Настройка 2 LAN на CRS125-24G-1S-2HnD-IN (бывш. Перенос портов в другой бридж)

[Cryogenic]

Александр, спасибо за пояснения.
Использовал ваш вариант настройки файрволла - мне тоже нравится подобная системность.

Почитал wiki, можно несколько теоретических вопросов, чтобы понимать, как и почему оно работает?

Итого: настроено 2 VLANа, в них используются сети: 192.168.5.0/24 и 192.168.50.0/24. Также на роутере настроены два адреса 192.168.5.1 и 192.168.50.1, которые выдаются DHCP-сервером как gateways для этих подсетей.

Правильно я понимаю, что пакеты внутри каждого из VLAN ходят на уровне свича (на чипе коммутации) не доходя до роутера?
До настройки файрволла, так же ходили пакеты и между этими сетями. Правильно я понимаю, что они ходили через роутер, на основе правил роутинга, которые были сгенерены автоматически, при настройке мною адресов гейтвеев (так написано в wiki в разделе Routing)?
Затем, по Вашей наводке, настроили блокировку трафика на файрволле и пакеты между сетями стали блокироваться.

Так же, настроил NAT на WAN, как Вы рекомендовали, но доступа из LAN в WAN нет, хотя с самого роутера WAN пингуется.
Правильно я понимаю, что надо еще настроить маршруты из LAN5 в WAN, одних лишь правил в NATе недостаточно?

Т.е. получается, при получении пакета, сначала коммутатор пытается его передать сам, если получатель в одном VLAN, если нет, то передается роутеру на switch1-port, там маршрутизится, согласно настройкам Route, а затем еще отфильтровывается настройками Firewall? Или же сначала Firewall, потом Route?

Извиняюсь, за кучу нубских вопросов, но хочется не только настроить с вашей помощью, но и понять, почему и как оно в итоге работает.

[algerka]

можно несколько теоретических вопросов, чтобы понимать, как и почему оно работает?

Слишком много вопросов. Вы все в одну кучу свалили.
Какое понятие вы вкладываете в LAN ?
Вы сами просили разрешить доступ с VLAN50 в интернет. Доступ сделан. У вас или шлюз по умолчанию не прописан или еще какие-то запрещающие правила есть.
Давайте говорить предметно - покажите полный конфиг !

[Cryogenic]

можно несколько теоретических вопросов, чтобы понимать, как и почему оно работает?

Слишком много вопросов. Вы все в одну кучу свалили.
Какое понятие вы вкладываете в LAN ?
Вы сами просили разрешить доступ с VLAN50 в интернет. Доступ сделан. У вас или шлюз по умолчанию не прописан или еще какие-то запрещающие правила есть.
Давайте говорить предметно - покажите полный конфиг !

Добрый день.
Выкладываю конфиг. В качестве WAN-а пока, в целях тестирования, используется другая локальная сеть (192.168.2.0/24), после настройки заменю на реальный адрес провайдера.
В текст вставлены комментарии для себя. При загрузке в Микротик их, разумеется, удаляю.
В интернет должна иметь доступ сеть VLAN5.
Так же, во VLAN5 должен быть виден один сервер из VLAN50 - хочу сделать через NAT, как на картинке на первой странице данной дискуссии, но пока не настроил.

Код: Выделить всё

###############################################
## VLANs:
##   5 - usual local net
##  50 - smarthome controllers network



#Rename WAN-port
/interface ethernet set [ find default-name=ether1 ] name=ether1-wan comment="Internet provider"

# Create bridge
/interface bridge add name=bridge1 igmp-snooping=no protocol-mode=none

# Add all ports, except ether1-wan to the bridge
/interface bridge port
add bridge=bridge1 interface=ether2 hw=yes
add bridge=bridge1 interface=ether3 hw=yes
add bridge=bridge1 interface=ether4 hw=yes
add bridge=bridge1 interface=ether5 hw=yes
add bridge=bridge1 interface=ether6 hw=yes
add bridge=bridge1 interface=ether7 hw=yes
add bridge=bridge1 interface=ether8 hw=yes
add bridge=bridge1 interface=ether9 hw=yes
add bridge=bridge1 interface=ether10 hw=yes
add bridge=bridge1 interface=ether11 hw=yes
add bridge=bridge1 interface=ether12 hw=yes
add bridge=bridge1 interface=ether13 hw=yes
add bridge=bridge1 interface=ether14 hw=yes
add bridge=bridge1 interface=ether15 hw=yes
add bridge=bridge1 interface=ether16 hw=yes
add bridge=bridge1 interface=ether17 hw=yes
add bridge=bridge1 interface=ether18 hw=yes
add bridge=bridge1 interface=ether19 hw=yes
add bridge=bridge1 interface=ether20 hw=yes
add bridge=bridge1 interface=ether21 hw=yes
add bridge=bridge1 interface=ether22 hw=yes
add bridge=bridge1 interface=ether23 hw=yes
add bridge=bridge1 interface=ether24 hw=yes
add bridge=bridge1 interface=wlan1 hw=yes

/interface ethernet switch egress-vlan-tag
add tagged-ports=switch1-cpu vlan-id=5
add tagged-ports=switch1-cpu vlan-id=50

