именно ради этого я и решил поковыряться с RouterBOARD.

Спасибо всем, кто найдёт пару минут, чтобы прочесть и ответить!

jaclaz

Guest

05.09.2024 07:57:00

Очень вероятно, что это вовсе не связано с проблемой, которую вам ещё нужно решить, но использование VLAN1 — это то, что мы, высококвалифицированные специалисты, обычно называем «намеренным поиском проблем». К вашему сведению: http://forum.mikrotik.com/t/vlan-configuration/176351/1

Kimbaras Guest	#3 0 05.09.2024 08:25:00 Хорошее замечание, спасибо за предложение!

Kimbaras

Guest

29.08.2024 14:32:00

Всем привет! Спасибо за полезные советы, и после пары дней экспериментов, думаю, я освоил основы и почувствовал уверенность в навигации и обновлении конфигураций. Даже удалось полностью сбросить настройки и настроить всё заново, не заблокировав доступ к роутеру!

Следуя другой теме на форуме (http://forum.mikrotik.com/t/how-to-create-most-basic-vlan/153816/1), я без особых проблем поднял VLAN. Сейчас ситуация такая: всё, что подключено к MikroTik (будь то VLAN или нет), имеет доступ в интернет и может нормально работать.

Теперь последние шаги, которые, если посмотреть на первую тему, должны идти в первую очередь. В начальном сообщении я хотел, чтобы один или несколько портов были по сути «коммутатором», получая (или задавая) IP из подсети «WAN». holvoetn дал классные рекомендации с использованием отдельного бриджа, что сработало частично. По сути, следуя их советам, я получил IP из той же подсети, что и WAN, но всё остальное (интерфейсы на основном мосту) перестало работать, и с них больше не было соединений. Не знаю, это моя ошибка или не хватает правил в фаерволе.

Как должен выглядеть процесс настройки с VLAN в этом случае? Если это вообще возможно…

Что я хочу получить:
ISP Router (192.168.1.x) > MikroTik (192.168.1.250) > Настроить один интерфейс (например, ether10) на 192.168.1.251 > Подключить точку доступа к ether10, чтобы она была доступна из подсети ISP.

Все устройства, подключённые к точке доступа на 192.168.1.251, должны получать IP из подсети 192.168.1.x.

Точку доступа я уже настроил так, чтобы это работало, проблем нет, но сейчас она подключена напрямую к роутеру/модему ISP. Хочу подключить её через MikroTik.

Если вам интересно, почему такая сложная схема — две причины:
1) Хочу прокачать навыки сетевого администрирования (чтобы похвастаться, возможно…)
2) Точка доступа будет использоваться для большинства IoT-устройств в доме, и я хочу иметь какой-то мониторинг (которого сейчас нет на роутере ISP).

Если скажете «это будет сложно», отлично! Я не собираюсь отступать при первой же проблеме.
Если же «это невозможно», буду немного разочарован, но если так — значит так.

Всем спасибо за помощь до сих пор и за будущую поддержку!

jaclaz Guest	#5 0 29.08.2024 15:34:00 Тебе нужно будет пройтись по этой ветке (которая является официально неофициальным гайдом по VLAN от Pcunite): http://forum.mikrotik.com/t/using-routeros-to-vlan-your-network/126489/1

anav Guest	#6 0 29.08.2024 17:05:00 Будет полезно получить полный конфиг для проверки (без серийного номера роутера и любой общедоступной информации о WAN IP).

Kimbaras

Guest

05.09.2024 07:41:00

Я уже сталкивался с этим постом, и он определённо полезен! Сейчас могу сказать, что я «спокоен» с VLAN’ами, по крайней мере, кажется, что я заставил их работать с базовыми настройками. Но всё ещё не смог добиться того, чего хочу. Вот полный конфиг, без серийного номера, и я убрал детали по Wireguard VPN — он у меня работает. Где я что-то замазал, это помечено, но учитывая, что это в основном детали VPN, сомневаюсь, что это связано с тем, что я пытаюсь понять или сделать.

