Native vlan + tagged vlan + DHCP

[makkaley]

Приветствую, коллеги!

Прошу помощи в реализации следующей схемы:
имеется RB2011 с последней прошивкой и точка доступа Ubiquti UAP.
Необходимо с одного порта маршрутизатора отдать два tagged и один native vlan.
Причем, в каждом Vlan должен быть свой DHCP.
Не могу разобраться, как добавить native vlan на порт, где уже сидят tagged vlan.
Спасибо!

[Vlad-2]

Необходимо с одного порта маршрутизатора отдать два tagged и один native vlan.

Нативный = это вилан1 или другой вилан, но на выходе данный вилан должен
быть без тега?

Причем, в каждом Vlan должен быть свой DHCP.

В микротике вилан = это обычный интерфейс - берите, и на этом
интерфейсе создавайте (поднимайте) и настраивайте DHCP,
не забывь задать IP-адрес для работы DHCP на вилане-интерфейсе.

Не могу разобраться, как добавить native vlan на порт, где уже сидят tagged vlan.

А Вы не обращайте что там виланы и вот и всё, а чтобы на порту трафик был,
обычный - нужно через бридж такой трафик "очистить".

P.S.
Связка Микротика и Юбикью - очень гибкая и удобная, и часто
тут встречающая. Для начала настройки виланы,
DHCP и проверьте что они работают, а уже потом
Юбикью и так далее...

[makkaley]

Спасибо за Ваш ответ!
До этого момента имел дело с оборудованием Alied Telesis, решил взять на пробу оборудование другого вендора. Немного отличается подход к конфигурации.

Что делал:

1. Создал bridge для 1-ого vlan-а.
/interface bridge
add name=Bridge_iko

2.В секции interface vlan создал vlan для trunk и повесил его на 10 порт.
/interface vlan
add interface=eth10-wifi-trunk name=vlan_30_iko vlan-id=30

3. В bridge добавил необходимые порты, а также созданный vlan для trunk
/interface bridge port
add bridge=Bridge_iko interface=eth5-iko-clients pvid=30
add bridge=Bridge_iko interface=eth4-iko-srv pvid=30
add bridge=Bridge_iko interface=vlan_30_iko pvid=30

4. Создал pool адресов, dhcp сервер и присвоил адрес интерфейсу bridge.
/ip pool
add name=Iko_pool ranges=192.168.0.10-192.168.0.100

/ip dhcp-server
add address-pool=Iko_pool disabled=no interface=Bridge_iko name=Iko_dhcp

/ip address
add address=192.168.0.1 interface=Bridge_iko network=255.255.255.0

/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24

Подскажите, пожалуйста, есть ли на этом этапе ошибки?
Спасибо!

[algerka]

Прошу помощи в реализации следующей схемы:
имеется RB2011 с последней прошивкой и точка доступа Ubiquti UAP.
Необходимо с одного порта маршрутизатора отдать два tagged и один native vlan.
Причем, в каждом Vlan должен быть свой DHCP.

У вас RB2011 с двумя свич чипами.
Для хорошей производительности, я бы использовал первых 5 портов и чип коммутации.
Предположим, что ether1 будет "транковым" портом например подключен в коммутатор и принимать все виланы тегированными.
На ether4 & ether5 vlan30 будет в аксессе (не тегированным), 40 тегированым.
Тогда конфигурация могла быть такой:

Код: Выделить всё

/interface bridge add name=bridge1

/interface vlan 
add interface=bridge1 name=VLAN30 vlan-id=30
add interface=bridge1 name=VLAN40 vlan-id=40

/interface bridge port
add bridge=bridge1 interface=ether1  hw=yes
add bridge=bridge1 interface=ether4  hw=yes
add bridge=bridge1 interface=ether5  hw=yes

/interface ethernet switch port
set ether1 vlan-mode=secure
set ether4 default-vlan-id=30 vlan-mode=secure
set ether5 default-vlan-id=30 vlan-mode=secure
set switch1-cpu vlan-header=leave-as-is vlan-mode=secure

/interface ethernet switch vlan 
add independent-learning=yes ports=ether1,ether4,ether5,switch1-cpu switch=switch1 vlan-id=30
add independent-learning=yes ports=ether1,ether4,ether5,switch1-cpu switch=switch1 vlan-id=40

Ну и уже ваш код под dhcp на vlan30:

Код: Выделить всё

/ip pool add name=Iko_pool ranges=192.168.0.10-192.168.0.100
/ip dhcp-server add address-pool=Iko_pool disabled=no interface=VLAN30 name=Iko_dhcp
/ip address add address=192.168.0.1 interface=VLAN30 network=255.255.255.0
/ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24

Для vlan40 dhcp настраивается аналогично.

PS: а почему вы не используете официальное wiki, там этот вопрос досконально расписан?

[makkaley]

Спасибо за подсказку!
Свитч коммутации, действительно, я упустил.

[makkaley]

Приветствую!
Возникла новая проблема.
Необходимо клиентам Wifi предоставлять доступ ко внутренней сети предприятия так, чтобы были доступны некоторые локальные адреса, но без выхода в интернет. Доступ к интернет - только через провайдера сотовой связи.

Проблема заключается в том, что при одновременном использовании wifi и мобильного интернета с любого смартфона маршрут по умолчанию, назначаемый автоматически провайдером, перекрывает маршрут назначаемый DHCP Mikrotik и, соответственно, доступ к локальным ресурсам становится невозможным. При отключении мобильного интернета - все работает.
Есть возможность добавлять маршрут через DHCP используя option 121, используя следующий синтаксис:
0x[маска подсети адреса назначения][адрес назначения][адрес шлюза]
С этой опцией, тоже, не работает.

Нагуглил описание в RFC3442: DHCP server administrators [...] should specify the default router(s) both in the Router option and in the Classless Static Routes option.

Из этого я понял, что необходимо добавлять маршрут по умолчанию. Но, у провайдера,я так понимаю, он может меняться. Пытался добавлять имя интерфейса, полученным через эмулятор терминала в андроид - не помогло.
Короче, я запутался в маршрутах. :)
Прошу помощи!
Спасибо!

[Vlad-2]

Необходимо клиентам Wifi предоставлять доступ ко внутренней сети предприятия так, чтобы были доступны некоторые локальные адреса, но без выхода в интернет. Доступ к интернет - только через провайдера сотовой связи.

Так разве это проблема. Вы просто подойдите к решению задачи иначе.
Сделайте так: заведите 2 сети (два SSID'а), один для "глобала"+локалка, второй - для локальной сети ТОЛЬКО и нет проблем.

Проблема заключается в том, что при одновременном использовании wifi и мобильного интернета с любого смартфона маршрут по умолчанию, назначаемый автоматически провайдером, перекрывает маршрут назначаемый DHCP Mikrotik и, соответственно, доступ к локальным ресурсам становится невозможным. При отключении мобильного интернета - все работает.

Пусть меня поправят коллеги, я ни разу не видел чтобы смартфон/планшет работал одновременно и по ВиФи,
и через оператора (по 3G/LTE) связи. (Естественно мы сейчас не рассматриваем режим "точки" когда смартфон
превращается в роутер).
В обычной жизни смартфон либо по ВиФи работает, либо только через оператора связи.
Поэтому такое извращение сделать сразу и туда и сюда на базе телефона/смартфона думаю в общем моменте
не выйдет. У того же Хуавея/Хонора при тестировании точки доступа (когда у неё нет Интернета) сразу после
подключения к такой точке = пишет, нет доступа к Интернет, отключиться от точки!?
Поэтому логика проста, как я написал выше, есть две сети, одна более полная, вторая закрытая(ограниченная).

