Подать Интернет в VLAN

Выкладываем здесь готовые конфигурации под определенные типовые задачи
Akina
Сообщения: 31
Зарегистрирован: 13 июл 2018, 07:46
Откуда: Зеленоград, Москва, Россия
Контактная информация:

17 июл 2018, 12:31

Имеется коммутатор серии CCR1009, выполняющий роль Интернет-шлюза промплощадки. Привезли из головной организации коммутатор, воткнули вместо программного шлюза, быстро настроили, используя QuickSet (WAN=Eth1, динамика, LAN - дефолтный 192.168.88.1, NAT, DHCP), и оставили. Eth1 подключен к линии в головную организацию и получает доступ через тамошний шлюз, все остальные порты раздают Инет клиентам. Всё отлично...

Но вот теперь потребовалось подключить ещё один удалённый сегмент. Свободный порт Eth4 есть, но на коммутаторе D-Link, который надо к этому порту подключить, порт конфигурирован как tagged VLAN VID=1025 (изменить это, к сожалению, невозможно). И у меня, увы, не получается "пропихнуть" Интернет в него. Создаю VLAN с указанным VID, подключаю его к Eth4... и чувствую, что этого маловато, а вот чего нехватает, чтобы клиенты на том конце, подключенные к untagged-1025 портам D-Link, получали адреса с DHCP Микротика и доступ к Интернету - не понимаю.

Прошу подсказать, чего именно нехватает. И, если несложно, где именно, что и как настроить и/или перенастроить (использую WinBox, но, если необходимо, и до консоли достучусь). Опыт настройки оборудования Микротик - нулевой, буду благодарен, если Вы это учтёте при ответах. А если Вы ещё и поясните, почему именно так - моя благодарность не будет иметь границ.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

17 июл 2018, 13:14

Если очень кратко и отвечу в рамках как я Вас понял:

1) ССR 1009 - это роутер всё же!
2) на порту4 создаёте вилан-интерфейс с нужным id (галочку внутри вилана ставить не нужно)
3) если у Вас есть DHCP и если у Вас другие порты заняты другими локальными клиентами,
то скорее всего у Вас на CCR есть бридж, на котором и стоит адрес 88.1 и на котором
и работает сам DHCP.
Вам надо созданный вилан(на 4м порту) добавить в этот бридж (логически связать),
тогда (если очень упрощённо) трафик тегированный будет попадать в бридж и там
этот трафик будет уже как обычный, и соответственно логика будет работать.
Обратный трафик выходя с вилана, будет тегироваться и уходить в 4й порт.
Маленькое предупреждение: лучше порт4 который будет здесь для связи, удалить(вывести)
из бриджа.

Надеюсь смог и помочь и сработает всё.
QuickSetup для CCR1009 - это очень "грубо" для CCR-линейки в целом :-)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Akina
Сообщения: 31
Зарегистрирован: 13 июл 2018, 07:46
Откуда: Зеленоград, Москва, Россия
Контактная информация:

17 июл 2018, 13:47

Vlad-2 писал(а):
17 июл 2018, 13:14
Надеюсь смог и помочь и сработает всё.
Да, большое спасибо за оперативный и полезный ответ.

Само собой, создав тему, я не бросил поиски и чтения. Пользуясь несколькими материалами, в основе сделал... осталось мелкое и противное "но".
Как выяснилось, там не один тегованный вилан на порту, а три штуки. Где-то дальше они растрояются, и каждый идёт в свою точку. Формально это не должно создать проблем. Вот, как пример того, чего я начитался - ссылка. Ну так вроде всё понятно и где-то даже просто, за исключением одной простой вещи.

В статье по ссылке для каждого VLAN используется своя подсеть, причём автор скромно умалчивает, этот статический диапазон, или он обслуживается DHCP-сервером Микротика. Это первая неясность, в общем очень значимая - статика не устраивает категорически.

И вторая неясность - а возможно ли иметь одну и ту же подсеть для нескольких VLAN?