# 2024-09-05 08:53:43 by RouterOS 7.15.3
# software id = EUTR-V7DK
#
# model = RB2011UiAS
/interface bridge
add arp=proxy-arp comment="Main Bridge" name=EternityWall vlan-filtering=yes
/interface wireguard
add comment="MercuryWall - WireGuard VPN" <details removed>
/interface vlan
add comment="VLAN - Generic" interface=EternityWall name=Dark-Angels vlan-id=1
add comment="VLAN - Passthrough" interface=EternityWall name=Raven-Guard vlan-id=19
add comment="VLAN - Generic" interface=EternityWall name=Space-Wolves vlan-id=8
/interface list
add comment="Main entry point - WAN" name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add comment="Primary Pool for default DHCP" name=primary-pool ranges=10.0.0.100-10.0.0.150
add comment="Pool for VLAN \"Dark-Angels\"" name=Dark-Angels ranges=10.1.0.10-10.1.0.20
add comment="Pool for VLAN \"Space-Wolves\"" name=Space-Wolves ranges=10.8.0.50-10.8.0.60
/ip dhcp-server
add address-pool=primary-pool comment="Main DHCP Server" interface=EternityWall name=main-dhcp
add address-pool=Dark-Angels comment="DHCP Server for \"Dark-Angels\"" interface=Dark-Angels name=dhcp-DarkAngels
add address-pool=Space-Wolves comment="DHCP Server for \"Space-Wolves\"" interface=Space-Wolves name=dhcp-SpaceWolves
/port
set 0 name=serial0
/interface bridge port
add bridge=EternityWall interface=ether2
add bridge=EternityWall interface=ether3
add bridge=EternityWall interface=ether4
add bridge=EternityWall interface=ether5
add bridge=EternityWall disabled=yes interface=ether6
add bridge=EternityWall interface=ether7
add bridge=EternityWall disabled=yes interface=ether8
add bridge=EternityWall disabled=yes interface=ether9
add bridge=EternityWall interface=ether10
add bridge=EternityWall comment="VLAN \"Dark-Angels\"" interface=ether6
add bridge=EternityWall comment="VLAN \"Space-Wolves\"" interface=ether9 pvid=8
add bridge=EternityWall comment="VLAN \"Raven-Guard\" - Passthrough" disabled=yes interface=ether7 pvid=19
/interface bridge vlan
add bridge=EternityWall comment="Assign \"Dark-Angels\" VLAN" tagged=EternityWall untagged=ether6 vlan-ids=1
add bridge=EternityWall comment="Assign \"Space-Wolves\" VLAN" tagged=EternityWall untagged=ether9 vlan-ids=8
# EternityWall not a bridge port
add bridge=EternityWall comment="Assign \"Raven-Guard\" VLAN - Passthrough" disabled=yes tagged=EternityWall untagged=ether7 vlan-ids=19
/interface ethernet switch vlan
add independent-learning=no ports=ether1,ether5 switch=switch1 vlan-id=1
/interface list member
add comment="Main entry point - WAN" interface=ether1 list=WAN
/interface wireguard peers
<peers info removed>
/ip address
add address=10.0.0.1/24 comment="Main subnet" interface=EternityWall network=10.0.0.0
add address=192.168.1.250/24 comment="Entry point" interface=ether1 network=192.168.1.0
add <details removed> comment="WireGuard Network" interface=MercuryWall <details removed>
add address=10.1.0.1/24 comment="Entry point for \"Dark-Angels\" VLAN" interface=Dark-Angels network=10.1.0.0
add address=10.8.0.1/24 comment="Entry point for \"Space Wolves\" VLAN" interface=Space-Wolves network=10.8.0.0
/ip dhcp-server network
add address=10.0.0.0/24 gateway=10.0.0.1
add address=10.1.0.0/24 comment="Network for \"Dark-Angels\" VLAN" gateway=10.1.0.1 netmask=24
add address=10.8.0.0/24 comment="Network for \"Space-Wolves\" VLAN" gateway=10.8.0.1
/ip dns
set allow-remote-requests=yes servers=<internal DNS in the 192.168.1.x subnet>
/ip firewall address-list
add address=10.0.0.0/24 comment="Main LAN list" list=Main-LAN
add <details removed> comment="Wireguard VPN \"Mercury Wall\" list" list=Wireguard
/ip firewall filter
add action=drop chain=forward comment="Drop \"invalid\" on FORWARD" connection-state=invalid
add action=accept chain=input comment="Allow PING" protocol=icmp
add action=accept chain=input comment="Allow WireGuard VPN" <details removed>
add action=accept chain=input comment="Allow from WireGuard network" src-address-list=Wireguard
add action=accept chain=input comment="Allow WinBox" <details removed>
add action=accept chain=input comment="Allow \"established\" and \"related\" on INPUT" connection-state=established,related
add action=accept chain=input comment="Allow from Home Network" in-interface=ether1
add action=accept chain=input comment="Allow from \"Main-LAN\"" src-address-list=Main-LAN
add action=accept chain=forward comment="Allow \"new\" from \"Main-LAN\" on FORWARD " connection-state=new src-address-list=Main-LAN
add action=accept chain=forward comment="Allow \"estabilished\" and \"related\" on FORWARD" connection-state=established,related
add action=drop chain=input comment="Drop everything else on INPUT"
/ip firewall nat
add action=masquerade chain=srcnat comment="Main NAT" out-interface=ether1
add action=masquerade chain=srcnat comment="WireGuard VPN - NAT" out-interface-list=WAN
/ip route
add comment="Primary gateway" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=<ISP router / gateway in the 192.168.1.x subnet> routing-table=main suppress-hw-offload=no
/ip service
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Rome
/system identity
set name=HolyTerra
/system note
set show-at-login=no

PS: пожалуйста, игнорируйте разные имена VLAN и интерфейсов, мой внутренний гик победил, когда начал настраивать. Спасибо!

anav

Guest

05.09.2024 10:37:00

Просто хотел заметить, что на первой странице статьи, которую вы уже, как вы сказали, прочитали… PCUNITES vlan bible, говорится следующее:
Цитата:
Native, Base и MGMT (управляющая) VLAN: Когда вы создаёте свои VLAN и выбираете для каждого из них ID, важно понимать, что базовая сеть, через которую вы впервые подключаетесь к маршрутизатору или коммутатору, часто называется Native VLAN. В наших примерах мы не используем эту сеть по умолчанию. Вместо этого мы внедряем Base VLAN (наш термин для управляющей VLAN) с ID 99. Через эту сеть идёт обмен трафиком между устройствами (маршрутизация и прочее). Также здесь по умолчанию доступно подключение Winbox.
Небольшое предупреждение, если вы собираетесь использовать VLAN 1 в своей сети. Большинство производителей используют VLAN 1 как native VLAN для своего оборудования. MikroTik использует VLAN 0. Если вы попытаетесь создать сценарий с VLAN 1 на MikroTik и ожидаете тегированные кадры, это будет несовместимо с другими производителями, которые по умолчанию делают VLAN 1 нетегированным. Поэтому, если вы не готовы менять стандартное поведение MikroTik и/или других производителей, проще использовать VLAN 2 и выше.

Kimbaras

Guest

05.09.2024 10:59:00

Да, jaclaz тоже на это указал. Я эту часть статьи понял как «лучше бы», а не как «почти обязательно», потому что в паре тестов, которые я проводил, проблем с этим особо не возникло, то есть базовые тесты прошли нормально. Теперь думаю, что это было просто везение и правильное выполнение действий… В любом случае, спасибо еще раз, что указали на это (и объяснили, что это стоит воспринимать не просто как совет).

jaclaz

Guest

#10

05.09.2024 12:16:00

По моему мнению, есть в основном две проблемы при использовании VLAN1: возможные несовместимости с оборудованием других производителей и возможные несовместимости с внутренним использованием VLAN1 в Mikrotik для некоторых настроек, например: http://forum.mikrotik.com/t/management-vlan-issue/175412/1.

Я уверен, что опытные и хорошо разбирающиеся пользователи, такие как, скажем, tdw, Sob или Sindy, могут спокойно использовать VLAN1 (потому что понимают все последствия), но для всех остальных гораздо проще его не трогать — это же ничего не стоит.

mkx

Guest

#11

05.09.2024 15:37:00

Как вы можете говорить, что неиспользование VLAN 1 нам ничего не стоит? Я заплатил 1,85 € за UTP-патчкорд для работы с транковым соединением. Если я не могу использовать VLAN 1, я теряю 0,00045 € из-за сниженной функциональности!!!

anav Guest	#12 0 05.09.2024 19:47:00 Я собираюсь навесить на тебя налог за углеродные выбросы электронов за пустую трату поста (или ужасное чувство юмора) — выбирай сам.

jaclaz Guest	#13 0 05.09.2024 20:01:00 @mkx Ну, я заплатил 1.80 за тот же самый кабель, так что нам это ничего не стоит — вместе взятые — мы всё равно в плюсе, и нам даже по карману несправедливая и незаконная пошлина, которую только что на нас навесил Шериф из Ноттингема.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры