VLAN между микротиками

Тема в разделе "Вопросы начинающих", создана пользователем Kowalsky, 20 ноя 2016.

  1. Kowalsky

    Kowalsky Новый участник

    Подскажите имеется точки wifi ubiquiti два микротика rb951 и сcr1036.
    Ubiquiti = vlan30
    rb951=vlan30 - bridge (dhcp настроена на vlan30). Ноутбуки получаю адреса.(без интернета)
    ccr1036 - используется для выхода в интернет.

    На сcr1036 подключил в ether4 rb951 на еther4 навесил vlan30. Также добавил правило NAT для выхода в интернет, но интернет так и не заработал видимо что то не до понимаю в vlan-ах.
    Подскажите что и как?
    настраивал по статье http://www.technotrade.com.ua/Articles/mikrotik_vlan_separation_2013-05-08.php
    но там нет перехода vlan c микротика на микротик.
     

    Вложения:

  2. Илья Князев

    Илья Князев Администратор Команда форума

    Вам достаточно было ether4 в тот же бридж опустить, на который навешен vlan
     
  3. Kowalsky

    Kowalsky Новый участник

    Добрый день Илья. Правильно ли я понял. На микротике ccr1036 создаю новый бридж к примеру bridge-wifi. Потом к этому бриджу добавляю ether4=bridge-wifi.
    Потом как я понимаю на ccr1036 создаю правила маскарадинга для ip из сети vlan30.
    Вот только меня один момент смущается на rb951 две сети одна по бриджу заворачивается в сеть компании другая по vlan идет как сеть для гостей. Соответственно на ccr1036 на ether4 если посмотреть то там сеть локальной компании.
    Этот момент второй сети которая стыкуется не будет мешать?
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    На RB951 создаете бридж. Пихаете туда интерфейс с AP и интефейс который на 1036. Создаете vlan30, который "вешаете" на бридж.
     
  5. Kowalsky

    Kowalsky Новый участник

    Извиняюсь за глупые вопросы но все таки хочется разобраться.
    На RB951 создал бридж и все интерфейсы в bridge. На bridge создал vlan30
    /interface bridge
    add name=bridge-local
    /interface ethernet
    set [ find default-name=ether2 ] master-port=ether1
    set [ find default-name=ether3 ] master-port=ether1
    set [ find default-name=ether4 ] master-port=ether1
    set [ find default-name=ether5 ] master-port=ether1
    /interface vlan
    add interface=bridge-local loop-protect-disable-time=0s \
    loop-protect-send-interval=0s name=vlan30 vlan-id=30
    /ip pool
    add name=dhcp_pool1 ranges=192.168.188.2-192.168.188.254
    /ip dhcp-server
    add address-pool=dhcp_pool1 disabled=no interface=vlan30 lease-time=1h name
    dhcp1
    /interface bridge port
    add bridge=bridge-local interface=ether1
    /ip address
    add address=192.168.188.1/24 interface=vlan30 network=192.168.188.0
    /ip dhcp-server network
    add address=192.168.188.0/24 dns-server=192.168.188.1,8.8.8.8 gateway=\
    192.168.188.1
    /ip dns
    set allow-remote-requests=yes
    /ip route rule
    add action=unreachable disabled=yes dst-address=192.168.188.0/24 src-addres
    192.168.1.0/23
    add action=unreachable disabled=yes dst-address=192.168.1.0/23 src-addres
    192.168.188.0/24
    /system routerboard settings
    set protected-routerboot=disabled

    На ccr подключил в ether4, добавил туда vlan30. И так и не заработал выход в интернет для пользователей vlan30.
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Пользователи DHCP получают?
     
  7. Kowalsky

    Kowalsky Новый участник

    Добрый день. Да получают. При чем пользователи локальной сети предприятия при подключении к сети local-wifi получают ip компании и интернет, но с local как я понял обычный мост там все работает.
    А вот с vlan c Guest-wifi пользователи получают dhcp, но без интернета.
     

    Вложения:

    • Сеть.pdf
      Размер файла:
      624 КБ
      Просмотров:
      10
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Так а кто роутит 30 vlan?
    Какой шлюз по умолчанию и DNS получают пользователи?
     
  9. Kowalsky

    Kowalsky Новый участник

    На rb951 на vlan30 dhcp = 192.168.188.1/24 соответсвенно шлюз пользователей 192.168.188.1 DNS 192.168.188.1 и 8.8.8.8
     
  10. Илья Князев

    Илья Князев Администратор Команда форума

    А CCR знает про сеть 192.168.188.0/24
     
  11. Kowalsky

    Kowalsky Новый участник

    Что знает CCR
    Если на vlan30 на ccr навесить получение dhpc client то получает адрес ip, и там же можно либо создавать маршрут автоматически либо добавить самому в route: там маршрут вида 192.168.188.0/24 gateway vlan30
    + на ccr в nat создавал правило masquarade srcnat src.adresses=192.168.188.0/24 что то там проходит по пакетам.
     
