+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

DNS-запросы не работают на VLAN.

DNS-запросы не работают на VLAN., RouterOS

grumpyblob

Guest

23.05.2025 21:31:00

Привет! Во-первых, сеть — это не совсем моя специализация, но я всё равно здесь. У меня роутер RB5009UPr+s+IN. На ether4 к роутеру подключён proxmox-сервер с IP 192.168.88.X. Теперь хочу заморочиться и создать VLAN для моих ВМ с сетью 10.0.10.0/24. Вся настройка сделана вот таким скриптом:

/interface vlan
add name=vlan10 interface=ether4 vlan-id=10

/ip address
add address=10.0.10.1/24 interface=vlan10 network=10.0.10.0

# Понимаю, это не обязательно, если использовать статичные IP
/ip pool
add name=dhcp_pool_vlan10 ranges=10.0.10.10-10.0.10.100
/ip dhcp-server
add name=dhcp_vlan10 interface=vlan10 address-pool=dhcp_pool_vlan10 disabled=no
/ip dhcp-server network
add address=10.0.10.0/24 gateway=10.0.10.1 dns-server=10.0.10.1

/ip settings
set accept-source-route=no accept-redirects=no

/ip firewall filter
add chain=forward action=accept src-address=192.168.88.0/24 dst-address=10.0.10.0/24 comment="Allow LAN to VLAN10"
add chain=forward action=accept src-address=10.0.10.0/24 dst-address=192.168.88.0/24 comment="Allow VLAN10 to LAN"

Всё работает отлично, кроме случая, когда пытаюсь сделать DNS-запросы с 10.0.10.100 (пример: dig @10.0.10.1 google.com). С 10.0.10.100 пингуется и 10.0.10.1, и 192.168.88.1. dig через 8.8.8.8 тоже работает. Если делать то же с сервера из сети 192.168.88.0/24 — всё в порядке.

Что может быть не так? Всё вообще неправильно? Ты вообще понимаешь, что я пытаюсь сделать? Не уверен, что у меня есть знания, чтобы ответить на возможные вопросы.

С уважением, Blob

Цитировать Имя

Rockyboa

Guest

26.07.2025 15:30:00

Извиняюсь, что воскресил эту тему, но вопрос почти такой же. При стандартном правиле фаервола для входящих пакетов: add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN и наличии в моём списке интерфейсов стандартного: add interface=bridge list=LAN Управляя всеми VLAN на уровне моста так: add bridge=bridge comment=defconf interface=ether3 pvid=2
add bridge=bridge comment=defconf interface=ether4 pvid=2
add bridge=bridge comment=defconf interface=ether5 pvid=2
add bridge=bridge comment=defconf interface=ether6 pvid=2 Я думал, что этот VLAN сможет нормально обрабатывать удалённые DNS-запросы. Но они блокируются. Моё решение — добавить VLAN-интерфейс к мосту и включить его в список LAN /interface vlan
add interface=bridge name=bridge-vlan2-VoIP vlan-id=2

/interface list
add name=WAN
add name=LAN

/interface list member
add interface=pppoe-out1 list=WAN
add interface=bridge list=LAN
add interface=bridge-vlan2-VoIP list=LAN

Тем не менее, я предполагал, что все VLAN в этом мосту автоматически будут в LAN и не будут блокироваться этим правилом для входящих пакетов. Вот такая штука.

Цитировать Имя

jaclaz

Guest

26.07.2025 15:41:00

Думаю, можно сказать так: Ethernet-интерфейсы, как только их добавляют в мост, становятся «внутри» моста (поэтому в список LAN добавляют сам мост, а не отдельные интерфейсы, которые становятся частью моста). А VLAN-интерфейсы «лежат сверху» моста, поэтому в список LAN нужно добавлять именно VLAN-интерфейс как отдельный элемент. Или, если хотите, это дополнительный уровень вокруг моста, который при этом сохраняет свою самостоятельность (в отличие от Ethernet-интерфейсов, которые полностью поглощаются мостом).

Цитировать Имя

lurker888

Guest

26.07.2025 15:47:00

Ну, ты ошибался, но молодец, теперь думаешь правильно. На самом деле твое решение именно то, что нужно. В последнее время этот вопрос часто всплывает, так что стоит объяснить подробнее. Разделение на VLAN сделано для того, чтобы иметь отдельные интерфейсы. Это нужно, чтобы назначать разные сети, разные маршруты, разные DHCP-серверы, а также разные правила фаервола. Когда ты настраиваешь VLAN в маршрутизируемых сценариях, надо создать интерфейсы VLAN, и с этого момента именно они будут входными и выходными интерфейсами.