В конечном итоге хотелось бы получить следующее - клиенты из всех трёх виланов получают адреса с DHCP-сервера Микротика, причём из одной и той же подсети, и ходят в Интернет. Такое - возможно?

Если нет - ну в крайнем случае будет на каждом вилане своя подсеть. Переживу.
 offtop
Vlad-2 писал(а):
17 июл 2018, 13:14
QuickSetup для CCR1009 - это очень "грубо" для CCR-линейки в целом :-)
Увы, мне его дали в такой форме. Типа, владей... вот и осваиваю второй день.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

17 июл 2018, 14:39

Вы не совсем честны :-)
1) задачу одну поставили, достаточно аморфную, с жёстким условием что свитч длинк нельзя
перенастроить, то есть "слон" (это CCR) должен пойти на компромисс и подстроиться слегка
под "собачку" (это D-Link), ну тем и прекрасен микротик - что он (ну и мы админы) это можем :-) :-) :a_g_a:

(теперь серьёзно)
2) На счёт виланов и DHCP
а) Вспомните пожалуйста, теорию сетей, и что такое разделение сетей на виланы (L-2 уровень) и
что такое IP-сети и адресация (L3-уровень) ?
б) надеюсь что Вы прочитали слегка про то что я упомянул в а) пункте
и скажите, если я сделаю сопоставление на примере скажем 3х проводов
с разными напряжениями, скажем 24в, 36в и 220в = в итоге, что будет если
все три провода соединить? Правильно - будет Очень плохо.
Так и тут = виланы это почти физика, мы разделяем сеть на сегменты, а Вы хотите чтобы они получали
одну адресацию, в целом это не противоречит, но на бридже они при получении адресации
на бридже эти сети объединяться, и смысл их разъединения на виланы вообще теряется.

Итог:
1) Поэтому уточните что Вы хотите в целом получить (лучше себе сделать схему)
2) Проверьте, нужны ли Вам виланы, нужно ли разделение сегментов на виланы
3) Если нужны, тогда делайте разные уже IP-сети (в микротике может быть сразу
куча сетей и сразу много-много DHCP серверов и всё это будет уживаться и работать),
плюс микротик эти сети на уровне маршрутизации будет объединять, то есть
виланы раздельно работают, а сети будут доступны (но правилами это также можно будет менять).
4) Найдите или купите свитч хороший и на него заведите клиентов, CCR - это роутер,
и заниматься коммутацией - не совсем его профиль. Так что как свитч не используйте его.
Да и мало ли, статика будет в сети, если сгорит порт в CCR - это будет очень печально.

P.S.
Всё написанное - моя точки зрения лишь.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Akina
Сообщения: 31
Зарегистрирован: 13 июл 2018, 07:46
Откуда: Зеленоград, Москва, Россия
Контактная информация:

18 июл 2018, 11:32

1) "Не виноватая я!" :-) Кабы это я ставил задачи... для этого у нас "имеются" другие товарищи, к тому же умеющие хотеть одно, думать другое, а сказать третье...

2) Насчёт физики и виланов - признаться, вообще не понял Ваших рассуждений. При чём тут физика, если при спуске по модели на пришедший с DHCP пакет просто будут довешены соответствующие заголовки? И это совершенно не противоречит возможности существования одной и той же подсети в нескольких разных виланах.
Впрочем, эти рассуждения (и Ваши, и мои над Вашими) мне помогли понять, почему нельзя. DHCP-скоп (и обслуживающий его DHCP-сервер) - это свойство вилана, а не бриджа, соответственно обслуживающий этот скоп DHCP-сервер подключается к конкретному вилану. Вот если бы он мог подключаться и к бриджу... но это невозможно, потому что для работы в таких условиях он должен не подключаться, а встраиваться внутрь. Да и не его это дело - сортировать соединения и их привязки к интерфейсам. (ps. думаю, что сказанное мной - будет так же непонятно Вам...)