/interface ethernet switch ingress-vlan-translation
add ports=ether2 customer-vid=0 new-customer-vid=5 sa-learning=yes
add ports=ether3 customer-vid=0 new-customer-vid=5 sa-learning=yes
add ports=ether4 customer-vid=0 new-customer-vid=5 sa-learning=yes
add ports=ether5 customer-vid=0 new-customer-vid=5 sa-learning=yes
add ports=ether6 customer-vid=0 new-customer-vid=5 sa-learning=yes
add ports=ether7 customer-vid=0 new-customer-vid=5 sa-learning=yes
add ports=ether8 customer-vid=0 new-customer-vid=5 sa-learning=yes
add ports=ether9 customer-vid=0 new-customer-vid=5 sa-learning=yes
add ports=ether10 customer-vid=0 new-customer-vid=5 sa-learning=yes
add ports=ether11 customer-vid=0 new-customer-vid=5 sa-learning=yes
add ports=ether12 customer-vid=0 new-customer-vid=5 sa-learning=yes
add ports=ether13 customer-vid=0 new-customer-vid=5 sa-learning=yes
add ports=ether14 customer-vid=0 new-customer-vid=5 sa-learning=yes
add ports=ether15 customer-vid=0 new-customer-vid=5 sa-learning=yes
add ports=ether16 customer-vid=0 new-customer-vid=5 sa-learning=yes
add ports=ether17 customer-vid=0 new-customer-vid=50 sa-learning=yes
add ports=ether18 customer-vid=0 new-customer-vid=50 sa-learning=yes
add ports=ether19 customer-vid=0 new-customer-vid=50 sa-learning=yes
add ports=ether20 customer-vid=0 new-customer-vid=50 sa-learning=yes
add ports=ether21 customer-vid=0 new-customer-vid=50 sa-learning=yes
add ports=ether22 customer-vid=0 new-customer-vid=50 sa-learning=yes
add ports=ether23 customer-vid=0 new-customer-vid=50 sa-learning=yes

/interface vlan
add name=vlan5 interface=bridge1 vlan-id=5
add name=vlan50 interface=bridge1 vlan-id=50

/ip address add address=192.168.5.1/24 interface=vlan5 network=192.168.5.0
/ip address add address=192.168.50.1/24 interface=vlan50 network=192.168.50.0

#VLAN filtering
/interface ethernet switch vlan
add ports=switch1-cpu,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12,ether13,ether14,ether15,ether16 vlan-id=5 learn=yes
add ports=switch1-cpu,ether17,ether18,ether19,ether20,ether21,ether22,ether23 vlan-id=50 learn=yes

# Create DHCP servers
/ip pool add name=pool5 ranges=192.168.5.50-192.168.5.250
/ip pool add name=pool50 ranges=192.168.50.50-192.168.50.250

/ip dhcp-server add address-pool=pool5 disabled=no interface=vlan5 name=dhcp5
/ip dhcp-server add address-pool=pool50 disabled=no interface=vlan50 name=dhcp50

/ip dhcp-server network add address=192.168.5.0/24 dns-server=192.168.5.1,8.8.8.8 gateway=192.168.5.1 netmask=255.255.255.0
/ip dhcp-server network add address=192.168.50.0/24 dns-server=192.168.50.1 gateway=192.168.50.1 netmask=255.255.255.0

# Configure DNS
/ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

# Create static DNS records
/ip dns static add address=192.168.5.1 name=router5
/ip dns static add address=192.168.50.1 name=router50


#Disable invalid VLAN forwarding on each port
/interface ethernet switch
set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12,ether13,ether14,ether15,ether16,ether17,ether18,ether19,ether20,ether21,ether22,ether23

#Disable routing between VLANs
/ip firewall nat add action=masquerade chain=srncat out-interface=ether1-wan
/ip firewall filter add action=accept chain=forward comment="Allow established & related" connection-state=established,related
/ip firewall filter add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid
/ip firewall filter add in-interface=vlan5 out-interface=ether1-wan action=accept chain=forward
/ip firewall filter add action=drop chain=forward comment="All other drop"

# Configure internet connection
/ip address add address=192.168.2.14 interface=ether1-wan
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-wan in-interface=vlan5


# Configure wireless
/interface wireless security-profile add mode=dynamic-keys authentication-types=wpa2-psk wpa2-pre-shared-key="хххх" name=wpa2-main

/interface wireless set numbers=0 mode=ap-bridge comment="Main WLAN" disabled=no band=2ghz-g/n ssid=MyNet security-profile=wpa2-main vlan-mode=use-tag vlan-id=5

#Set system clock
/system clock set time-zone-autodetect=no
/system clock set time-zone-name=Europe/Moscow

[algerka]

Выкладываю конфиг.

Код: Выделить всё

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-wan in-interface=vlan5

Это лишнее

Код: Выделить всё

/ip address add address=192.168.2.14 interface=ether1-wan

это не правильно

И где у вас шлюз по умолчанию ?

Похоже вы сами не хотите разбираться, а ждете что все за вас сделают :(

[Cryogenic]

Выкладываю конфиг.

Код: Выделить всё

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-wan in-interface=vlan5

Это лишнее

Имеете в виду вся строка лишняя или in-interface=vlan5?

Код: Выделить всё

/ip address add address=192.168.2.14 interface=ether1-wan

это не правильно

Почему?
Если провайдер выдает статический IP-адрес для внешнего интерфейса, как его еще "закрепить" за WAN-портом, чтобы он не отбрасывал пакеты?

И где у вас шлюз по умолчанию ?

Вот здесь, честно говоря, не понимаю.
Я знаю, что шлюз по умолчанию задается в настройках DHCP-сервера, чтобы клиенты знали куда слать пакеты для чужой сети. Что вы имеете в виду здесь? Или речь о настройке route для всех сетей кроме 192.168.5.0/24 и 192.168.50.0/24 в сторону WAN?

Похоже вы сами не хотите разбираться, а ждете что все за вас сделают :(

Честно говоря, странный вывод. Я не прошу у вас написать мне конфиг, а задаю довольно концептуальные вопросы, чтобы понять как роутер обрабатывает тот или иной трафик и в каких местах (какими командами) это настраивается, чтобы делать настройки самостоятельно.