Есть возможность добавлять маршрут через DHCP используя option 121, используя следующий синтаксис:
0x[маска подсети адреса назначения][адрес назначения][адрес шлюза]
С этой опцией, тоже, не работает.

Эта опция работает, она не простая, но у меня с ней получилось разобраться, всё хочу по ней маленький
FAQ написать, надо найти время. Я конечно не на смартфонах применил эту фичу, но нужно было
некоторым серверам у которых уже есть шлюз по-умолчанию прописать ряд маршрутов локальных,
заходить на каждый сервер мне было уже лениво и я решил их по DHCP передавать. Всё заработало,
главное:
а) при настройке такова DHCP - явно не передавать параметр "Gateway", ибо (особенно в моей схеме,
как я и писал, у серверов уже был шлюз по-умолчанию свой) и моя задача была передать маршруты только.
б) все данные(настройки) опции 121 надо переводить в HEX, и там с адресом назначения есть нюансы.
А так, этот функционал работает и позволяет мне один раз добавив маршрут в HEX формате в настройках
DHCP, получить этот маршрут на серверах нужных (маршрут "приедет" когда заново придёт запрос
о продлении аренды адреса, поэтому я всегда и говорю и советую, не ставить бесконечно долгие
сроки аренды = 2-4-6 часов самое то).

P.S.
У меня стоит отдельный микротик (был РБ2011, сейчас уже года полтора-два заменил на РБ3011) - в "ядре" управлением
маршрутизацией всех ВиФи сетей ТОЛЬКО, плюс на нём также сделано несколько (3 три) каналов (провайдеров).
Точки - Юбикью, разные (и внешние и внутренние, 14 шт.), 3 SSID-сети (полная, локально-ограниченная,гостевая),
+ одна сеть которая нужна для управления точками Юбикью (обычная IP-сеть, в рамках L2-трафика между точками).
Каждая сеть - имеет свою адресацию, свой шлюз, DHCP и т.д, даже ограниченным сетям в рамках локальной адресации
они могут зайти на нужный локальный сервис, независимо где этот сервис находиться(хоть тут, хоть в облаке),
для них он рядом и доступен (настроена локальная маршрутизация). Проблем за 5 лет в такой логике не было.

[makkaley]

Пока работает именно так - один Vlan для wifi с выходом в интернет, другой - только для внутренней сети.
Думаю, можно и с мобильными устройствами все это сделать - вопрос в маршрутизации, а тут без прав root в смартфоне ничего не сделаешь.

Кому интересно, нашел на хабре статью про опцию 121 и 249 - https://habr.com/post/239141/.

[Vlad-2]

Пока работает именно так - один Vlan для wifi с выходом в интернет, другой - только для внутренней сети.

Правильное, адаптивное и относительно-универсальное решение.

Думаю, можно и с мобильными устройствами все это сделать - вопрос в маршрутизации, а тут без прав root в смартфоне ничего не сделаешь.

Ну во-первых, сам рут = это вообще отдельная тема, во-вторых поставить его не на всё можно, и в-третьих, я бы
отказался если бы на работе(по рабочим нуждам) надо было на телефон рут ставить.
Поэтому идеологический подход и развитие идеи использовать на смартфонах одновременно два интерфейса -
вижу тупиковый исход. Не простая задача, и трудоёмкая, и ещё масса минусов.

Кому интересно, нашел на хабре статью про опцию 121 и 249 - https://habr.com/post/239141/.

Увы, почему данную статью не находил, Вам за ссылку спасибо, (зато сам на практике это освоил в своё время),
мельком прочитал, в конце статьи говориться про дефолтный шлюз, я как раз делал акцент, что когда используется
опция 121, не всегда он нужен как раз, то есть задача стоит передать маршруты (несколько),
но не шлюз по-умолчанию (он не всегда нужен или не всегда к месту).
И во-вторых, в самом DHCP (при настройке, в микротике) можно явно параметр шлюза не указывать (или явно указать) и не мучатся.