http://mikrotik.moscow Новое в теме Полное решение SSDP + mDNS для сегментации сети форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Sat, 13 Jun 2026 07:18:47 +0300 Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
Аппаратное разгрузка остаётся включённой, когда я запускаю контейнер. По крайней мере, индикатор рядом с каждым портом моста горит, кроме veth1. Также нагрузка на CPU остаётся очень низкой — 1-2%, так что кажется, что обработка пакетов в программном обеспечении вообще не происходит. К сожалению, обновление до 7.12 ничего не изменило =(
10.11.2023 20:34:00, anro.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423073 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423073 Fri, 10 Nov 2023 20:34:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
То же самое происходит, если я запускаю сниффер пакетов на veth1-reflector или на основной мост. На самом деле, когда используется сниффер пакетов, всё аппаратное ускорение временно отключается. Это единственный способ, чтобы Mikrotik controlplane мог видеть пакеты. И это важная подсказка. Моя первая гипотеза — аппаратное ускорение отключается при запуске контейнера. Проверьте, есть ли у портов вашего моста флаг H. Либо нажмите на все порты моста и посмотрите, включено ли HW offload (в правом нижнем углу окна). И посмотрите, меняется ли это при запуске и остановке контейнера. Сегодня вышла версия 7.12 с исправлениями в bridge, два из которых: *) bridge — исправлена быстрая маршрутизация с аппаратным ускорением фильтрации VLAN (введена в v7.11); *) bridge — исправлена стабильность фильтрации VLAN с аппаратным и без аппаратного ускорения на портах (введена в v7.10); Возможно, это как-то связано. Рекомендую обновиться. Кстати, у меня всё работает с ingress-filtering=yes на порту моста. Это хорошая новость! Возможно, раньше работало некорректно, когда я всё собирал, посмотрю, найду ли время на следующей неделе, чтобы сделать новые тесты на 7.11/7.12 и обновить руководство.
10.11.2023 01:32:00, nicob.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423072 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423072 Fri, 10 Nov 2023 01:32:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
Прежде всего, спасибо за колоссальную работу по всей этой сборке! Но у меня возникла следующая проблема с этим подходом: вроде всё работает, мне удалось успешно организовать проксирование для ikea hub, телевизора и колонки Chromecast, но как только запускается контейнер, начинает страдать сетевая производительность. Вот результат теста iperf3 с клиентской VLAN в внешний мир:

[ 5] 40.00-41.00 сек 3.38 MBytes 28.3 Mbits/сек
[ 5] 41.00-42.00 сек 4.66 MBytes 39.1 Mbits/сек
[ 5] 42.00-43.00 сек 4.28 MBytes 35.9 Mbits/сек
[ 5] 43.00-44.00 сек 3.09 MBytes 26.0 Mbits/сек

## запуск контейнера

[ 5] 44.00-45.00 сек 1.19 MBytes 9.96 Mbits/сек
[ 5] 45.00-46.00 сек 16.0 KBytes 131 Kbits/сек
[ 5] 46.00-47.00 сек 2.02 MBytes 16.9 Mbits/сек
[ 5] 47.00-48.00 сек 688 KBytes 5.64 Mbits/сек
[ 5] 48.00-49.00 сек 256 KBytes 2.10 Mbits/сек
[ 5] 49.00-50.00 сек 48.0 KBytes 393 Kbits/сек
[ 5] 50.00-51.00 сек 16.0 KBytes 131 Kbits/сек
[ 5] 51.00-52.00 сек 32.0 KBytes 262 Kbits/сек
[ 5] 52.00-53.00 сек 0.00 Bytes 0.00 bits/сек
[ 5] 53.00-54.00 сек 32.0 KBytes 262 Kbits/сек
[ 5] 54.00-55.00 сек 16.0 KBytes 131 Kbits/сек
[ 5] 55.00-56.00 сек 32.0 KBytes 262 Kbits/сек
[ 5] 56.00-57.00 сек 16.0 KBytes 131 Kbits/сек
[ 5] 57.00-58.00 сек 48.0 KBytes 393 Kbits/сек

