Настройка VLAN на Микротик, нужна помощь знатоков!

[riwer]

Доброго дня!

Есть 951G-2HnD (используется как роутер) и RB952Ui-5ac2nD (используется как точка доступа), между ними свитч HP

Все интерфейсы обоих устройств в бридже, на роутере по-факту активен только ether2, через который он подключен к свитчу

Сеть не разделена VLAN-ами

Понадобилось организовать на точке доступа гостевой wifi - что я сделал

На точке доступа
Создал на интерфейсе wlan1 виртуальный интерфейс wlan_guest, на бридже создал интерфейс vlan99 (VLAN ID =99) и включил VLAN Filtering
После чего, на бридже добавил порты ether3 (через него точка доступа подключена к свитчу) и bridge в VLAN ID =99 как tagged, wlan_guest в VLAN ID =99 как untagged
В родной VLAN ID =1 все порты добавились автоматом
Активировал на интерфейсе vlan99 dhcp-клиент

На роутере
На бридже создал интерфейс vlan99 (VLAN ID =99) и включил VLAN Filtering
После чего, на бридже добавил порты ether2 (через него роутер подключенн к свитчу) и bridge в VLAN ID =99 как tagged, wlan_guest в VLAN ID =99 как untagged
В родной VLAN ID =1 порты добавились автоматом
Активировал на интерфейсе vlan99 dhcp-сервер

На свитче HP настроил порты, к которым подключен роутер и точка доступа как транки для VLAN ID =99 (как untagged для VLAN ID =1 включены по умолчанию)

При такой настройке в принципе все работает, клиенты виртуальной точки доступа получают свои IP-параметры по DHCP, поднятом на интерфейсе vlan99 роутера, остальные хосты по DHCP поднятом на бридже

Однако меня смущает необходимость добавления порта бриджа в VLAN ID =99 как tagged (как только убираю его, все перестает работать), так как в ВИКИ https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table это делается только для физического порта (у меня ether2)

К тому же, при такой настройке клиенты гостевой точки доступа по-дефолту имеют доступ к роутеру и основную подсеть (VLAN ID =1)
Я ограничил им доступ правилами firewall в цепочке forward и input, но все же терзают сомнения в адекватности моей конфигурации (первый раз настраиваю VLAN) и очень нужны коменты опытных товарищей;)

Заранее благодарен за любые комментарии!

[xvo]

В принципе все правильно.

Единственное, лучше и основную сеть тегировать в какой-то другой vlan, и вообще уйти от концепции гибридных портов - транки будут транками, акцессные порты - акцессными.
Но это не принципиально, просто и конфиг будет более читаемым и поведение более прогнозируемым.

[riwer]

В принципе все правильно.

Единственное, лучше и основную сеть тегировать в какой-то другой vlan, и вообще уйти от концепции гибридных портов - транки будут транками, акцессные порты - акцессными.
Но это не принципиально, просто и конфиг будет более читаемым и поведение более прогнозируемым.

Спасибо большое за комментарий!
То есть, без включения порта bridge в vlan-ы не обойтись? Меня этот момент смущает, так как в примерах микротик-вики в vlan включают только физические интерфейсы... и еще то, что по умолчанию из всех vlan будет доступ к маршрутизатору...

[xvo]

А как может не быть доступа к роутеру? :)
Он же раздает dhcp, dns, он же шлюз.
Если от него надо только с одного порта на другой прокинуть (т.е. поработать коммутатором) - тогда для этих vlan’ов можно не добавлять. Но если ему надо что-то маршрутизировать, то без этого никак - нужен выход с коммутатора на процессор.

[riwer]

А как может не быть доступа к роутеру? :)
Он же раздает dhcp, dns, он же шлюз.
Если от него надо только с одного порта на другой прокинуть (т.е. поработать коммутатором) - тогда для этих vlan’ов можно не добавлять. Но если ему надо что-то маршрутизировать, то без этого никак - нужен выход с коммутатора на процессор.

Понятно, просто, в моем понимании было так, что по дефолту не должно быть взаимодействия между vlan, в том числе через роутер (как на свитче) а маршрутизация vlan настраивается уже по необходимости

Спасибо, теперь стало понятнее:)

[xvo]

Как раз наоборот: это на свитче vlan’ы разделены, а маршрутизатор он на то и маршрутизатор, чтобы свободно маршрутизировать между своими интерфейсами, если ему отдельно не сказать этого не делать.

[riwer]

Спасибо за помощь!

Осталось разобраться с двумя моментами, если не затруднит, не могли бы пояснить кратко?

1) В вики много информации по настройке management VLAN, но я так и не понял, какой там в это понятие вкладывается смысл?

2) Смысл динамического добавления untagged ports в соответствии с PVID - это что-то вроде реализации Native VLAN у Mikrotik?

[xvo]

1) Отдельный vlan только через который есть доступ на само сетевое оборудование.

2) Да, вроде того.

[riwer]

1) Отдельный vlan только через который есть доступ на само сетевое оборудование.

Но реализация этого также предполагает настройку firewall? То есть, опять же нужно input drop со всех vlan-интерфейсов, кроме управляющего?

[xvo]

Ну да.
Так то без последующей настройки firewall'а львиная доля смысла делить сеть на несколько vlan'ов вообще теряется.
Или скорее в львиной доле случаев теряется вообще весь смысл.