Mikrotik - vlan

ITMT · 28 Marzec 2022 16:37

Cześć,

Jeśli się nie mylę (najwyżej mnie poprawcie) to po utworzeniu vlanów na mikrotiku urządzenia znajdujące w róznych vlanach mogą się ze sobą komunikować i trzeba dodać regułę w firewallu. U mnie jest sytuacja odwrotna, tzn. po utworzeniu vlanów komputery znajdujące się w róznych vlanach nie komunikują się ze sobą - więc ok. Tylko w tym przypadku potrzebuję aby dany host (raspberry) kontaktował się z urządzeniami w innym vlanie.

blumberplumber · 28 Marzec 2022 17:32

Nie zrobisz tak… VLAN, to sieć wirtualna. Można tworzyć kilka w jednej fizycznej sieci LAN, ale - z tego, co pamiętam, to jest chyba inna adresacja IP w pierwszej i inna w drugiej… Mogę się pomylić, jeśli tak, to mnie poprawcie…
Co do komunikacji dwóch urządzeń, to nie najłatwiej podpiąć oba do jednego VLAN’u?

Yakii · 28 Marzec 2022 19:11

Dawno w to nie grałem, wiec musisz zagrac sam.
Link ponizej dotyczy gry „Wszyscy z jednej ze wszystkimi z drugiej sieci VLAN”

Więc tu chyba zabawa z firewallem.

blumberplumber · 28 Marzec 2022 21:08

Źle powiedziałem? Zamiast takie dziwne teksty pisać, to byś komuś pomógł.

anon42271672 · 28 Marzec 2022 21:19

Jak utworzyłeś te VLANy na bridge’u, z użyciem switcha?
Bez tego będzie ciężko coś konkretnego podpowiedzieć bo niestety ten temat jest dość chaotyczny na urządzeniach tego producenta (głównie ze względu na wiele możliwych sposobów implementacji i różnice sprzętowe zainstalowanych układów przełącznika [switch chip]).

Yakii · 28 Marzec 2022 22:46

A co powiedziałeś? Nic. Definicje co to takiego
Moze jednak warto przeczytać instrukcję konfiguracji z linka.
Co, obcy język? A to juz twój problem.
Młody, odpuść sobie te teksty. Nie marnuj czasu. Jak ten drugi na s
P.S.

Dziwny tekst?
No tak. jak się napisze „Połaczenie miedzy dwoma sieciami VLAN dla wszystkich w tych sieciach” to jeszcze niektórzy „zajarzą”, moze.
A tekst typu, " dwie bramki i wszyscy kopią do której chcą" to już za trudne.
No nie róbcie jaj, z siebie.

roobal · 28 Marzec 2022 23:27

Jeśli urządzenia nie komunikują się między sobą bez restrykcji na firewallu, to znaczy że router nie przekazuje pakietów między VLAN.

Pokaż konfigurację routera. Oczywiście o ile to jest router, a nie switch Mikrotika.

roobal · 28 Marzec 2022 23:33

Ruch między VLAN odbywa się za pomocą routingu, który może być realizowany na routerze (router on a stick) lub na switchach L3 (najczęściej w warstwie dystrybucji).

ITMT · 30 Marzec 2022 05:14

Spokojnie, jest to router RB5009 vlany są przypisane do bridge wykorzystując PVID. Znajdę chwile, to postaram się dzisiaj wrzucić konfigurację.

ITMT · 30 Marzec 2022 05:17

Dokładnie tak jak pisze roobal. Mam zrobiony router on stick, z tym że wykorzystuje switch L2. Vlany oczywiście na routerze. Takowy ruch powinien odbywać się za pomocą routingu - dlatego szukam rozwiązania/błędu w konfiguracji.

ITMT · 30 Marzec 2022 05:19

Vlany na routerze RB5009. Nie posiadam switcha L3, a L2. RB5009 ma kilka portów więc w pierwszej kolejności trzeba na nim ogarnąć temat. Dalej jest wszystko przekazywane jednym kabelkiem do switcha. Vlany na bridge z wykorzystanie PVID.

ITMT · 30 Marzec 2022 07:57

Przesyłam konfigurację. Zależy mi, aby serwer serwer w vlan100 miał komunikację z vlan80 i vlan70.

model = RB5009UG+S+

/interface bridge
add arp=proxy-arp ingress-filtering=no name=Bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-TRUNK_SW2
set [ find default-name=ether3 ] name=ether3-MGMT/Raspberry
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] disabled=yes
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] name=ether7-SiecWew
set [ find default-name=ether8 ] name=ether8-MGMT
set [ find default-name=sfp-sfpplus1 ] name=sfp-sfpplus1-TRUNK_SW1
/interface vlan
add interface=Bridge name=vlan10-eFitness vlan-id=10
add interface=Bridge name=vlan20-DFE vlan-id=20
add interface=Bridge name=vlan30-vending/terminal vlan-id=30
add interface=Bridge name=vlan40-Kamery/Alarm vlan-id=40
add interface=Bridge name=vlan50-TV/MOOD vlan-id=50
add interface=Bridge name=vlan60-SPINING vlan-id=60
add interface=Bridge name=vlan70-WiFi/SiecWew vlan-id=70
add interface=Bridge name=vlan80-WiFi vlan-id=80
add interface=Bridge name=vlan100-MGMT vlan-id=100
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool1 ranges=10.0.1.210-10.0.1.230
add name=pool2 ranges=10.0.2.10-10.0.2.20
add name=pool3 ranges=10.0.3.10-10.0.3.20
add name=pool4 ranges=192.168.1.149-192.168.1.199
add name=pool5 ranges=10.0.5.10-10.0.5.20
add name=pool6 ranges=10.0.6.10-10.0.6.20
add name=pool7 ranges=10.0.7.100-10.0.7.200
add name=pool8 ranges=10.0.8.100-10.0.8.200
add name=pool9 ranges=10.0.10.10-10.0.10.20
/ip dhcp-server
add address-pool=pool1 interface=vlan10-eFitness name=dhcp1_eFitness
add address-pool=pool2 interface=vlan20-DFE name=dhcp2_DFE
add address-pool=pool3 interface=vlan30-vending/terminal name=
dhcp3_vending/terminal
add address-pool=pool4 interface=vlan40-Kamery/Alarm name=dhcp4_Kamery/Alarm
add address-pool=pool5 interface=vlan50-TV/MOOD name=dhcp5_TV/MOOD
add address-pool=pool6 interface=vlan60-SPINING name=dhcp6_SPINING
add address-pool=pool7 interface=vlan70-WiFi/SiecWew name=dhcp7_WiFi/SiecWew
add address-pool=pool8 interface=vlan80-WiFi name=dhcp8_WiFi
add address-pool=pool9 interface=vlan100-MGMT name=dhcp10_MGMT
/interface bridge port
add bridge=Bridge interface=ether2-TRUNK_SW2
add bridge=Bridge interface=ether3-MGMT/Raspberry pvid=100
add bridge=Bridge interface=ether4
add bridge=Bridge interface=ether5
add bridge=Bridge interface=ether6
add bridge=Bridge interface=ether7-SiecWew pvid=70
add bridge=Bridge interface=ether8-MGMT pvid=100
add bridge=Bridge interface=sfp-sfpplus1-TRUNK_SW1
/ipv6 settings
set disable-ipv6=yes
/interface bridge vlan
add bridge=Bridge tagged=Bridge,sfp-sfpplus1-TRUNK_SW1,ether2-TRUNK_SW2
vlan-ids=10
add bridge=Bridge tagged=Bridge,sfp-sfpplus1-TRUNK_SW1,ether2-TRUNK_SW2
vlan-ids=20
add bridge=Bridge tagged=Bridge,sfp-sfpplus1-TRUNK_SW1,ether2-TRUNK_SW2
vlan-ids=30
add bridge=Bridge tagged=Bridge,sfp-sfpplus1-TRUNK_SW1,ether2-TRUNK_SW2
vlan-ids=40
add bridge=Bridge tagged=Bridge,sfp-sfpplus1-TRUNK_SW1,ether2-TRUNK_SW2
vlan-ids=50
add bridge=Bridge tagged=Bridge,sfp-sfpplus1-TRUNK_SW1,ether2-TRUNK_SW2
vlan-ids=60
add bridge=Bridge tagged=Bridge,sfp-sfpplus1-TRUNK_SW1,ether2-TRUNK_SW2
untagged=ether7-SiecWew vlan-ids=70
add bridge=Bridge tagged=Bridge,sfp-sfpplus1-TRUNK_SW1,ether2-TRUNK_SW2
vlan-ids=80
add bridge=Bridge tagged=Bridge,sfp-sfpplus1-TRUNK_SW1,ether2-TRUNK_SW2
untagged=ether3-MGMT/Raspberry,ether8-MGMT vlan-ids=100
/interface list member
add interface=ether1-WAN list=WAN
add interface=Bridge list=LAN
/ip address
add address=192.168.100.1/24 interface=Bridge network=192.168.100.0
add address=10.0.1.1/24 interface=vlan10-eFitness network=10.0.1.0
add address=10.0.2.1/24 interface=vlan20-DFE network=10.0.2.0
add address=10.0.3.1/24 interface=vlan30-vending/terminal network=10.0.3.0
add address=192.168.1.1/24 interface=vlan40-Kamery/Alarm network=192.168.1.0
add address=10.0.5.1/24 interface=vlan50-TV/MOOD network=10.0.5.0
add address=10.0.6.1/24 interface=vlan60-SPINING network=10.0.6.0
add address=10.0.7.1/24 interface=vlan70-WiFi/SiecWew network=10.0.7.0
add address=10.0.8.1/24 interface=vlan80-WiFi network=10.0.8.0
add address=10.0.10.1/24 interface=vlan100-MGMT network=10.0.10.0
/ip dhcp-client
add interface=ether1-WAN
/ip dhcp-server network
add address=10.0.1.0/24 gateway=10.0.1.1 netmask=24
add address=10.0.2.0/24 gateway=10.0.2.1 netmask=24
add address=10.0.3.0/24 gateway=10.0.3.1 netmask=24
add address=10.0.5.0/24 gateway=10.0.5.1 netmask=24
add address=10.0.6.0/24 gateway=10.0.6.1 netmask=24
add address=10.0.7.0/24 gateway=10.0.7.1 netmask=24
add address=10.0.8.0/24 gateway=10.0.8.1 netmask=24
add address=10.0.10.0/24 gateway=10.0.10.1 netmask=24
add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24
/ip dns
set servers=1.1.1.1,8.8.8.8
/ip firewall filter
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input connection-state=invalid
add action=accept chain=input protocol=icmp
add action=accept chain=input in-interface=ether1-WAN protocol=ipsec-esp
add action=accept chain=input dst-port=500,1701,4500 in-interface=ether1-WAN
protocol=udp
add action=accept chain=input dst-port=3091 protocol=tcp
add action=accept chain=input dst-address=127.0.0.1
add action=drop chain=input in-interface-list=!LAN
add action=accept chain=forward ipsec-policy=in,ipsec
add action=accept chain=forward ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward connection-state=
established,related hw-offload=yes
add action=accept chain=forward connection-state=
established,related,untracked
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=
new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat comment=„Porty dla kamer …1.149”
dst-address=0.0.0.0 dst-port=9966 in-interface=ether1-WAN protocol=tcp
to-addresses=192.168.1.149 to-ports=9966
add action=dst-nat chain=dstnat dst-address=0.0.0.0 dst-port=9955
in-interface=ether1-WAN protocol=tcp to-addresses=192.168.1.149 to-ports=
9955
add action=dst-nat chain=dstnat dst-address=0.0.0.0 dst-port=9181
in-interface=ether1-WAN protocol=tcp to-addresses=192.168.1.149 to-ports=
9181
add action=dst-nat chain=dstnat comment=„Alarm …1.199” dst-address=0.0.0.0
dst-port=9888 in-interface=ether1-WAN protocol=tcp to-addresses=
192.168.1.199 to-ports=9888
add action=dst-nat chain=dstnat dst-address=0.0.0.0 dst-port=9787
in-interface=ether1-WAN protocol=tcp to-addresses=192.168.1.199 to-ports=
9787
add action=dst-nat chain=dstnat dst-address=0.0.0.0 dst-port=9989
in-interface=ether1-WAN protocol=tcp to-addresses=192.168.1.199 to-ports=
9989
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=3091
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Warsaw
/system identity
set name=R1
/system ntp client
set enabled=yes
/system ntp client servers
add address=194.146.251.100
add address=194.146.251.101
/system routerboard settings
set cpu-frequency=auto
/tool bandwidth-server
set enabled=no

ITMT · 30 Marzec 2022 11:01

Dziękuję wszystkim za pomoc. Temat uważam za zamknięty. Rozwiązania problemu nie jestem w stanie podać. Czynności jakie wykonałem to:

ponowna konfiguracja routera MikroTIK RB5009
reinstalacja systemu na raspberry pi + serwera DNS Cache
Dzięki temu ping lecą, co pozwoli mi na dodanie DNS w DHCP mikrotika i AdGurad ruszy

Szkoda tylko, że nie udało mi się znaleźć przyczyny. Jednakże czas naglił.

roobal · 30 Marzec 2022 23:06