Привет всем, я, похоже, уперся в тупик и не могу разобраться с проблемой VLAN на hEX-PoE... Посмотрите на скриншоты ниже с конфигурациями устройства. Устройство настроено с нуля, работает на последней стабильной версии RouterOS, без каких-либо излишеств. Я сделал точно такую же настройку на RB2011-UiAS, и все работает. Помогите мне, я уже начинаю сходить с ума, пытаясь это понять. Цель: hEX-PoE будет действовать как шлюз для моей сети. У него должен быть интернет на eth/1, порт управления на eth/2 (без VLAN, отдельный мост, свой DHCP-сервер и диапазон), а затем транковый порт на eth/3, eth/4 и eth/5 (все подключены к br/1). VLANы таковы: VLAN1 - 192.168.66.0/24 VLAN30 - 172.16.99.0/24 Все Ethernet-порты на br/1 ("VLANBridge") должны иметь доступ к VLAN1 как к нетегированному трафику и к VLAN30 как к тегированному трафику, поскольку эти порты пойдут на коммутатор, на UniFi AP (основная SSID на VLAN1 и гостевой доступ на VLAN30), а затем на будущий порт расширения. Что я сделал: Следуя руководствам в интернете, я настроил следующее: Создал VLAN Bridge, "VLANBridge", с портами 3-5 (ссылаюсь на него как br/1). Создал VLAN 1 и 30 и добавил их на br/1. Создал адреса шлюза 192.168.66.1/24, связанных с vlan1, и 172.16.99.1/24, связанных с vlan30. Создал DHCP-сервер (с помощью настройки DHCP) и создал диапазоны DHCP-серверов для каждой VLAN. Добавил VLAN на br/1, где br/1 имеет ID 1, 30, тегированный трафик - это интерфейс VLAN30, а нетегированный - VLAN1. Добавил VLAN на порты коммутатора (в разделе switch → VLAN), где все порты на br/1 имеют обе VLAN с независимым обучением. Изменил Switch → Ports, соответствующие порты br/1 на безопасный режим, с заголовком VLAN, установленным на "добавить, если отсутствует" (я пробовал разные настройки, чтобы увидеть, работает ли что-то из этого, и также ссылался на источник 1 ниже). Что происходит: Подключая интернет-кабель к eth/1, маршрутизатор получает выход в интернет. Подключая любой компьютер к eth/2, он получает IP на управляющем порту, как и ожидалось. Подключая тот же или любой другой компьютер к eth/3, eth/4 или eth/5, возникает потеря соединения, без получения каких-либо сетевых аренды. Возвращение к eth/2 работает мгновенно. Изображения: 1. Конфигурация RouterBoard 2. Предполагаемая схема сети Ссылочные источники:
mkx
Guest
0
21.11.2019 13:18:00
Если мы придерживаемся конфигурации “новой школы”, то рассмотрим следующий фрагмент конфигурации: /interface bridge set [ find name=bridge ] vlan-filtering=yes # не делайте это, пока не установлены все настройки VLAN /interface bridge port add bridge=bridge ingress-filtering=yes interface=ether3 pvid=300 /interface bridge vlan add bridge=bridge tagged=bridge,ether3 vlan-ids=100 add bridge=bridge tagged=bridge untagged=ether3 vlan-ids=300 /interface vlan add interface=bridge name=vlan100 vlan-id=100 add interface=bridge name=vlan300 vlan-id=300 Это делает ether3 членом моста и устанавливает PVID=300, чтобы непомеченные пакеты получали VID=300 при входе. Затем создаются два VLAN на мосту (как коммутатор). VLAN с VID=100 имеет два помеченных интерфейса: ether3 и bridge (интерфейс), в то время как VLAN с VID=300 также имеет два участника, bridge (интерфейс) помечен, а ether3 — непомечен. Это означает, что пакеты с VID=300 будут выходить непомеченными с ether3. Затем создаются два интерфейса типа vlan, по одному для каждого VLAN, пересекающего мост. Эти интерфейсы используются для взаимодействия между маршрутизатором и соответствующим VLAN, поэтому необходимо привязать настройку IP к этим интерфейсам (например, /ip address add interface=vlan100 address=192.168.100.1/24). Если устройство RB используется как L2 коммутатор для определенного VLAN, мост не должен быть членом этого VLAN, а интерфейс vlan для этого VID создавать не нужно. Пример: если мы хотим добавить VLAN с VID=400 к trunk ether3 (как помеченный) и к ether4 как access port, но RB не будет взаимодействовать с ним на уровне IP, тогда, помимо вышеуказанного, конфигурация будет следующей: /interface bridge port add bridge=bridge ingress-filtering=yes interface=ether4 pvid=400 /interface bridge vlan add bridge=bridge tagged=ether3 untagged=ether4 vlan-ids=400.