## остановка контейнера

[ 5] 58.00-59.00 сек 1.39 MBytes 11.7 Mbits/сек
[ 5] 59.00-60.00 сек 3.72 MBytes 31.2 Mbits/сек
[ 5] 60.00-61.00 сек 4.00 MBytes 33.6 Mbits/сек

То же самое происходит, если запустить сниффер пакетов на veth1-reflector или на основном мосту. Похоже, проблема в каком-то глобальном promisc-режиме, который включает контейнер? (Я довольно смутно понимаю, как это всё работает в Mikrotik). Переключение при этом работает отлично — клиент → клиент летает.

Моя конфигурация:  
модель: RB5009UPr+S+  
фабричная прошивка: 7.7  
текущая прошивка: 7.9  
апгрейд прошивки: 7.11.2

veth:  
14  RS  name="veth1-reflector" type="veth" mtu=1500 actual-mtu=1500 mac-address=8E:E9:9F:A3:75:28 ifname="veth16" ifindex=16 id=16 last-link-up-time=2023-11-09 17:22:48 link-downs=0

порт моста:  
8     interface=veth1-reflector bridge=bridge_lan priority=0x80 path-cost=10 internal-path-cost=10 edge=yes point-to-point=yes learn=auto horizon=none auto-isolate=no restricted-role=no restricted-tcn=no pvid=999  
frame-types=admit-only-vlan-tagged ingress-filtering=yes unknown-unicast-flood=yes unknown-multicast-flood=yes broadcast-flood=yes tag-stacking=no bpdu-guard=no trusted=no multicast-router=permanent  
fast-leave=no

[admin@MikroTik] > /interface/bridge/vlan/ print
Столбцы: BRIDGE, VLAN-IDS, CURRENT-TAGGED, CURRENT-UNTAGGED  
# BRIDGE      VLAN-IDS  CURRENT-TAGGED   CURRENT-UNTAGGED  
;;; trusted lan  
0 bridge_lan      2000  bridge_lan       ether3  
                   veth1-reflector  ether4  
                                    ether5  
                                    ether6  
                                    ether2  
;;; guest  
1 bridge_lan      2100  bridge_lan                      
                   veth1-reflector                  
                   ether3                          
                   ether4                          
                   ether5                          
;;; iot  
2 bridge_lan      2200  bridge_lan       ether7  
                   veth1-reflector  ether8  
                   ether3                          
                   ether4                          
                   ether5  

[admin@MikroTik] > /container/ print detail
0 ;;; bonjour-reflector  
  name="201b3447-ccb5-490a-a7d8-ab4de86e17d6" tag="ghcr.io/nberlee/bonjour-reflector:main" os="linux" arch="arm64" interface=veth1-reflector root-dir=containers/reflector mounts=reflector-config dns="" workdir="/"  
  logging=yes status=stopped — config.toml: net_interface = "eth0"

[devices]

   [devices."28:39:5E:42:93:C3"]
   description = "Samsung TV"  
   origin_pool = 2200  
   shared_pools = [2000, 2100]

   [devices."88:D0:39:2E:3A:F5"]
   description = "Polk"  
   origin_pool = 2200  
   shared_pools = [2000, 2100]

   [devices."58:D5:0A:B3:AA:51"]
   description = "Ikea hub"  
   origin_pool = 2200  
   shared_pools = [2000, 2100]

[vlan]

   [vlan.2000]
   ip_source = "192.168.200.253"

   [vlan.2100]
   ip_source = "192.168.201.253"

   [vlan.2200]
   ip_source = "192.168.202.253"