Чтобы разобраться с такими проблемами, очень полезна встроенная функция — логирование правил фаервола. Если временно добавить правило вида

/ip firewall filter
add chain=input action=passthrough protocol=udp dst-port=53 log=yes log-prefix="DNS_PKT"

то в логе будут появляться записи о каждом входящем DNS-пакете, где будет видно, какой интерфейс был входным, то есть твой VLAN-интерфейс. При добавлении этого правила ставь его первым в цепочке input. Это правило (action=passthrough) не влияет на обработку пакетов, кроме как логирует и считает их.

Цитировать Имя

anav

Guest

26.07.2025 22:14:00

Более понятно, сказано человеком без IT-опыта: не используйте bridge для работы с подсетями после перехода на VLAN-ы. Он должен выполнять только простое мостирование. Просто называйте ранее связанный subnet, другой VLAN на мосту, например vlan-bridge (pvid-11). Теперь мост больше не отображается в списке интерфейсов ни для чего, а VLAN-ы фигурируют как члены LAN. С таким четким указанием тебя теперь будут звать happystick.

Цитировать Имя

mkx

Guest

27.07.2025 09:04:00

Объясню ещё раз по-другому: (L3) интерфейс — это сущность, которой назначен IP/IPv6 адрес. Это может быть Ethernet-интерфейс, если он не используется как порт моста (в стандартной конфигурации на многих устройствах так используется ether1). Может быть интерфейс моста, если VLAN не используются. И может быть VLAN-интерфейсом, когда VLAN применяются (и неважно, какой порт служит якорем для VLAN-интерфейса — физический порт или порт моста, направленный на CPU). Или это может быть какой-то туннельный интерфейс, например pppoe-интерфейс. И нет, этот статус (интерейс, а не порт) не «наследуется» от родительского интерфейса или порта.

Кстати, почти любая сущность (кроме VLAN-интерфейсов и некоторых туннельных интерфейсов) может одновременно быть и портом, и интерфейсом, если используется как «гибридный порт» — порт как якорь для VLAN-интерфейса и интерфейс для нетегированного трафика. Но такая гибридная природа иногда усложняет понимание, как уже отметил @anav.

Цитировать Имя

anav

Guest

27.07.2025 12:19:00

У меня тоже нет проблем с гибридными портами на мосту, но я хочу сказать, что для подавляющего большинства домашних и даже небольших офисных сетей нет необходимости смешивать мосты и подсети при использовании VLAN для подсетей. Нет ничего страшного и в том, чтобы назначить интерфейсу собственный IP-адрес, при этом сам интерфейс не находился бы в мосту (впрочем, для настройки фильтрации VLAN это мой привычный способ), или даже использовать два моста и так далее…

Цитировать Имя

devicer User Сообщений: 1 Регистрация: 15.08.2025	#8 0 15.08.2025 17:38:47 Приветствую. Не понял и не нашел кнопку создания новой темы на форуме, поэтому пишу здесь. Сегодня столкнулся с проблемой на роутере h AP AC TC в части IP адресов и наличия подключения к внешней сети. Суть: при подключении нового устройства ему от DHCP был выдан адрес 192.168.88.31, хост не имеет при этом подключения к интрнету и вообще связи с внешним миром. При этом все другие устройства с другими IP работают также как и раньше хорошо. Думал что проблема с DNS, сменил через winbox на гугловский, но ничего не поменялось. Смотрел настройки всего, но ничего не нашел ограничивающего хосты с адресами после 30го. Дальше еще интереснее: сменил IP на статичный ..88.5 и все заработало, все пингуется, интернет есть. Для интереса сменил также статично на ..88.8 и снова ничего не работает. Все эти адреса не заняты в Lease никаким другим хостом. Вот что за мистика или полтергейст? 😂 куда копать?
	Цитировать Имя

Читают тему

BBCode Правила

Форма ответов

Ваше имя*

Текст сообщения*

Перетащите файлы

Ничего не найдено

Загрузить картинки

Показывать графические смайлы в этом сообщении

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры