Добрый день !
Камрады - прошу помощи - есть несколько моментов в которых плаваю:
дано - harp -lite , провайдер дает инет по ппое и школьный инет по влану. Задача - с помощью девайса разрулить ппое и влановский инеты , но - то что приходит по влану имеет внешнюю и внутреннюю сеть без ната ( на входе сеть 172.........241/30 шлюз 172........242 и внутренняя сеть с 10......129/27 и шлюзом 10......128. Не в даваясь в ньюансы выданных адресаций ( вот оно так есть и работает).
Собственно ппое поднимается без проблем , а вот дальнейшие манипуляции с вланами дают эффект падения ппое.
Как вижу и прошу тыкнуть в чем ошибаюсь: убираем один из портов ( пусть будет 4) из бриджа ппое. На интерфейсе eth1 ( входящий порт) создаем влан 500 и даем ему ip 172...241/30 . Далее на порту 4 создаем к примеру влан 10 ( есть желание принять 500 а выдать в 10 влане) далее нужно создать бридж и в него включить 2 интерфейса вланов . В результате 500 влан с его сетью должен выскочить на 4 порту и с меткой 10 влана идти дальше ( на сервер, где в свою очередь поднят влан10 и прописана 10.....сеть. На остальных портах микротика будет инет с соединения ппое естественно со своей локальной сетью.
Правильно ли я понимаю решение задачи ?
ppoe и vlan в одном флаконе
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Даже часть цитировать не буду.
какой бридж и зачем рррое в бридже?
1) берёте порт1 (он не должен быть ни в каком бридже) и на нём создаёте рррое-профиль.
Настраиваете, подключаетесь к Интернету. Должен быть Интернет уже внутри роутера.
2) не забываете, чтобы был интернет для обычный локальной сети надо НАТ правило сделать через рррое интерфейс.
3) создаёте вилан с id=500 на порту1 (внутри вилана галочка "Use Service Tag" не ставить)
4) порт4 = отделить от бриджа любого
5) создаёте вилан с id=10 на порту4 (внутри вилана галочка "Use Service Tag" не ставить)
6) создаёте bridge_id500-to-id10
7) в этот бридж помещаете виланы-интерфейсы ТОЛЬКО
(проверяем: пришёл на порт1 тегированный трафик с id=500, приняли его и через промежуточный
бридж выкинули с id=10 на 4м порту. То есть на порту 4 будет тегированный трафик с id=10)
То есть сервер должен уже уметь принять этот тегированный трафик
Писал и формировал задачу в голове, плюс вечер у меня, так что, возможно где-то
могут быть нестыковки, пробуйте.
Я описал принятие вилана и отправки его далее, + Интернет, но задачу чтобы ещё и сам
роутер был в этом вилане я пока не описывал. Да и данных мало.
Но если надо чтобы и сам роутер был внутри вилана и имел IP-адресацию вилана,
то надо или руками дать адрес на бридж: bridge_id500-to-id10 или если внутри
этого вилана адресация динамически раздаётся/назначается, прописать
данный бридж в IP-DHCP Client и тогда он получит адресацию и уже будет внутри
сети этой. Также потом можно локальную сеть НАТить и выводить её во внутрь вилана.
какой бридж и зачем рррое в бридже?
1) берёте порт1 (он не должен быть ни в каком бридже) и на нём создаёте рррое-профиль.
Настраиваете, подключаетесь к Интернету. Должен быть Интернет уже внутри роутера.
2) не забываете, чтобы был интернет для обычный локальной сети надо НАТ правило сделать через рррое интерфейс.
3) создаёте вилан с id=500 на порту1 (внутри вилана галочка "Use Service Tag" не ставить)
4) порт4 = отделить от бриджа любого
5) создаёте вилан с id=10 на порту4 (внутри вилана галочка "Use Service Tag" не ставить)
6) создаёте bridge_id500-to-id10
7) в этот бридж помещаете виланы-интерфейсы ТОЛЬКО
(проверяем: пришёл на порт1 тегированный трафик с id=500, приняли его и через промежуточный
бридж выкинули с id=10 на 4м порту. То есть на порту 4 будет тегированный трафик с id=10)
То есть сервер должен уже уметь принять этот тегированный трафик
Писал и формировал задачу в голове, плюс вечер у меня, так что, возможно где-то
могут быть нестыковки, пробуйте.