Есть идеи? Кстати, у меня всё работает при включенном ingress-filtering=yes на порту моста.
09.11.2023 16:35:00, anro.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423071 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423071 Thu, 09 Nov 2023 16:35:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
Моя ошибка!!! [Devices] нужно определять только ОДИН раз! Теперь всё работает идеально! Большое спасибо за вашу помощь!
08.09.2023 16:03:00, brg3466.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423070 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423070 Fri, 08 Sep 2023 16:03:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
О Боже… Сделал!!! Все работает как часы! Огромное-преогромное спасибо! Отличная работа!
08.09.2023 15:57:00, novy.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423069 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423069 Fri, 08 Sep 2023 15:57:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
На шаге 3 вы как раз редактируете VLAN'ы на мосту, чтобы добавить порт veth на мост (см. скриншот) в соответствующие VLAN'ы. Чтобы иметь возможность редактировать порты, вам нужно, чтобы VLAN ID были прописаны на мосту.
08.09.2023 09:10:00, nicob.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423068 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423068 Fri, 08 Sep 2023 09:10:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
Отлично! Toml иногда бывает запутанным. [devices] нужно определять только один раз. Используйте https://www.toml-lint.com для быстрой проверки. Сообщения об ошибках могут указывать на ошибки в следующей строке… Вот так должно работать: net_interface = "eth0"

[devices]
   [devices."BC:34:00:A0:30:A8"]
   description = "Aries mini"  
   origin_pool = 13  
   shared_pools = [10, 12]

   [devices."BC:34:00:A0:50:03"]
   description = "Altair"  
   origin_pool = 13  
   shared_pools = [10, 12]

   [devices."DC:56:E7:45:BC:CF"]
   description = "Apple Tv Basement"  
   origin_pool = 13  
   shared_pools = [10, 12]

[vlan]
   [vlan.10]
   ip_source = "10.10.10.254"  
   [vlan.12]
   ip_source = "10.12.12.254"  
   [vlan.13]
   ip_source = "10.13.13.254"
08.09.2023 08:11:00, nicob.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423067 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423067 Fri, 08 Sep 2023 08:11:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
Наконец-то заработало, если нужно, чтобы только одно устройство было доступно из другой сети. Например, Apple TV (vlan10) может быть доступен из сети vlan12. Но когда я пытаюсь добавить устройства и добавить сети, это не работает. Единственное изменение, которое я сделал — это файл config.toml. И появляется сообщение об ошибке: "Could not read configuration: duplicate tables". В чем может быть проблема с моим config.toml файлом?

net_interface = "eth0"

[devices]
   [devices."BC:34:00:A0:30:A8"]
   description = "Aries mini"
   origin_pool = 13
   shared_pools = [10, 12]

[devices]
   [devices."BC:34:00:A0:50:03"]
   description = "Altair"
   origin_pool = 13
   shared_pools = [10, 12]

[devices]
   [devices."DC:56:E7:45:BC:CF"]
   description = "Apple Tv Basement"
   origin_pool = 13
   shared_pools = [10, 12]

[vlan]
   [vlan.10]
   ip_source = "10.10.10.254"
   [vlan.12]
   ip_source = "10.12.12.254"
   [vlan.13]
   ip_source = "10.13.13.254"
08.09.2023 05:30:00, brg3466.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423066 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423066 Fri, 08 Sep 2023 05:30:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
Думаю, я всё сделал правильно. Заметьте, что я создал резервную копию своей конфигурации на исходной точке.
07.09.2023 23:44:00, novy.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423065 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423065 Thu, 07 Sep 2023 23:44:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
Спасибо, что приложили усилия и дали мне отличный контекст! Вроде всё выглядит нормально… Если следующее верно:  
[ ] 10.13.0/12/13.254 НЕ используется никаким другим устройством или теми mikrotik. Если вы пингуете IP в той же сети, что и клиент, ответа быть не должно, но arp -a должен показать MAC-адрес veth.
[ ] Перепроверьте MAC-адрес с помощью анализатора пакетов — я вижу, что пакеты входят, но не выходят. Отлично! Это пакеты с адресами назначения 239.255.255.250:1900 или 224.0.0.251:5353? Если да, запустите контейнер с другой командой /bonjour-reflector -verbose, потом остановите и запустите заново, в логах должно хотя бы появиться сообщение о полученном пакете: #################################################################

Спасибо за ваш ответ!  
#1 10.x.x.254 НЕ используется никакими устройствами.  
#2 Что вы имеете в виду под «перепроверьте MAC-адрес veth1-reflector»?  
#3 Да, в поле назначения отображались и 239.255.255.250:1902, и 224.0.0.251:5353.  
#4 Вот несколько логов после запуска /bonjour-reflector -verbose.
07.09.2023 23:26:00, brg3466.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423064 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423064 Thu, 07 Sep 2023 23:26:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
Извини за поздний ответ… Я не заметил это сообщение. Мне удалось воспроизвести эту ситуацию, когда bridge-LAN не существует или, скорее всего, когда vlan-id неизвестен мосту, в данном случае это 1. В руководстве предполагается, что у тебя есть один мост с настроенными VLAN. Так что создай VLAN на мосту, назначив его порту, а затем переходи к шагу 3.
07.09.2023 21:05:00, nicob.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423063 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423063 Thu, 07 Sep 2023 21:05:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
net_interface = “eth0”  
[devices]
[devices.“DC:56:E7:45:BC:CF”]
description = “BSMT ATV”  
origin_pool = 13  
shared_pools = [10, 12]
[vlan]
[vlan.10]
ip_source = “10.10.10.254”  
[vlan.12]
ip_source = “10.12.12.254”  
[vlan.13]
ip_source = “10.13.13.254”  

Спасибо, что уделил время и дал отличный контекст! Всё выглядит нормально… Если выполняется следующее:  
[ ] 10.13.0/12/13.254 не используется никаким другим устройством или themikrotik.
Если пинговать этот IP из той же сети, что и клиент, ответа не должно быть, но команда arp -a должна показать MAC-адрес veth.  
[ ] Проверь MAC-адрес дважды.

С помощью анализатора пакетов я вижу, что пакеты идут внутрь, но не выходят. Это хорошо! Это пакеты с назначением 239.255.255.250:1900 или 224.0.0.251:5353? Если да, то запусти контейнер с другим cmd /bonjour-reflector -verbose, потом останови и запусти снова — тогда в логах должно хотя бы появиться сообщение о получении пакета.  

Не уверен, связано ли это с тем, что рефлектор надо ставить на роутер, а не на ax2? В любом случае, у меня он стоит на роутере (CCR2004), но можно и на другом устройстве.  

Важно учитывать два момента:  
1. Роутер, на котором запущен bonjour-reflector, должен видеть весь мультикаст-трафик, а для апстрим-портов должно быть включено unknown-multicast=yes.  
2. Нельзя запускать несколько bonjour-reflector’ов в одних и тех же VLANах.
07.09.2023 20:54:00, nicob.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423062 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423062 Thu, 07 Sep 2023 20:54:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
@nicob, спасибо за отличную работу! Я попробовал на hAP ax2 (v 7.11.2). Моя цель — сделать так, чтобы Apple TV (vlan10) был доступен из сети vlan12. Топология такая: Router ↔ CRS328 ↔ hAP ax2, ether1 на ax2 настроен как транковый порт. Но после запуска reflector мой телефон (vlan12) всё ещё не видит Apple TV (vlan10) в AirPlay. С помощью packet sniffer я вижу, что пакеты заходят, но не выходят. Не мог бы ты глянуть мою конфигурацию и подсказать, в чём может быть проблема? Спасибо!

Отладочные сообщения в логах:  
10:44:41 container,info,debug importing remote image: ghcr.io/nberlee/bonjour-reflector, tag: main  
10:44:42 container,info,debug getting layer sha256:2933017b37c42456cc855d00ebcf94b175e0de81c01313003007e689708e­dfa4  
10:44:44 container,info,debug layer sha256:2933017b37c42456cc855d00ebcf94b175e0de81c01313003007e689708e­dfa4 downloaded  
10:44:48 container,info,debug import successful, container 3ec97e5e-b2cb-4158-b9bf-2f64d31ad593  
10:44:54 container,info,debug 2023/09/07 17:44:54 maxprocs: Leaving GOMAXPROCS=4: CPU quota undefined  

Конфигурация на arm64-машине:  
/interface veth add address=127.1.0.10/32 gateway=127.1.0.1 gateway6="" name=veth1-reflector  
/interface/bridge/port/add bridge=bridge1 edge=yes frame-types=admit-only-vlan-tagged ingress-filtering=no interface=veth1-reflector learn=yes multicast-router=permanent point-to-point=yes pvid=999  
/interface bridge vlan add bridge=bridge1 tagged=sfp3-crs312,bridge1,eth5-AP-GR_Closet,veth1-reflector vlan-ids=10  
add bridge=bridge1 tagged=sfp3-crs312,bridge1,eth5-AP-GR_Closet,veth1-reflector vlan-ids=12  
add bridge=bridge1 comment="management vlan" tagged=bridge1,sfp3-crs312,eth5-AP-GR_Closet vlan-ids=99  

/container config set registry-url= https://ghcr.io tmpdir=nvme1-part1/pull  
/container mounts add dst=/config name=reflector-config src=/nvme1-part1/bonjour  
/system logging add topics=container  
/container/add remote-image=ghcr.io/nberlee/bonjour-reflector:main int=veth1-reflector root-dir=nvme1-part1/bonjour/reflector mounts=reflector-config envlist=bonjour_envs logging=yes start-on-boot="yes" comment="bonjour-reflector" \  

config.toml – загрузите этот файл в /nvme1-part1/bonjour  

net_interface = "eth0"  
[devices]
[devices."BC:34:00:A0:30:A8"]
description = "Apple tv"  
origin_pool = 10  
shared_pools = [12]

[vlan]
[vlan.10]
ip_source = "10.10.10.254"  
[vlan.12]
ip_source = "10.12.12.254"
07.09.2023 18:39:00, brg3466.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423061 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423061 Thu, 07 Sep 2023 18:39:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
Привет, возникли проблемы с настройкой сети: 3. Добавить veth1-reflector как тегированный порт в те VLAN, которые вы хотите использовать. Что я делаю не так? Работаю на RB5009UG+S+. Спасибо заранее!
01.09.2023 22:21:00, novy.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423060 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423060 Fri, 01 Sep 2023 22:21:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
Пожалуйста! Я много узнал про SSDP, mDNS и уровни пакетов в целом, создавая это. Извиняюсь за эту запутанную ошибку — её можно просто игнорировать. Она не актуальна для роутеров Mikrotik, так как они не подключены к физическому порту. Это нужно только при прямом подключении к физическому сетевому интерфейсу, например, на Linux-хосте. Veth-интерфейс в RouterOS этого не требует… Я сделаю код, который сначала проверит, нужно ли вообще устанавливать эту функцию для NIC. Пожалуйста, проверьте наличие пакетов с помощью Packet Sniffer, подробнее здесь: https://github.com/nberlee/bonjour-reflector/blob/main/docs/RouterOS/README.md#no-mdnsssdp-is-reflected Если вы не видите пакеты с адресами назначения 239.255.255.250:1900 или 224.0.0.251:5353, значит ваш мост не принимает или не пересылает их на veth-порт. Если пакеты есть, запустите контейнер в подробном режиме, добавив /bonjour-reflector -verbose в команду Cmd в настройках контейнера. Это позволит вести лог всех обрабатываемых пакетов.
24.08.2023 16:27:00, nicob.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423059 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423059 Thu, 24 Aug 2023 16:27:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
Сомневаюсь, что это сообщение появилось после самого последнего шага в этой сложной настройке. Моё предположение — что оно возникло примерно на четверть пути, на этом шаге, когда настраивается VETH с отключенной фильтрацией VLAN на мосту. Моя шаткая догадка основана на двух фактах: не все устройства RouterOS поддерживают фильтрацию VLAN на мосту (см. жёлтый предупреждающий блок под ссылкой в предыдущем пункте). Нельзя отключить то, чего вообще нет в системе. Твой диагноз расплывчатый, ты даже не сказал, на каком именно устройстве RouterOS ты это пробовал, так что мне приходится строить предположения наобум. Возможно, мне просто повезло, и я угадал. Если так, то, думаю, стоит убрать из инструкции части про фильтрацию VLAN на мосту и попробовать настроить всё с помощью того метода фильтрации VLAN, который поддерживает твоё устройство. Я уверен, что основные идеи этого туториала лучше всего работают с аппаратной фильтрацией VLAN на мосту, но не думаю, что это абсолютно необходимо. Если и этот вариант не сработает или я ошибся, то чтобы получить более точные догадки, нужно предоставлять детали, на которых можно строить предположения, а не полагаться на мои экстрасенсорные способности и удачу.
24.08.2023 16:01:00, tangent.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423058 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423058 Thu, 24 Aug 2023 16:01:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
Большое спасибо за вашу отличную работу. Мне удалось всё настроить, но, к сожалению, это не работает. В лог-файле появляется следующая ошибка: "level=error msg=Unable to remove the hardware vlan filter (rx-vlan-filter): unsupported feature “rx-vlan-filter”." Честно говоря, я новичок и не эксперт по VLAN, но у вас есть идеи, как можно преодолеть эту проблему?
24.08.2023 14:29:00, mvz71.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423057 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423057 Thu, 24 Aug 2023 14:29:00 +0300 RouterOS Полное решение SSDP + mDNS для сегментации сети RouterOS в форуме RouterOS.
Суть проблемы  
Если вы разбили свою сеть на сегменты, возможно, столкнулись с трудностями при использовании Chromecast, Airplay или подобных IoT-устройств, которые зависят от mDNS / Bonjour / ZeroConf или SSDP. Причина в том, что эти протоколы не маршрутизируются и не фильтруются. Многие с этим сталкиваются, и хотя существует множество решений, ни одно из них не является полностью надежным с точки зрения безопасности. Часто проблемы связаны с двунаправленным отражением трафика, отсутствием опций фильтрации, поддержкой только IPv4 и отсутствием отслеживания сессий.  

