http://mikrotik.moscow Новое в теме Как установить IP-адрес для коммутатора при использовании VLAN? форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Sun, 19 Apr 2026 14:16:43 +0300 Как установить IP-адрес для коммутатора при использовании VLAN? RouterOS в форуме RouterOS.
Ничего страшного в использовании MT-правил, я предпочитаю немного проще. Это из той ссылки, но изменено… ВХОДЯЩАЯ ЦЕПЬ /ip firewall filter add action=accept chain=input connection-state=established,related add action=drop chain=input connection-state=invalid add action=accept chain=input comment=protocol=icmp add action=accept chain=input comment=“Разрешить ADMIN доступ к роутеру” src-address-list=adminaccess &&&& **добавить опционально***** add action=drop chain=input comment=“Отклонить все остальное” &&&&& /ip firewall address-list (чтобы разрешить доступ администратору к настройкам роутера с фиксированных статических IP, например, на любой подсети). add address=admin-desktop_IP list=adminaccess add address=admin-laptop_IP list=adminaccess add address=admin-ipad_IP list=adminaccess ***** опционально**: Предоставить доступ пользователям LAN ТОЛЬКО для тех услуг, которые роутер предоставляет (например): add action=accept chain=input comment=“Разрешить DNS-запросы LAN - TCP” connection-state=new dst-port=53 in-interface-list=LAN protocol=tcp add action=accept chain=input comment=“Разрешить DNS-запросы LAN - UDP” connection-state=new dst-port=53 in-interface-list=LAN protocol=udp add action=accept chain=input comment=“Разрешить NTP службу” connection-state=new dst-port=123 in-interface-list=LAN protocol=udp src-address-list=NTPserver Обсуждение: Последнее правило гарантирует, что никакой другой трафик не разрешен, если он не был явно разрешен выше, что включает, например, любой трафик WAN к роутеру. Убедитесь, что правила доступа для администратора установлены перед добавлением последнего правила, иначе вы можете заблокировать себя от роутера. ПЕРЕОДНАЯ ЦЕПЬ Дополнительно 1 +++ add action=fasttrack-connection chain=forward connection-state=established,related add action=accept chain=forward connection-state=established,related add action=drop chain=forward connection-state=invalid Дополнительно 2 ### Дополнительно 3 === add action=drop chain=forward comment=“отклонить все остальное” +++ Если вы используете IPSEC, вам потребуется… add action=accept chain=forward comment=“defconf: разрешить в политику ipsec” ipsec-policy=in,ipsec add action=accept chain=forward comment=“defconf: разрешить из политики ipsec” ipsec-policy=out,ipsec ### Здесь разместите трафик, который вы хотите разрешить, примеры: (a) разрешить трафик лан к wan (по подсети, по vlan, по интерфейсу и т. д.) add action=accept chain=forward comment=“РАЗРЕШИТЬ HomeLAN к WAN” in-interface=Home-LAN_V12 out-interface-list=WAN src-address=192.168.0.0/24 (b) разрешить подсети A доступ к общим принтерам на подсети B add action=accept chain=forward comment="разрешить VlanA Users_TO_Printers dst-address-list=House_Printers in-interface=VLANA src-address=192.168.0.0/24 === Если вам нужно пробросить порт по какой-либо причине, вы можете добавить это правило. add action=accept chain=forward comment=“Разрешить проброс порта” connection-nat-state=dstnat connection-state=new in-interface-list=WAN Обсуждение: Последнее правило автоматически блокирует весь трафик, не разрешенный выше, включая трафик WAN к LAN, и блокирует любой трафик подсеть к подсети или vlan к vlan на уровне 3. Для меня это всё, больше никаких правил не нужно в стандартной конфигурации безопасности. Большинство других вещей — это избыточное программное обеспечение.
09.09.2020 12:43:00, anav.]]> http://mikrotik.moscow/forum/forum57/84841-kak-ustanovit-ip_adres-dlya-kommutatora-pri-ispolzovanii-vlan/message390564 http://mikrotik.moscow/forum/forum57/84841-kak-ustanovit-ip_adres-dlya-kommutatora-pri-ispolzovanii-vlan/message390564 Wed, 09 Sep 2020 12:43:00 +0300 RouterOS Как установить IP-адрес для коммутатора при использовании VLAN? RouterOS в форуме RouterOS.
@anav → не переживай, я удалил все из правил фаервола, потому что мой роутер еще не подключен к интернету. Я просто хочу настроить все «на своем столе», а потом подключу свои устройства к интернету. Я даже не устанавливал другой логин, он по-прежнему по умолчанию. Безопасность я хочу настроить согласно https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router, но если у тебя есть другие полезные ссылки, пожалуйста, поделись. → ethernet 2 — это просто моя резервная копия, если я что-то напутаю с настройкой VLAN. → Хорошо, я удаляю dhcp-client в своей AP, спасибо @tdw → Думаю, мне не нужно настраивать безтеговые порты, потому что это делается автоматически. Я прочитал много статей о VLAN в Mikrotik и могу подтвердить, что это так. В любом случае, я все еще не понимаю, почему, черт побери, Mikrotik будет блокировать протокол icmp для всех моих шлюзов, если в правиле указано строгое условие: add action=drop chain=input log=yes protocol=icmp src-address-list=\VLAN3_public - есть идеи? Вот несколько материалов о VLAN, которые немного помогли мне разобраться в теме (может, помогут и другим): http://forum.mikrotik.com/t/using-routeros-to-vlan-your-network/126489/1 → общее понимание VLAN https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN → общее понимание VLAN https://wiki.mikrotik.com/wiki/Manual:CRS1xx/2xx_VLANs_with_Trunks#Management_IP → для управления VLAN https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table → тегированные/нетегированные VLAN
09.09.2020 06:35:00, MarekDuchac.]]> http://mikrotik.moscow/forum/forum57/84841-kak-ustanovit-ip_adres-dlya-kommutatora-pri-ispolzovanii-vlan/message390563 http://mikrotik.moscow/forum/forum57/84841-kak-ustanovit-ip_adres-dlya-kommutatora-pri-ispolzovanii-vlan/message390563 Wed, 09 Sep 2020 06:35:00 +0300 RouterOS Как установить IP-адрес для коммутатора при использовании VLAN? RouterOS в форуме RouterOS.
Конфигурация VLAN в порядке. Согласно моим предыдущим сообщениям (и вики Mikrotik), не обязательно указывать untagged= в /interface bridge vlan, так как они динамически генерируются из настроек pvid= в /interface bridge port. Вы можете указать оба параметра, но если они не совпадают, это может вызвать странные проблемы с подключением — это становится более вероятным, когда вы перенастраиваете VLAN на порту доступа и меняете один параметр, но не меняете другой.
08.09.2020 10:40:00, tdw.]]> http://mikrotik.moscow/forum/forum57/84841-kak-ustanovit-ip_adres-dlya-kommutatora-pri-ispolzovanii-vlan/message390562 http://mikrotik.moscow/forum/forum57/84841-kak-ustanovit-ip_adres-dlya-kommutatora-pri-ispolzovanii-vlan/message390562 Tue, 08 Sep 2020 10:40:00 +0300 RouterOS Как установить IP-адрес для коммутатора при использовании VLAN? RouterOS в форуме RouterOS.
Должны быть только правила файрвола на роутере, так что я посмотрю туда! ПОЧЕМУ ТЫ УБРАЛ ПРАВИЛА ФАЙРВОЛА из конфигурации... Опасность, отключи роутер!!! Я не понимаю, почему у тебя ethernet 2 частично настроен, отсутствует, например, dhcp-server-network, но предположу, что он не используется и ты не потрудился его убрать. Что касается правил файрвола, я не буду комментировать их, пока ты хотя бы не вернешь стандартные правила, так как роутер НЕ ДОЛЖЕН быть подключен к интернету, это совершенно не безопасно. Как только у тебя будет логичный набор правил файрвола, я помогу убедиться, что они соответствуют твоим требованиям. +++++++++++++++++ Свитч, -где определения всех VLAN, я вижу только vlan99?? -тебе не хватает всех неразмеченных интерфейсов в правилах VLAN для моста, которые должны отражать настройки pvid в портах моста?? ++++++++++++++++++ ТО -где определения всех VLAN, я вижу только vlan99?? -тебе не хватает всех неразмеченных интерфейсов в правилах VLAN для моста, которые должны отражать настройки pvid в портах моста?? тебе нужно убрать любые настройки клиента DHCP, которые вызывают это сообщение… /ip dhcp-client # Клиент DHCP не может работать на интерфейсе-слэве! add dhcp-options=hostname,clientid disabled=no interface=ether1
08.09.2020 01:36:00, anav.]]> http://mikrotik.moscow/forum/forum57/84841-kak-ustanovit-ip_adres-dlya-kommutatora-pri-ispolzovanii-vlan/message390561 http://mikrotik.moscow/forum/forum57/84841-kak-ustanovit-ip_adres-dlya-kommutatora-pri-ispolzovanii-vlan/message390561 Tue, 08 Sep 2020 01:36:00 +0300 RouterOS Как установить IP-адрес для коммутатора при использовании VLAN? RouterOS в форуме RouterOS.
Привет, ребята, спасибо, я всё настроил, и теперь всё работает. Было сложно понять, что нужно создать управляющий VLAN99 на всех устройствах, которые я хочу контролировать. У меня появилась другая проблема: я не могу отключить команду ping только для одного VLAN — она всегда отключается для всех VLAN. Моя конечная сеть: Можете помочь, пожалуйста? Например, я установил правило брандмауэра: add action=drop chain=input log=yes protocol=icmp src-address-list=\VLAN3_public, но это отключает ping для всех VLAN, а не только для VLAN3. Для дополнительной информации, пожалуйста, смотрите все конфигурации в приложении. switch.rsc (2.52 KB) router.rsc (3.32 KB) AP.rsc (1.82 KB)
07.09.2020 18:59:00, MarekDuchac.]]> http://mikrotik.moscow/forum/forum57/84841-kak-ustanovit-ip_adres-dlya-kommutatora-pri-ispolzovanii-vlan/message390560 http://mikrotik.moscow/forum/forum57/84841-kak-ustanovit-ip_adres-dlya-kommutatora-pri-ispolzovanii-vlan/message390560 Mon, 07 Sep 2020 18:59:00 +0300 RouterOS Как установить IP-адрес для коммутатора при использовании VLAN? RouterOS в форуме RouterOS.
Привет, ребята! Я настроил роутер Mikrotik в качестве DHCP-сервера для VLAN и переключатель Mikrotik согласно картинке в приложении. Я получил IP-адрес, но переключатель недоступен из VLAN. Основной вопрос: какой IP-адрес мне использовать для переключателя??? Я хочу иметь возможность настраивать переключатель в каждой VLAN, но у меня это не получается.
18.08.2020 15:00:00, MarekDuchac.]]> http://mikrotik.moscow/forum/forum57/84841-kak-ustanovit-ip_adres-dlya-kommutatora-pri-ispolzovanii-vlan/message390559 http://mikrotik.moscow/forum/forum57/84841-kak-ustanovit-ip_adres-dlya-kommutatora-pri-ispolzovanii-vlan/message390559 Tue, 18 Aug 2020 15:00:00 +0300 RouterOS