durango
Guest
0
19.04.2021 17:44:00
Привет всем, я новичок на форуме и с MikroTik. Попробовал скопировать решение конфигурации выше и адаптировать его под себя. В разделе безопасности, после этого, я выхожу из Winbox, и не могу подключиться к HEX POE. Приходится делать сброс. Моя карта соответствует конфигурации config: /interface bridge add name=VLANBridge vlan-filtering=yes add comment="Management Bridge" name=bridge /interface vlan add comment="Untagged Traffic" interface=VLANBridge name=VLAN1 vlan-id=1 add comment="Телефония" interface=VLANBridge name=VLAN20 vlan-id=20 add comment="WIFI" interface=VLANBridge name=VLAN30 vlan-id=30 add comment="Сервер" interface=VLANBridge name=VLAN40 vlan-id=40 add comment="ПК" interface=VLANBridge name=VLAN50 vlan-id=50 /interface ethernet switch port set 2 default-vlan-id=1 vlan-header=add-if-missing vlan-mode=secure set 3 default-vlan-id=1 vlan-header=add-if-missing vlan-mode=secure set 4 default-vlan-id=1 vlan-header=add-if-missing vlan-mode=secure /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=default-dhcp ranges=192.168.88.10-192.168.88.254 add name=dhcp_VLAN30 ranges=172.16.20.20-172.16.30.254 add name=dhcp_VLAN30 ranges=172.16.30.20-172.16.30.254 add name=dhcp_vlan40 ranges=172.16.40.20-172.16.40.254 add name=dhcp_vlan50 ranges=172.16.50.20-172.16.50.254 /ip dhcp-server add address-pool=default-dhcp disabled=no interface=bridge name=defconf add address-pool=dhcp_VLAN20 disabled=no interface=VLAN20 name=vlan20 add address-pool=dhcp_VLAN30 disabled=no interface=VLAN30 name=vlan30 add address-pool=dhcp_VLAN40 disabled=no interface=VLAN40 name=VLAN40 add address-pool=dhcp_VLAN50 disabled=no interface=VLAN40 name=VLAN50 /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=VLANBridge comment=defconf ingress-filtering=yes interface=ether3 add bridge=VLANBridge comment=defconf frame-types= admit-only-untagged-and-priority-tagged ingress-filtering=yes interface= ether4 add bridge=VLANBridge comment=defconf frame-types= admit-only-untagged-and-priority-tagged ingress-filtering=yes interface= ether5 add bridge=VLANBridge comment=defconf ingress-filtering=yes interface=sfp1 /ip neighbor discovery-settings set discover-interface-list=LAN /interface bridge vlan add bridge=VLANBridge untagged=VLANBridge,VLAN1 vlan-ids=1 add bridge=VLANBridge tagged=VLANBridge,VLAN30 vlan-ids=20 add bridge=VLANBridge tagged=VLANBridge,VLAN30 vlan-ids=30 add bridge=VLANBridge tagged=VLANBridge,VLAN40 vlan-ids=40 add bridge=VLANBridge tagged=VLANBridge,VLAN50 vlan-ids=50 /interface ethernet switch vlan add independent-learning=yes ports=ether3,ether4,ether5,switch1-cpu switch=switch1 vlan-id=1 add independent-learning=yes ports=ether3,ether4,ether5,switch1-cpu switch= switch1 vlan-id=20 add independent-learning=yes ports=ether3,ether4,ether5,switch1-cpu switch= switch1 vlan-id=30 add independent-learning=yes ports=ether3,ether4,ether5,switch1-cpu switch= switch1 vlan-id=40 add independent-learning=yes ports=ether3,ether4,ether5,switch1-cpu switch=switch1 vlan-id=50 /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /ip address add address=192.168.88.1/24 comment=defconf interface=bridge network= 192.168.88.0 add address=192.168.66.1/24 interface=VLAN1 network=192.168.66.0 add address=172.16.30.1/24 interface=VLAN30 network=172.16.30.0 add address=172.16.40.1/24 interface=VLAN40 network=172.16.40.0 add address=172.16.50.1/24 interface=VLAN50 network=172.16.50.0 /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid disabled=no interface= ether1 /ip dhcp-server network add address=172.16.30.0/24 dns-server=172.16.30.1,1.1.1.1,8.8.8.8 domain= ***REDACTED*** gateway=172.16.30.1 add address=172.16.40.0/24 dns-server=172.16.40.1,1.1.1.1,8.8.8.8 domain= ***REDACTED*** gateway=172.16.30.1 add address=172.16.50.0/24 dns-server=172.16.50.1,1.1.1.1,8.8.8.8 domain= ***REDACTED*** gateway=172.16.30.1 add address=192.168.66.0/24 dns-server=192.168.66.1,1.1.1.1,8.8.8.8 domain= ***REDACTED*** gateway=192.168.1.1 add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.88.1 comment=defconf name=router.lan /ip firewall filter add action=accept chain=input comment= "defconf: accept established,related,untracked" connection-state= established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state= invalid disabled=yes add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment= "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" disabled=yes in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment= "defconf: accept established,related, untracked" connection-state= established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid disabled=yes add action=drop chain=forward comment= "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new disabled=yes in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN /system clock set time-zone-name=Europe/Madrid /system logging add prefix="[DHCP Event]" topics=dhcp add topics=event /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN
durango
Guest
0
19.04.2021 17:51:00
Всем привет! Я новичок на форуме и только начинаю разбираться с MikroTik. Попытался перенести решение конфигурации из приведенного примера и адаптировать его под себя. В разделе безопасности, после изменений, выхожу из Winbox и не могу подключиться к HEX POE. Приходится делать сброс. Мой шлюз 192.168.1.1/20 или 192.168.188.1/24. Моя схема следующее:
@JbrinkZA Первый комментарий: Зачем вам нужен гибридный порт между CISCO и MIKROTIK? Это не имеет совершенно никакого смысла. Просто передайте оба через VLAN на транковом порту, а затем на MIKROTIK распределяйте VLAN по мере необходимости. Объясните, какова цель гибридного порта между двумя «УМНЫМИ» устройствами (оба выступают в роли коммутаторов)? @Durango, не знаю, откуда у вас информация, но для фильтрации VLAN на мосту это лучшее руководство.
anav
Guest
0
22.04.2021 15:16:00
@Durango (1) Нужен один мост, а не два. (2) Используйте домашний VLAN как управляющий VLAN, или если хотите отдельный управляющий VLAN, то используйте что-то вроде vlan99. Однако, если вы как администратор всегда оставляете свои ПК в домашнем VLAN, просто используйте домашний VLAN и настройте правила фаервола, чтобы ограничить доступ к HEX внутри домашней сети — это легко. (3) Никогда не используйте VLAN1 для чего-либо, кроме как для VLAN PVID по умолчанию для Hex и моста. (4) В вашей конфигурации много ошибок, неправильные имена и номера VLAN. (5) Если у вас есть проблемы с настройкой моста и блокировкой доступа, оставьте на время ОДИН ПОРТ, скажем ether5, как отдельный интерфейс с сетью 192.168.88.1/24. Так вы всегда сможете получить доступ к роутеру для настройки, обойдя мост, просто подключив свой ноутбук к порту ether5 и установив IP вашего ноутбука на 192.168.88.2, к примеру. (6) Вы определили VLAN как порты моста… VLAN не являются портами моста!
anav
Guest
0
22.04.2021 15:39:00
Без сетевой схемы нет информации о том, что находится на каждом эфирном порту на хексе?? /interface ethernet set [ find default-name=ether1 ] set [ find default-name=ether2 ] set [ find default-name=ether3 ] set [ find default-name=ether4 ] set [ find default-name=ether5 ] name=emerg-access_eth5 set [ find default-name=sfp1 ]
/interface bridge vlan add bridge=one-bridge tagged=one-bridge,ether2,3,sfp1 vlan-ids=10,20,30,40 add bridge=one-bridge untagged=ether4 vlan-ids=XX ... ПРИМЕЧАНИЕ: Я предположил, что все VLAN идут на "умные" устройства (коммутаторы и точки доступа, которые могут читать VLAN-теги) на эфирных портах 2,3,sfp1, а один из VLAN идет на "глупое" устройство на эфире 4.