Тем не менее, я разработал решение, которое, как мне кажется, сочетает в себе лучшие возможности всех известных подходов. В нем использованы несколько разных стратегий, ориентированных на RouterOS.  

Какова наша цель?  
Предположим, у нас есть сегментированные сети, устроенные следующим образом:  
- Клиентская сеть, включающая ваши ПК, ноутбуки и смартфоны членов семьи.  
- Гостевая сеть, состоящая из смартфонов и других устройств ваших гостей.  
- IoT-сеть с Chromecast, Airplay и прочими IoT-устройствами.  

Задача — пользоваться IoT-устройствами из клиентской сети, но при этом лишь ограниченное число устройств из IoT-сети должно быть доступно в гостевой. Также нежелательно транслировать mDNS/SSDP из IoT-сети в клиентскую или гостевую. Дополнительно нужно запретить гостям пользоваться mDNS/SSDP для доступа в клиентскую сеть (и наоборот).  

Предложенное решение  
Bonjour-reflector, который я разработал, — это улучшенная версия другого проекта с добавленной поддержкой таких протоколов, как SSDP.  

Основные возможности:  
- Точный контроль за рекламируемыми IoT-устройствами на основе MAC-адресов. Доступ можно задавать для каждого устройства отдельно.  
- Анализ протоколов для более правильной обработки SSDP и mDNS. Устройство умеет различать запросы и объявления.  
- Отслеживание сессий: мониторит, какие порты заняты для каждой сессии, и разрешает трафик только в нужном направлении.  
- Поддержка IPv6, что позволяет использовать устройство как с IPv6, так и с IPv4.  
- Один компактный бинарный файл размером примерно 8 МБ.  
- Совместим с большинством Arm(64) + CHR Mikrotik.  

Подробное руководство доступно в markdown на Github. Вот ссылка на инструкцию: https://github.com/nberlee/bonjour-reflector/blob/main/docs/RouterOS/README.md  

Если есть вопросы — обращайтесь, всегда рад помочь!
04.07.2023 11:06:00, nicob.]]> http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423056 http://mikrotik.moscow/forum/forum57/88061-polnoe-reshenie-ssdp-_-mdns-dlya-segmentatsii-seti/message423056 Tue, 04 Jul 2023 11:06:00 +0300 RouterOS