Russian Users MikroTik | Форум пользователей MikroTik

Всем доброго дня/ночи!
Замучался я с этими VLAN'ами - перебрал кучу инструкций и мурзилок, не работают они у меня :(

Что хочу сделать по смыслу:
- 192.168.100.1 (ether1) - WAN
- 192.168.1.0/24 (ether3 через коммутатор Dlink) - видеонаблюдение, там везде статические адреса
- 192.168.2.0/24 (ether2 через коммутатор Zyxel GS1100-16) - гостевая сеть (VLAN ID=2) проводная и WiFi 2.4 и 5ГГц, здесь запретить статические адреса
- 192.168.33.0/24 (ether2 через коммутатор Zyxel GS1100-16) - офисная сеть проводная и WiFi 2.4 и 5ГГц, здесь запретить DHCP, только по привязке MAC-IP

Собственно всё ) Железо - HAP ac2, вот конфигурация:

Код: Выделить всё

# sep/09/2019 01:38:10 by RouterOS 6.45.5
# software id = PFS6-74DN
#
# model = RBD52G-5HacD2HnD

/interface bridge
add name=bridge-guest
add name=bridge-office

/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
set [ find default-name=ether2 ] name=ether2-office
set [ find default-name=ether3 ] name=ether3-video
set [ find default-name=ether4 ] name=ether4-notused
set [ find default-name=ether5 ] name=ether5-notused

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no frequency=auto installation=indoor mode=ap-bridge name=\
    wlan2.4 ssid="Office 2"
add disabled=no keepalive-frames=disabled mac-address=76:4D:**:**:**:** master-interface=wlan2.4 multicast-buffering=disabled name=\
    wlan2.4-guest ssid="Office2 (guest)" vlan-id=2 wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac country=russia disabled=no installation=indoor mode=ap-bridge name=wlan5 ssid=\
    "Office 5"
add disabled=no keepalive-frames=disabled mac-address=76:4D:**:**:**:** master-interface=wlan5 multicast-buffering=disabled name=\
    wlan5-guest ssid="Office5 (guest)" vlan-id=2 wds-cost-range=0 wds-default-cost=0 wps-mode=disabled

/interface vlan
add interface=bridge-office name=vlan-guest vlan-id=2

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik

/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot

/ip pool
add name=dhcp-pool-guest ranges=192.168.2.2-192.168.2.254
add name=dhcp-pool-video ranges=192.168.1.2-192.168.1.254

/ip dhcp-server
add address-pool=dhcp-pool-guest authoritative=after-2sec-delay bootp-support=dynamic disabled=no interface=bridge-office name=\
    dhcp-office

/interface bridge port
add bridge=bridge-office interface=ether2-office
add bridge=bridge-office interface=wlan2.4
add bridge=bridge-office interface=wlan5
add bridge=bridge-guest interface=vlan-guest
add bridge=bridge-guest interface=wlan2.4-guest
add bridge=bridge-guest interface=wlan5-guest

/ip address
add address=192.168.33.1/24 comment=Office interface=bridge-office network=192.168.33.0
add address=192.168.1.1/24 comment=Video interface=ether3-video network=192.168.1.0
add address=192.168.2.1/24 comment="Guest VLAN2" interface=bridge-guest network=192.168.2.0

/ip dhcp-client
add comment="WAN (to Huawei)" dhcp-options=hostname,clientid disabled=no interface=ether1-wan

/ip dhcp-server lease
add address=192.168.33.100 client-id=1:b8:88:**:**:**:** disabled=yes mac-address=B8:88:**:**:**:** server=dhcp-office

/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.100.1 gateway=192.168.2.1
add address=192.168.33.0/24 dns-server=192.168.100.1 gateway=192.168.33.1

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-wan

Что работает:
1. Полностью только видеонаблюдение )
2. DHCP вроде выдаёт всем что надо (там для примера только 1 комп прописан по MAC'у)

А теперь проблемы:
1. Компы и телефоны в bridge-guest не получают IP. Даже если правильный IP прописать статически, всё-равно не могут подключиться к сети ни по проводу, ни по гостевым WiFi
2. Slack не работает и по негостевым WiFi 'Office 2' и 'Office 5', хотя сайты отлично открываются
3. У меня сомнения насчёт правильной логики DHCP - как, например, там запретить статику для гостевого пула, но оставить для офисных компов?