По итогу:

1) Уже окончательно понятно. WAN-порт получает Инет, и отдаёт его в LAN-порт в 3 разных вилана, в каждом из которых свой DHCP-сервер со своим скопом.
2) Меня поставили перед фактом - виланы должны бытью Проверять нечего. Почему это надо - понятия не имею... может, там кому-то лень настроить изоляцию портов, или ещё что... да какая собсно разница?
3) Уже делаю. Скопы будут из непересекающихся (точнее, ненакладывающихся) подсетей.
4) Это из рогатки по танкам стрелять не имеет смысла. А из пушки по воробьям - это я уж как-нибудь переживу. И, кстати, на этой задаче он используется именно как роутер.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

18 июл 2018, 13:08

Akina писал(а):
18 июл 2018, 11:32
1) "Не виноватая я!" :-) Кабы это я ставил задачи... для этого у нас "имеются" другие товарищи, к тому же умеющие хотеть одно, думать другое, а сказать третье...
Без комментариев.
Akina писал(а):
18 июл 2018, 11:32
2) Насчёт физики и виланов - признаться, вообще не понял Ваших рассуждений. При чём тут физика, если при спуске по модели на пришедший с DHCP пакет просто будут довешены соответствующие заголовки? И это совершенно не противоречит возможности существования одной и той же подсети в нескольких разных виланах.
А где я написал что нельзя иметь одну и ту же подсеть в двух и более виланах? А не поняли Вы меня, потому что Вы в рамках
работы с микротиком не знаете нюансы. Поэтому я и пытался объяснить.
Akina писал(а):
18 июл 2018, 11:32
Впрочем, эти рассуждения (и Ваши, и мои над Вашими) мне помогли понять, почему нельзя. DHCP-скоп (и обслуживающий его DHCP-сервер) - это свойство вилана, а не бриджа, соответственно обслуживающий этот скоп DHCP-сервер подключается к конкретному вилану. Вот если бы он мог подключаться и к бриджу... но это невозможно, потому что для работы в таких условиях он должен не подключаться, а встраиваться внутрь. Да и не его это дело - сортировать соединения и их привязки к интерфейсам. (ps. думаю, что сказанное мной - будет так же непонятно Вам...)
Да, Ваши рассуждения мне очень не понятны. Давайте не будем подменять значения на какие-то свои.
Есть вилан технология, это маркировка (установка) тега, а DHCP сервер это приложение, и это разные вещи, а Вас почитать,
(как выше Вы написали) "это свойство вилана".

Итак, вилан это виртуальная иная физика, (для Вас буду приводить примеры с одинаковыми адресацией).
Итак, берём вилан 100, и там будет сетка 192.168.150.0/24, и берём вилан 200 и там тоже будет сетка 192.168.150.0/24,
итак у нас два вилана, виланы позволяют разделять разные сегменты, то есть не допускают их смешивать. Если их смешивать, сущность виланов теряется.
Так как бридж - это логический интерфейс, куда при помещении разных интерфейсов, трафики объединяются, то соответственно,
чтобы не "замкнуть" разные виланы на бридже, их нельзя стыковать. Поэтому я Вам и посоветовал, продумать логику,
и решить, что Вам важнее, иметь два вилана и разные по факту сети, или иметь одну сеть с одной адресаций, но без виланов.

Поэтому чтобы сделать, то что Вы хотите тут надо одно выбирать:
1) с ВИЛАНАМИ:
а) делать два DHCP сервера, то есть один DHCP будет работать в 150й сети и раздавать её в сторону вилана 100
б) второй DHCP также будет работать в 150й сети и раздавать(обслуживать) будет её в вилане 200

2) без ВИЛАНОВ:
а) создаётся бридж, туда засовываете все свои физические сети (порты на роутере)
б) поднимаете DHCP чтобы он работал на бридже-интерфейсе.

Вот и всё...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Akina
Сообщения: 31
Зарегистрирован: 13 июл 2018, 07:46
Откуда: Зеленоград, Москва, Россия
Контактная информация:

18 июл 2018, 13:31

Vlad-2 писал(а):
18 июл 2018, 13:08
Да, Ваши рассуждения мне очень не понятны. Давайте не будем подменять значения на какие-то свои.
Вот так чувствует себя собака, когда всё понимает, а сказать не может.
Vlad-2 писал(а):
18 июл 2018, 13:08
чтобы сделать, то что Вы хотите тут надо одно выбирать:
Ещё бы мне оставили выбор... есссно с виланами и своим скопом в каждом вилане.

Спасибо за консультацию, и особенно попытки объяснить.
Ну а что до незнания нюансов - так кто с ними родился? освою.


Akina
Сообщения: 31
Зарегистрирован: 13 июл 2018, 07:46
Откуда: Зеленоград, Москва, Россия
Контактная информация:

19 июл 2018, 16:58

В общем, таки запутался. Прошу тогда проконсультировать по шагам. Присоединяю две картинки.

Первая - схема внешняя - это то, что требуется получить в итоге (само собой, максимально упрощено).

Вторая - схема внутренняя - это моё текущее понимание того, что должно происходить внутри маршрутизатора.
Инет извне поступает на интерфейс Combo1. Который внутри логически связан с мостом Bridge1.
Локальный трафик в тегованной форме поступает на Eth4, где разделяется на VLAN100 и VLAN200.
К каждому VLAN привязан, обслуживает его, свой DHCP-сервер, со своим диапазоном адресов.
Каждый VLAN через NAT также связан с мостом Bridge1.

Это видение - правильное? или я где-то ошибаюсь?
Вложения
2.png
Схема внутренняя
(7.01 КБ) 0 скачиваний
1.png
Схема внешняя
(60.27 КБ) 0 скачиваний


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

19 июл 2018, 17:38

Akina писал(а):
19 июл 2018, 16:58
Это видение - правильное? или я где-то ошибаюсь?
По моему мнение - Да, ошибаетесь!
Akina писал(а):
19 июл 2018, 16:58
Инет извне поступает на интерфейс Combo1. Который внутри логически связан с мостом Bridge1.
Зачем? Зачем Вы внешний интерфейс (для Вас порт на котором работает Интернет по сути является внешним),
зачем Вы его бриджуете? Всё равно что соединять разные сущности.
(при настоящем подключении, провайдер уже Вам отключил порт, ибо все Ваши локальные
МАК-адреса сети пришли ему на порт, это всё равно что всю локальную сеть наружу подключить).

Для Вас внешний порт это внешний порт, все запросы локальных адресов, при выходе
с этого порта дальше, в Интернет, только тут и надо делать НАТ! (на этом адресе и интерфейсе).
НАТ подменяет адресацию, и это делается на момент выхода пакета!
(выходим из квартиры,одеваемся, в рамках квартиры (сети) ходим в домашнем).
Akina писал(а):
19 июл 2018, 16:58
Локальный трафик в тегованной форме поступает на Eth4, где разделяется на VLAN100 и VLAN200.
К каждому VLAN привязан, обслуживает его, свой DHCP-сервер, со своим диапазоном адресов.
Каждый VLAN через NAT также связан с мостом Bridge1.
Уберите НАТ у виланов, в рамках вилана Вы должны быть прозрачны и видны,
поэтому тут он (согласно схеме) ну не как не нужен.

Формально, Вам и бридж не нужен, виланы приходят на один общий порт, виланы это самостоятельные
интерфейсы, значит Вы в правиле НАТ и описываете, что такую то сеть НАТить её,
и также с другой сетью. НАТ делается для адресации, вилан(ы) тут никак не участвуют.

А чтобы ещё точнее дать Вам ответ, хотелось видеть адресацию всю (IP-адресацию)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Akina
Сообщения: 31
Зарегистрирован: 13 июл 2018, 07:46
Откуда: Зеленоград, Москва, Россия
Контактная информация:

20 июл 2018, 11:26

Vlad-2 писал(а):
19 июл 2018, 17:38
Для Вас внешний порт это внешний порт, все запросы локальных адресов, при выходе
с этого порта дальше, в Интернет, только тут и надо делать НАТ! (на этом адресе и интерфейсе).
НАТ подменяет адресацию, и это делается на момент выхода пакета!
Угу, туплю, однако...
Vlad-2 писал(а):
19 июл 2018, 17:38
Формально, Вам и бридж не нужен, виланы приходят на один общий порт, виланы это самостоятельные
интерфейсы, значит Вы в правиле НАТ и описываете, что такую то сеть НАТить её,
и также с другой сетью. НАТ делается для адресации, вилан(ы) тут никак не участвуют.

А чтобы ещё точнее дать Вам ответ, хотелось видеть адресацию всю (IP-адресацию)
Ок, присоединяю исправленную схему с адресацией.
Все конечные рабочие станции (PC) получают адреса динамически.
Сплошной линией помечены тегованные VLAN, пунктирной нетегованные. Разные VLAN помечены разным цветом.

В общем, понял, что визуально ничего не понимаю, и перешёл на консоль. Делаю следующее.

1) Выполняю ресет конфигурации. После этого конфигурация минимальная (дефолтный адрес, и практически больше ничего):
 config1

Код: Выделить всё

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip address
add address=192.168.88.1/24 comment=defconf interface=combo1 network=192.168.88.0
/system routerboard settings
set silent-boot=no

2) Используя Quick Set, настраиваю маршрутизатор как Интернет-роутер, WAN-порт Eth1, получает адрес автоматически, автоматом ставится LAN 192.168.88.1/24, включаю DHCP, пул ставится 192.168.88.3-192.168.88.254, включаю NAT. Получается следующая конфигурация:
 config2

Код: Выделить всё

/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.3-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=ether2 name=dhcp1
/interface list member
add interface=ether1 list=WAN
add list=LAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1 netmask=24
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/system routerboard settings
set silent-boot=no

3) Добавляю 2 VLAN-интерфейса на порт Eth4, получаю:
 config3

Код: Выделить всё

/interface vlan
add interface=ether4 name=vlan100 use-service-tag=yes vlan-id=100
add interface=ether4 name=vlan200 use-service-tag=yes vlan-id=200
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.3-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=ether2 name=dhcp1
/interface list member
add interface=ether1 list=WAN
add list=LAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1 netmask=24
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/system routerboard settings
set silent-boot=no

И теперь, мысля по аналогии с тем, что уже имеется, предполагаю, что для реализации моей задачи мне необходимо выполнить следующие дополнительные настройки:

Код: Выделить всё

/ip pool
# Add DHCP pool for VLAN100, net 172.31.255.248/29
add name=dhcp_pool_VLAN100 ranges=172.31.255.251-172.31.255.254
# Add DHCP pool for VLAN200, net 172.31.255.240/29
add name=dhcp_pool_VLAN200 ranges=172.31.255.243-172.31.255.246

/ip dhcp-server
# Attach address pools to VLAN interfaces
add address-pool=dhcp_pool_VLAN100 disabled=no interface=vlan100 name=dhcp_VLAN100
add address-pool=dhcp_pool_VLAN200 disabled=no interface=vlan200 name=dhcp_VLAN200

/ip address
# Add addresses to interfaces
add address=172.31.255.249/29 comment=defconf interface=vlan100 network=172.31.255.248
add address=172.31.255.241/29 comment=defconf interface=vlan200 network=172.31.255.240

/ip dhcp-server network
# Add DHCP server networks properties
add address=172.31.255.248/29 gateway=172.31.255.249 netmask=29
add address=172.31.255.240/29 gateway=172.31.255.241 netmask=29
Верен ли ход мысли?
Вложения
1.png
Схема с адресацией
(64.46 КБ) 0 скачиваний


Ответить