Добрый день. Есть CRS125-24G-1S-RM больше нет нечего из железа в сети. Нужно разделить сеть. (192.168.1.0/24 и 192.168.2.0/24,192.168.3.0/24)Но (192.168.2.0/24,192.168.3.0/24)что бы не видели друг друга а видели только 192.168.1.0/24 . Это возможно без vlan-ов? Я так понял мне не поднять вланы. Если да ,то пните куда копать ?
Почему не поднять-то ? VLAN-ы на этом коммутаторе вполне себе поднимаются. https://wiki.mikrotik.com/wiki/Manual:CRS1xx/2xx_series_switches_examples#VLAN
Добрый день. Нет,поднять то я поднимаю но когда подключаю копьютеры то подключаются не как VLAN-ы а как простые порты.
Не понял проблемы. Я правильно понимаю, что вы хотите, чтобы компьютеры подключенный в порты 1-10 оказались в VLAN10, а подключенные в порты 11-20 в VLAN20 ?
Нет. Вам надо от этой конфигурации отталкиваться https://wiki.mikrotik.com/wiki/Manual:CRS1xx/2xx_series_switches_examples#VLAN Особенно вот на это обратите внимание Code: /interface vlan add name=vlan200 interface=ether2 vlan-id=200 add name=vlan300 interface=ether2 vlan-id=300 add name=vlan400 interface=ether2 vlan-id=400 /ip address add address=192.168.20.1/24 interface=vlan200 network=192.168.20.0 add address=192.168.30.1/24 interface=vlan300 network=192.168.30.0 add address=192.168.40.1/24 interface=vlan400 network=192.168.40.0 Здесь как раз VLAN-ы "вытаскиваются" на CPU, настраиваются IP-адреса. Далее вы вешаете на эти интерфейсы DHCP, NAT и все что вам надо. Ну и в файрволле работаете с цепочкой forward запрещая прохождения трафика с этих интерфейсов везде кроме LAN. Как пример. Chain=forward in-interface=vlan300 out-interface=!WAN Action=drop Ну или одним правилом всех, если не должны ходить друг к другу и все подсети в виде 192.168.х.х Chain=forward src-address=192.168.0.0/16 dst-address=192.168.0.0/16 Action=drop
Будет. Но медленно. 1. Мост обрабатывается CPU 2. Со свитч-чипа на процессор идет ОДИН гигабит. Т.е. быстрее не получится
Спасибо за ответ. Вот по этому примеру делал http://www.technotrade.com.ua/Articles/mikrotik_vlan_separation_2013-05-08.php Но у меня не заработал влан. Я так понял что нужно 802.1Q Если не сложно не могли бы описать(пример) с самого начало весь процесс . Можно в личьку. Спасибо Илья
802.1q нужен, когда вы хотите несколько VLAN передать через один порт. Это не ваш случай. Делайте строго по семплу с роутингом между VLAN
При добовление ip add address=192.168.20.1/24 interface=vlan200 network=192.168.20.0 пишет :input does not match any value of interface Все делал в точности как тут http://wiki.mikrotik.com/wiki/Manual:CRS_examples#InterVLAN_Routing
Добры день. а как теперь изолировать одну сеть от другой что бы одна сеть не видела другую а вторая видела ее?
У меня была подобная задача: сделать гостевой вай-фай. Я сделал для него отдельную сеть и т.д., а что бы гостевая сеть 192.168.30.0/24 не видела основную, я в filter rules прописал c action=reject
Output здесь не при чем. Это трафик который создает САМ маршрутизатор. Надо. /ip firewall filter Правило РАЗ chain=forward connection-state=established,related action=accept Правило ДВА (должно быть ниже по списку. Обратите внимание на ! перед WAN-интерфейсом (ставится флажок перед ним)) chain=forward in-interface=vlan200 out-interface=!wan connection-state=new Action=drop
Значит указываете интерфейс. Если у вас НА ОДНОМ интерфейсе 2 подсети, можете вместо in-interface указать src-address=x.x.x.x/yy