Как я понимаю проблемы:
1. Грешил на коммутатор, но проверил в описании - он VLAN passthrough, т.е. умеет пропускать пакеты VLAN. Достаточно ли его для работы VLAN - не знаю
2. Даже если проводные клиенты не работают в VLAN из-за коммутатора, то почему гостевые интерфейсы WiFi не работают в этом же VLAN? Ведь они точно должны работать
3. Грешил на NAT "маскарад", пытался прописывать его отдельно на 192.168.2.0/24 - не помогает. В окне Bridge это выглядит как Tx уходят, а Rx всегда 0
4. Про Slack - вообще без идей. В IP/Firewall ни одного правила, я их не удалял, их там просто нет пока ещё!

Может я вообще как-то не так пытаюсь достичь поставленных целей...
Помогите, пожалуйста, понять проблемы и как их решить?

Vasya Cat писал(а): ↑08 сен 2019, 22:11 /interface vlan
add interface=bridge-office name=vlan-guest vlan-id=2

В вашем случае, наверное, правильнее вот так:
/interface vlan add interface=ether2-office name=vlan-guest vlan-id=2

/ip dhcp-server add address-pool=dhcp-pool-guest authoritative=after-2sec-delay bootp-support=dynamic disabled=no interface=bridge-office name= dhcp-office
И тут вы не ошиблись ?

Но мне интереснее узнать как вы собираетесь на коммутаторе подключаться к vlan 2 ?

PS: вот вам наглядный пример как правильно: https://habr.com/ru/post/425493/
его несложно доработать под ваши нужды.

/interface bridge port
add bridge=bridge-office interface=ether2-office

как минимум нужно вытащить ether2 из бриджа офис...у ТС же ether2 воткнут в тупой свич, а на бридж назначена сетка офиса

и да, как уже сказал algerka, у вас к МТ подключен тупой свич, а на нем вы не подымите vlan и соответственно не сможете подключиться к vlan поднятому на МТ

Volant писал(а): ↑09 сен 2019, 12:43 у вас к МТ подключен тупой свич, а на нем вы не подымите vlan и соответственно не сможете подключиться к vlan поднятому на МТ

не совсем так. коммутатор пропускает через себя тегированный трафик. и если конечно устройство умеет работать с вилан, то будет работать.
например телефоны yealink по умолчанию работают с dhcp опцией 132.

Благодарю за ответ!

В вашем случае, наверное, правильнее вот так:
/interface vlan add interface=ether2-office name=vlan-guest vlan-id=2

Да, исправил.

/ip dhcp-server add address-pool=dhcp-pool-guest authoritative=after-2sec-delay bootp-support=dynamic disabled=no interface=bridge-office name= dhcp-office
И тут вы не ошиблись ?

А это я где-то вычитал: суть такая, что по статическим адресам клиенты попадают в сеть 192.168.33.1 (офисную), а по динамическим - в 192.168.2.1 (гостевую). Меня тоже терзают сомнения на сей счёт, поэтому я и вынес этот вопрос даже в заголовок.

Но мне интереснее узнать как вы собираетесь на коммутаторе подключаться к vlan 2 ?

Т.е. никак? Нужен именно коммутатор с полноценной подlержкой VLAN? Я думал, что VLAN passthrough достаточно.

PS: вот вам наглядный пример как правильно: https://habr.com/ru/post/425493/
его несложно доработать под ваши нужды.

Благодарю, начал изучать!

Добрый вечер!

/interface bridge port
add bridge=bridge-office interface=ether2-office
как минимум нужно вытащить ether2 из бриджа офис...у ТС же ether2 воткнут в тупой свич, а на бридж назначена сетка офиса

А как я его вытащу, если на ether2 сидят и офисная сетка и VLAN2 (гостевая сетка)? Да, и что такое "ТС"? "МТ", как я понял - это маршрутизатор?