Я описал принятие вилана и отправки его далее, + Интернет, но задачу чтобы ещё и сам
роутер был в этом вилане я пока не описывал. Да и данных мало.
Но если надо чтобы и сам роутер был внутри вилана и имел IP-адресацию вилана,
то надо или руками дать адрес на бридж: bridge_id500-to-id10 или если внутри
этого вилана адресация динамически раздаётся/назначается, прописать
данный бридж в IP-DHCP Client и тогда он получит адресацию и уже будет внутри
сети этой. Также потом можно локальную сеть НАТить и выводить её во внутрь вилана.
-
navig2201
- Сообщения: 4
- Зарегистрирован: 25 июн 2019, 14:06
Спасибо. Я выразился очевидно косноязычно - роутер имеет 4 порта - 1 входящий , на 4 планируется снимать тегированый влан , ну а 2 и 3 выход ппое в локалку ( тут проблем нет , спасибо за напоминание ... вот эти то порты в бридже). Мыслю значит в правильном направлении. 
-
navig2201
- Сообщения: 4
- Зарегистрирован: 25 июн 2019, 14:06
# jun/22/2019 17:40:51 by RouterOS 6.44.3
# software id = J00P-RFBX
#
# model = RB941-2nD
# serial number = A1C30A012B28
/interface bridge
add name=bridge1
add disabled=yes ingress-filtering=yes name=bridge500 protocol-mode=stp pvid=\
500 vlan-filtering=yes
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
password=******** use-peer-dns=yes user=******
/interface wireless
set [ find default-name=wlan1 ] mode=ap-bridge ssid=MikroTik wireless-protocol=\
802.11
/interface vlan
add interface=ether4 name=vlan10 vlan-id=10
add interface=ether1 name=vlan500 vlan-id=500
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.10.3-192.168.10.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 disabled=yes interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=wlan1
add bridge=bridge500 interface=vlan500
add bridge=bridge500 interface=vlan10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add list=WAN
add interface=bridge1 list=LAN
add list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.10.1/24 interface=ether2 network=192.168.10.0
add address=172.23.175.241/30 interface=vlan500 network=172.23.175.240
/ip dhcp-client
add dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1 netmask=24
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface-list=!LAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat out-interface-list=WAN
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge1 type=internal
add type=external
add interface=pppoe-out1 type=external
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
что по факту - как только включаю бридж на vlanах - рвется ппое сессия. Отключение stp в ноне - ппое работает , но нет пинга на 172...... шлюз. Без моста с вланами - ппое сессия ок и пинг 172... шлюза ок
может быть имеет смысл загнать влан для ппое с помощью провайдера и пробовать работать с двумя вланами ? ( ппое поднимать в одном из них)
# software id = J00P-RFBX
#
# model = RB941-2nD
# serial number = A1C30A012B28
/interface bridge
add name=bridge1
add disabled=yes ingress-filtering=yes name=bridge500 protocol-mode=stp pvid=\
500 vlan-filtering=yes
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
password=******** use-peer-dns=yes user=******
/interface wireless
set [ find default-name=wlan1 ] mode=ap-bridge ssid=MikroTik wireless-protocol=\
802.11
/interface vlan
add interface=ether4 name=vlan10 vlan-id=10
add interface=ether1 name=vlan500 vlan-id=500
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.10.3-192.168.10.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 disabled=yes interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=wlan1
add bridge=bridge500 interface=vlan500
add bridge=bridge500 interface=vlan10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add list=WAN
add interface=bridge1 list=LAN
add list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.10.1/24 interface=ether2 network=192.168.10.0
add address=172.23.175.241/30 interface=vlan500 network=172.23.175.240
/ip dhcp-client
add dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1 netmask=24
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface-list=!LAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat out-interface-list=WAN
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge1 type=internal
add type=external
add interface=pppoe-out1 type=external
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
что по факту - как только включаю бридж на vlanах - рвется ппое сессия. Отключение stp в ноне - ппое работает , но нет пинга на 172...... шлюз. Без моста с вланами - ппое сессия ок и пинг 172... шлюза ок
может быть имеет смысл загнать влан для ппое с помощью провайдера и пробовать работать с двумя вланами ? ( ппое поднимать в одном из них)
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Как-то всё сложно. Или описание словесное не соответствует действительности,
или что-то ещё есть какие-то важные данные, который остались за кадром?