  12. Илья Князев

    Илья Князев Администратор Команда форума

    В общем давайте конфигурацию обоих.
    Команда /export
     
  13. Kowalsky

    Kowalsky Новый участник

    CCR

    /interface bridge
    add name=bridge-Inet
    add name=bridge-WAN2
    add name=bridge-wifi
    /interface ethernet
    set [ find default-name=ether5 ] arp=proxy-arp
    /ip neighbor discovery
    set ether1 discover=no
    set ether7 discover=no
    set ether8 discover=no
    set sfp-sfpplus1 discover=no
    set sfp-sfpplus2 discover=no
    set bridge-WAN2 discover=no
    /interface vlan
    add interface=ether4 name=vlan30 vlan-id=30


    /ip dhcp-server
    add address-pool=dhcp_pool1 disabled=no interface=bridge-Inet lease-time=1h name=dhcp1
    /ip dhcp-server network
    add address=10.10.10.0/24 dns-server=10.10.10.1 gateway=10.10.10.1

    /user group
    set read policy=local,read,test,winbox,web,sniff,!telnet,!ssh,!ftp,!reboot,!write,!policy,!password,!sensitive,!api,!romon,!dude
    /interface bridge port
    add bridge=bridge-WAN2 interface=ether7
    add bridge=bridge-WAN2 interface=ether8
    add bridge=bridge-Inet interface=ether2
    add bridge=bridge-Inet interface=ether3
    add bridge=bridge-wifi interface=vlan30

    /ip address
    add address=xxx.xxx.xxx.xxx/27 interface=ether1 network=xxx.xxx.xxx.xxx
    add address=xxx.xxx.xxx.xxx/27 interface=ether1 network=xxx.xxx.xxx.xxx
    add address=xxx.xxx.xxx.xxx/27 interface=ether1 network=xxx.xxx.xxx.xxx
    add address=xxx.xxx.xxx.xxx/27 interface=ether1 network=xxx.xxx.xxx.xxx
    add address=10.10.10.1/24 interface=bridge-Inet network=10.10.10.0
    /ip dhcp-client
    add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=ether5 use-peer-dns=no use-peer-ntp=no

    /ip dns
    set allow-remote-requests=yes servers=xxx.xxx.xxx.xxx,xxx.xxxx.xxxx.xxx
    /ip firewall filter
    add action=accept chain=input disabled=yes protocol=icmp
    add action=accept chain=input connection-state=new in-interface=ether1 port=1701,500,4500 protocol=udp
    add action=accept chain=input protocol=ipsec-esp
    add action=accept chain=input protocol=ipsec-ah
    add action=accept chain=input protocol=gre
    add action=accept chain=input dst-port=1723 protocol=tcp
    add action=accept chain=input connection-state=established,related
    add action=drop chain=input connection-state=invalid
    add action=drop chain=input dst-port=53 protocol=udp
    add action=drop chain=input in-interface=ether1
    add action=accept chain=forward connection-state=established
    add action=accept chain=forward connection-state=related
    add action=drop chain=forward connection-state=invalid protocol=tcp

    /ip firewall nat
    add action=src-nat chain=srcnat src-address=10.10.10.10 to-addresses=xxx.xxx.xxx.xxx выход в интернет с определенного ip
    add action=src-nat chain=srcnat src-address=192.168.188.0/24 to-addresses=xxx.xxx.xxx.xxx выход в интернет с vlan30 с определенного ip для Wifi-guest
    /ip route
    add distance=1 gateway=xxx.xxx.xxx.xxxx

    add distance=1 dst-address=192.168.188.0/24 gateway=vlan30 Маршрут для wifi-guest

    /system clock
    set time-zone-autodetect=no time-zone-name=Europe/Moscow
    /system routerboard settings
    set protected-routerboot=disabled
    /tool graphing interface
    add
    /tool mac-server
    set [ find default=yes ] disabled=yes
    add interface=ether5
    /tool mac-server mac-winbox
    set [ find default=yes ] disabled=yes
    add interface=ether4
    add interface=ether5
     
  14. Илья Князев

    Илья Князев Администратор Команда форума

    Ну хорошо. На L2 у вас VLAN есть. Но на нем даже адресов нету. Куда 951 должен маршрутизировать трафик?
     
  15. Kowalsky

    Kowalsky Новый участник

    951 должен маршрутизировать трафик vlan30 на ccr. То есть если я правильно понимаю 951 не знает о ссr. и весь трафик просто встает на 951.
     
  16. Илья Князев

    Илья Князев Администратор Команда форума

    Для того чтобы маршрутизировать трафик надо иметь шлюз.
     
  17. Macaroff

    Macaroff Участник

    Забавно, но проблема похожая и проблема тоже именно в точке доступа микротика( у меня даже маршрутизатор такой же :) ссr1036). Правда у меня вроде как все работает, но как то коряво. Автор то темы решил проблему или нет? Хотелось бы подсмотреть для себя решение
     
  18. Илья Князев

    Илья Князев Администратор Команда форума

    Заводите тему, выкладывайте конфиги...
     
  19. Macaroff

    Macaroff Участник

    А стоит ли плодить лишние темы? Проблемы то очень схожи, может лучше тут?
     
  20. Илья Князев

    Илья Князев Администратор Команда форума

    можно и тут .