и да, как уже сказал algerka, у вас к МТ подключен тупой свич, а на нем вы не подымите vlan и соответственно не сможете подключиться к vlan поднятому на МТ

Вот это меня очень сильно удручает, т.к. никто другой свитч не даст.

algerka писал(а): ↑09 сен 2019, 17:44 не совсем так. коммутатор пропускает через себя тегированный трафик. и если конечно устройство умеет работать с вилан, то будет работать.
например телефоны yealink по умолчанию работают с dhcp опцией 132.

У меня в VLAN2 компы на Windows только могут быть.

Но я не понял, почему в моей конфигурации wlan2-guest и wlan5-guest не получают адреса? Ведь они не зависят от свитча.

to algerka, вы же понимаете - пропускать и уметь инициализировать - разное.. пропускать через себя vlan, наверное, они все умеют(все- это тупые свичи)

algerka писал(а): ↑09 сен 2019, 12:00 PS: вот вам наглядный пример как правильно: https://habr.com/ru/post/425493/
его несложно доработать под ваши нужды.

Взял Ваш пример, удалил из него всё, что касается VLAN10, наблюдаю - комп в LAN получает IP в адресном пространстве вышестоящего роутера, интернет получает. А вот WiFi-устройство не получает адрес.
Скажите, почему у Вас в bridge1 засунут ether1, который получает WAN? Зачем ему быть в едином бридже с LAN?
Покурю ещё Ваш пример...

to algerka, переделал ещё раз, адаптировал под свой WAN, вот что получилось:

Код: Выделить всё

# sep/10/2019 02:40:36 by RouterOS 6.45.5
# software id = PFS6-74DN
#
# model = RBD52G-5HacD2HnD

/interface bridge
add name=bridge1 protocol-mode=none

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-onlyn disabled=no mode=ap-bridge ssid=WiFiA vlan-id=20 vlan-mode=use-tag wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] ssid=MikroTik

/interface vlan
add interface=bridge1 name=vlan20 vlan-id=20

/interface ethernet switch port
set 1 default-vlan-id=20 vlan-header=always-strip vlan-mode=secure

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=testtest

/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot

/ip pool
add name=pool-lan ranges=192.168.11.2-192.168.11.99

/ip dhcp-server
add address-pool=pool-lan disabled=no interface=vlan20 lease-time=1h name=dhcp-server

/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=vlan20
add bridge=bridge1 interface=wlan1

/interface ethernet switch vlan
add independent-learning=yes ports=ether2,switch1-cpu switch=switch1 vlan-id=20

/ip address
add address=192.168.11.1/24 interface=vlan20 network=192.168.11.0

/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1

/ip dhcp-server network
add address=192.168.11.0/24 dns-server=192.168.11.1 gateway=192.168.11.1

/ip dns
set allow-remote-requests=yes

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

WiFi подключается и работает, а вот компьютер в LAN не получает адрес по DHCP, а если ему прописать вручную 192.168.11.3, маску, шлюз и DNS, то при попытке пинга любого адреса, например, ping 8.8.8.8 -t, пишет:

Ответ от 192.168.11.3: Заданный узел недоступен. (постоянно)
Превышен интервал ожидания для запроса. (редко)

Для гарантии сам комп 192.168.11.3 воткнул в ether2 роутера (без свитча, напрямую).

Где у меня ошибка?

Russian Users MikroTik | Форум пользователей MikroTik

Помогите разобраться с VLAN и поведением DHCP?

Помогите разобраться с VLAN и поведением DHCP?

Re: Помогите разобраться с VLAN и поведением DHCP?

Re: Помогите разобраться с VLAN и поведением DHCP?

Re: Помогите разобраться с VLAN и поведением DHCP?

Re: Помогите разобраться с VLAN и поведением DHCP?

Re: Помогите разобраться с VLAN и поведением DHCP?

Re: Помогите разобраться с VLAN и поведением DHCP?

Re: Помогите разобраться с VLAN и поведением DHCP?

Re: Помогите разобраться с VLAN и поведением DHCP?

Re: Помогите разобраться с VLAN и поведением DHCP?