Пытаюсь разобраться с VLAN на Mikrotik

Обсуждение ПО и его настройки
Ответить
novenkiy
Сообщения: 5
Зарегистрирован: 02 дек 2024, 13:51

При настройке VLAN на роутере создал sab-интерфейс, назначил ip-адреса на него и повесил DHCP. Эти ip-адреса не пингуются из VLAN сетей.
Почему они не пингуются и может это быть причиной что не работает маршрутизация между VLAN?

Код: Выделить всё

/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik

/interface vlan
add interface=VLAN name=vlan10MGMT vlan-id=10
add interface=VLAN name=vlan20 vlan-id=20
add interface=VLAN name=vlan30 vlan-id=30
add interface=VLAN name=vlan40 vlan-id=40

/interface ethernet switch port
set 0 vlan-header=add-if-missing vlan-mode=secure
set 1 vlan-header=add-if-missing vlan-mode=secure
set 4 vlan-mode=secure

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip pool
add name=VLAN10 ranges=192.168.10.10-192.168.10.100
add name=VLAN20 ranges=192.168.20.10-192.168.20.100
add name=VLAN30 ranges=192.168.30.10-192.168.30.100
add name=VLAN40 ranges=192.168.40.10-192.168.40.100

/ip dhcp-server
add address-pool=VLAN10 disabled=no interface=vlan10MGMT name=VLAN10
add address-pool=VLAN20 disabled=no interface=vlan20 name=VLAN20
add address-pool=VLAN30 disabled=no interface=vlan30 name=VLAN30
add address-pool=VLAN40 disabled=no interface=vlan40 name=VLAN40

/interface bridge port
add bridge=VLAN interface=ether1
add bridge=VLAN interface=ether2

/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-vlan=yes

/interface ethernet switch vlan
add ports=ether1,ether2,switch1-cpu switch=switch1 vlan-id=10
add ports=ether1,ether2,switch1-cpu switch=switch1 vlan-id=20
add ports=ether1,ether2,switch1-cpu switch=switch1 vlan-id=30
add ports=ether1,ether2,switch1-cpu switch=switch1 vlan-id=40

/ip address
add address=192.168.10.1 interface=vlan10MGMT network=192.168.10.0
add address=192.168.20.1 interface=vlan20 network=192.168.20.0
add address=192.168.30.1 interface=vlan30 network=192.168.30.0
add address=192.168.40.1 interface=vlan40 network=192.168.40.0

/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1
add address=192.168.20.0/24 gateway=192.168.20.1
add address=192.168.30.0/24 gateway=192.168.30.1
add address=192.168.40.0/24 gateway=192.168.40.1

/ip firewall filter
add action=accept chain=forward dst-address=192.168.20.100 src-address=\
    192.168.10.99
add action=accept chain=forward dst-address=192.168.10.99 src-address=\
    192.168.20.100


Вернуться к началу
svetogor82
Сообщения: 207
Зарегистрирован: 17 апр 2014, 10:44

по вашей конфигурации сложно судить
версия прошивки какая ?
приложите полный конфиг


Вернуться к началу
gmx
Модератор
Сообщения: 3416
Зарегистрирован: 01 окт 2012, 14:48

Нужна, как минимум, схема сети, хотя бы до того устройства, с которого вы пингуете IP VLAN.

В текущей конфигурации, да вы создали тегированный трафик и он ходит между портами Ether1 и Ether2, но ваше оборудование дальше за этими портами может вообще ничего не знать про эти VLAN.

Рекомендую к прочтению https://mikrotik-training.ru/kb/vlan-v-mikrotik/
К просмотру https://www.youtube.com/watch?v=RWwBZjlQN_o
https://www.youtube.com/watch?v=wbmHmCDce5Y&t=435s


Вернуться к началу
novenkiy
Сообщения: 5
Зарегистрирован: 02 дек 2024, 13:51

Это тестовая схема, главный hAP lite, влан настроен через меню switch на нем только транковые порты, DHCP, Firewall, в Ether1 подключен CRS326 настроен через Bridg, в Ether2 подключен CRS109 настроен через меню switch. К CRS-ам я уже подключал ПК.

Я просто при добавление ip-адресов на sab-интерфейс не указал маску в адресе (добавлял так 192.168.10.1, а надо было так 192.168.10.1/24) после исправления ping заработал и связь между вланами тоже появилась, изолировал через правила в IP/Firewall использовал адрес-лист с указанием всей сети 192.168.0.0/16


Вернуться к началу
novenkiy
Сообщения: 5
Зарегистрирован: 02 дек 2024, 13:51

При настройке VLAN, DHCP и ip-адрес вешается на sab-интерфейс. А если в бридж добавлять порты для обычной LAN то DHCP и ip-адрес для LAN вешается на бридж в котором порты принадлежащие и VLAN и обычной LAN и ещё магистральные порты. Не будет ли при такой конфигурации каких либо конфликтов?
На тестовой сборке конфликтов не было замечено.


Вернуться к началу
novenkiy
Сообщения: 5
Зарегистрирован: 02 дек 2024, 13:51

Изображение

Ноутбук(VLAN 20) шлюз 192.168.20.3, Пк(VLAN 30) шлюз 192.168.30.3 пинг есть.

Ноутбук(VLAN 20) шлюз 192.168.20.2, Пк(VLAN 30) шлюз 192.168.30.2 пинга нет, приэтом с ноутбука sub-интерфейсы свичей (192.168.20.3, 192.168.20.2, 192.168.30.2) пинг проходит. Но если на CRS109 запуститьTorch то пинги между ноутбуком и Пк начинают проходить, при запущенном Torch на CRS326 пинги также не проходят.
В чем может быть причина?


Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»