Теперь всё же что мне не понравилось:
Да, есть вариации когда можно виланы правильно сделать, сейчас же, по старинке,
программно мы будем работать с виланами, удалите бридж500, создайте
бридж500-10 (всё же у нас тут 2 вилана, пусть название соответствует),
И НЕ трогайте никаких там настроек (особенно связанных с виланом).
Золотое правило: Вам подсказали как сделать, надо совет выполнить
на 100%, заработает = дальше уже сами творите и совершенствуйтесь,
но править мне совершенство не хочется.
по любому не нужен и изредка, даже отключённый порт может вносить/мешать
логике. Первый порт у нас НЕ должен быть в каком-либо бридже.
(опять же, я же писал в своём первом сообщении)
Опять, что я писал про адресацию для виланов? Куда надо её ставить?
НА БРИДЖ а не вилан-интерфейс. Интерфейс внутри бриджа становиться
уже подчичённым, не самостоятельным.
И Ваш адрес 10.1/24 = где он должен быть?
На бридже локальной сети, а он куда тоже прописан? Порт2 ??? ЗАЧЕМ
или что-то ещё есть какие-то важные данные, который остались за кадром?
Теперь всё же что мне не понравилось:
Я просил и описал что надо создать бридж, но зачем Вы бридж явно привязали к вилану?navig2201 писал(а): ↑28 июн 2019, 12:12Код: Выделить всё
add disabled=yes ingress-filtering=yes name=bridge500 protocol-mode=stp pvid=\ 500 vlan-filtering=yes
Да, есть вариации когда можно виланы правильно сделать, сейчас же, по старинке,
программно мы будем работать с виланами, удалите бридж500, создайте
бридж500-10 (всё же у нас тут 2 вилана, пусть название соответствует),
И НЕ трогайте никаких там настроек (особенно связанных с виланом).
Золотое правило: Вам подсказали как сделать, надо совет выполнить
на 100%, заработает = дальше уже сами творите и совершенствуйтесь,
но править мне совершенство не хочется.
Удалите явно порт1 из бриджа, да я вижу что эта запись отключена, но порт1 в бриджеnavig2201 писал(а): ↑28 июн 2019, 12:12Код: Выделить всё
/interface bridge port add bridge=bridge1 disabled=yes interface=ether1
по любому не нужен и изредка, даже отключённый порт может вносить/мешать
логике. Первый порт у нас НЕ должен быть в каком-либо бридже.
(опять же, я же писал в своём первом сообщении)
О боже!navig2201 писал(а): ↑28 июн 2019, 12:12Код: Выделить всё
add address=192.168.10.1/24 interface=ether2 network=192.168.10.0 add address=172.23.175.241/30 interface=vlan500 network=172.23.175.240
Опять, что я писал про адресацию для виланов? Куда надо её ставить?
НА БРИДЖ а не вилан-интерфейс. Интерфейс внутри бриджа становиться
уже подчичённым, не самостоятельным.
И Ваш адрес 10.1/24 = где он должен быть?
На бридже локальной сети, а он куда тоже прописан? Порт2 ??? ЗАЧЕМ
А что, 3 правила одинаковых как-то помогают более основательно?navig2201 писал(а): ↑28 июн 2019, 12:12Код: Выделить всё
/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN add action=masquerade chain=srcnat out-interface-list=WAN add action=masquerade chain=srcnat out-interface-list=WAN
Исправляйте ошибки.
ну рррое же даёт провайдер не-тегированное, а то что Вы хотите, не означает что так будет работать.
-
navig2201
- Сообщения: 4
- Зарегистрирован: 25 июн 2019, 14:06
Выпал из жизни по семейным обстоятельствам , но было время все осмыслить .. и понять - не с того и не туда поехало 
прошу вас осмотреть творение - т.е ппое сессия ок, натится и в инет подсеть ходит , вопрос о правильном роутинге по второму соединению ( vlan500) .. нужно , что-бы сеть 10.61.......27 ходила без нат на шлюз 172.23...... а вот тут возникла проблема..
вот такой конфиг
прошу вас осмотреть творение - т.е ппое сессия ок, натится и в инет подсеть ходит , вопрос о правильном роутинге по второму соединению ( vlan500) .. нужно , что-бы сеть 10.61.......27 ходила без нат на шлюз 172.23...... а вот тут возникла проблема..
вот такой конфиг