Mikrotik - konfiguracja VLANów

Witam
mam problem z konfiguracją VLANów na routerze MikroTik rb2011uias-2hnd.

 

Router ma 5 portów Gigabit Ethernet oraz 5 portów Fast Ethernet.

1 port jest portem WAN.
2 port jest portem master dla pozostałych z grupy Gigabit Ethernet (czyli dla portów 3, 4, 5)
6 port jest portem master dla pozostałych z grupy Fast Ethernet (czyli dla portów 7, 8, 9, 10)

 

Podłączając się pod port z pierwszej grupy (np. “ether2-master”) dostaję adres IP z klasy 192.168.25.0/24
Podłączając się pod port z drugiej grupy (np. “ether6-master”) dostaję adres IP z klasy 192.168.45.0/24

 

Wszystko ładnie działa. Prawie wszystko. Podłączając się np. pod port z pierwszej grupy (Gigabit Ethernet)
mam dostęp do zasobów, które są w drugiej grupie (Fast Ethernet). Czyli z komputera o adresie np. 192.168.25.50

mogę pingować i mam dostęp do zasobów z komputera o adresie 192.168.45.30.

 

Ponieważ nie chcę, żeby urządzenia z różnych podsieci mogły się ze sobą komunikować, pomyślałem,

że rozwiązaniem może być użycie VLANów. Ponieważ wcześniej nigdy z nich nie korzystałem,

a dodatkowo dopiero zaczynam zabawę z MikroTikiem, to mam z tym trochę problemów.

 

W zakładce “Interfaces” -> “VLAN” utworzyłem pierwszy VLAN o ID 1025 i ustawiłem go na interfejsie

“ether2-master”. Drugi VLAN o ID 1045 dodałem do interfejsu “ether6-master”.
…i niestety nie wiem co dalej :confused: Cały czas komputery z różnych podsieci mogą się komunikować.

Będę wdzięczny za wskazówki związane z dalszą konfiguracją VLANów.

 

H.

Porty masz podpięte do tzw. chipsetu switcha. VLANy, które chcesz zrobić robi się na poziomie switcha. Zakładka inteface VLAN nie służy do tego. Ona służy do routingu. Tu tworzysz tzw. trunki.

Konfiguracja na poziomie switcha w MT jest bardziej skomplikowana i szczerze, mi też nigdy nie udało się tego zrobić. Jak chcesz mieć osobne podsieci, to wyrzuć interfejsy z master portów. I na każdym porcie zrób osobną podsieć. Osobiście przekonałem się, że robienie z MT switcha to kiepski pomysł. Router zwyczajnie się do tego nie nadaje.

Przy interfejsach usuwasz master porty, każdy dzaiała wtedy niezależnie od siebie. Podsieci twórz na interfejsach gigabitowych, bez VLANów (one nie będą Ci do niczego potrzebne, do póki nie będziesz potrzebował routingu między VLANami, ale do tego potrzebny Ci switch z obsługą VLANów). Na WAN daj, np. port 10. Nie ma sensu dawać portu gigabitowego, jak Twój internet nie przekracza 100Mb/s. Wówczas powinieneś mieć 3 interfejsy i 3 podsieci: 1. WAN; 2. Podsieć 192.168.25.0/24; 3. Podsieć 192.168.45.0/24.

Jeśli chodzi separację podsieci. Robisz to na poziomie firewalla. Interesuje Ciebie łańcuch (chain) forward. Dropujesz wszystkie pakiety (action drop). Na przykład (interfejs ether1 to podsieć 1, interfejs ether2 to podsieć 2):

Jak będziesz chciał, np. danemu hostowi zezwolić na dostęp do danego zasobu, to robisz sobie w firewallu adres listę i dodajesz je do reguły jako adresy, które nie mają być branę pod uwagę, np.

Wszystko to oczywiście możesz sobie wyklikać w Winboksie.

Dzięki za pomoc. Zastosowałem się do Twoich porad i wygląda na to, że wszystko działa :slight_smile:

Pewnie będę miał jeszcze kolejne pytania dotyczące konfiguracji MikroTika… ale to już będę prosił o pomoc w innych postach :slight_smile:

 

H.

Nie ma sprawy. Akurat ten RB2011 co masz, to fajny sprzęt.