VLAN a Unifi

[pass-w]

Dobrý den všem guru mágům.
Mám na vás moc velkou prosbu. Já si s tím už nevím rady, zkouším to dva týdny a nic. Nejim, nespim
Potřebuju rozběhnout na RB750 unifi přes vlan.
Moje představa:
port 1- wan (gateway)
port 2 - master
port 3-5 slave
na portu 2-5 by byla IP 192.168.88.1 a jel by na něm DHCP v nějakém rozsahu.
SW controler Unifi by byl na 192.168.88.2 a byl by na pc, který by byl na portu č.3.
Na portu 5, kde bude připojen 1ks unifi, bych chtěl VLAN id:100. Pro VLAN 100 by byl rozsah 192.168.90.1 a dhcp v nějakém rozsahu.
Na unfi by jely dvě ssid : wifi1 s 192.168.88.0 a wifi2(vlan 100, 192.168.90.0) pro hosty.
Nebyl by zde někdo tak hoooooodnýýý a nenapsal mi nebo nenastínil, jak mikrotika nastavit?

[pass-w]

Zatím to mám nastavené takto.
A stejně mi to nefunguje.

/interface bridge
add comment="Local Bridge" l2mtu=1598 name=bridge-local
add comment="Kids Bridge" name=bridge-kids
add comment="Guest Bridge" name=bridge-guest

/interface ethernet
set 0 name=ether1-gateway
set 1 name=ether2-local
set 2 name=ether3-local
set 3 name=ether4-local
set 4 name=ether5-trunk

/interface vlan
add interface=ether5-trunk l2mtu=1594 name=vlan-guest-ether5 vlan-id=100

/ip pool
add name=pool-local ranges=192.168.1.100-192.168.1.250
add name=pool-guest ranges=192.168.3.50-192.168.3.250

/ip dhcp-server
add address-pool=pool-local disabled=no interface=bridge-local name=local
add address-pool=pool-guest disabled=no interface=bridge-guest name=guest

/interface bridge port
add bridge=bridge-local interface=ether2-local
add bridge=bridge-local interface=ether5-trunk
add bridge=bridge-local interface=ether3-local
add bridge=bridge-local interface=ether4-local
add bridge=bridge-guest interface=vlan-guest-ether5

/ip address
add address=192.168.1.1/24 interface=ether2-local
add address=192.168.3.1/24 interface=vlan-guest-ether5

/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
add address=192.168.3.0/24 dns-server=192.168.3.1 gateway=192.168.3.1

/ip dns
set allow-remote-requests=yes

/ip firewall filter
add chain=input connection-state=established disabled=yes
add chain=input connection-state=related disabled=yes
add action=jump chain=input disabled=yes in-interface=bridge-kids \
jump-target=input-guest
add action=jump chain=input disabled=yes in-interface=bridge-guest \
jump-target=input-guest
add chain=input disabled=yes in-interface=bridge-local
add action=drop chain=input disabled=yes
add chain=forward disabled=yes out-interface=ether1-gateway
add action=drop chain=forward disabled=yes
add chain=input-guest disabled=yes dst-port=53 protocol=tcp
add chain=input-guest disabled=yes dst-port=53 protocol=udp
add chain=input-guest disabled=yes dst-port=67 protocol=udp
add chain=input-guest disabled=yes dst-port=68 protocol=udp

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-gateway

/ip neighbor discovery
set ether1-gateway disabled=yes
set ether3-local disabled=yes
set ether4-local disabled=yes
set vlan-guest-ether5 disabled=yes
set bridge-guest disabled=yes

[schrotterp]

Vždyť to máš úplně jinak nakonfigurované jak jsi původně psal.

[pass-w]

Jo to je moje poslední zkouška, která také nezabrala.
Zkusil jsem to udělat místo na switch tak dát porty do bridge.
Přes unifi se spojím na wifi s vlan 100, ale nedostanu od DHCP ip adresu. A pokud se
na ntb kde se k wifi připojuju podívám na wifi kartu, tak není žádný příjem, jen odesílání.
Díky.

[pass-w]

Opravdu se tady nenajde nějaká dobrá duše aby poradila?

[ludvik]

Pokud tu konfiguraci zrušíš (kdo se v tom má orientovat ...) a necháš si eth2-5 jako switch (masterem bude ether2, na něm konfiguruješ IP, DHCP, ...), tak to bude fungovat v tom stavu, že controller uvidí a dokáže nakonfigurovat unifi.
V takovém stavu pojede to SSID, které bude untagged a bude ve stejné síti s controllerem.

No a pokud na ether2 přidáš VLAN s ID=100 tak máš další rozhraní, kde si můžeš konfigurovat IP, DHCP, cokoliv chceš ... je to pro tebe další ethernet. A bude to komunikovat se stejnou VLAN na unifi.

Na konfiguraci VLAN na switchi v tento okamžik nesaháš, nemáš potřebu. Tedy vlan mode = fallback, vlan header = leave as is.

[pass-w]

OK, chápu. Dám port 2-5 jako switch. Portu 2 dám např. IP 192.168.1.1/24. Spustím si na něm DHCP. Unifi zapojím do portu 5, controler bude na pc v portu 4. Vše funguje. Wifi taky. Ale když vytvořím např. na portu 5 vlan-100, dám mu IP 192.168.2.1/24, spustím si na něm DHCP, v unifi vytvořím SSID s vlan-100, tak se k wifi připojím, ale nedostanu od DHCP ip a když se podívám na trafic na wlan kartě, tak na přijato je 0. Tedy nepřijímá. Ve firewallu na mikrotiku zatím nic nastaveno nemám. Tedy žádné restrikce.

[ludvik]

Nepochopil. Co říkám o ether5?

[pass-w]

To znamena, ze nemohu udelat vlan na slave portu, ale jen na master portu?

[ludvik]

Z hlediska operačního systému ty slave porty vlastně nevidíš. Nemáš žádný ether5. Máš jen ether2. Představ si to, že jsi na ether2 zapojil fyzický switch ... také bys neviděl jeho porty. To, že to ROS ukazuje (dovolí na tom nastavit i jiné věci, než fyzické parametry portu) je spíš chyba ...

[Majklik]

To znamena, ze nemohu udelat vlan na slave portu, ale jen na master portu?

Ano, když používáš masterport, tak z pohleud routeru věe konfiguruješ jen na tom master portu, takže pomocí /interface vlan to dáš na ten ether2. A pak musíš nastavit ten switch chip, který realizuje funkci fyzického Ethernet switche, že má tu VLAN doručit na ten fyzický ether5 port (přes /interface ethernet switch vlan).

[ludvik]

V tomto případě jsem si dost jistý, že nemusí.

pomocí /interface vlan to dáš na ten ether2. A pak musíš nastavit ten switch chip, který realizuje funkci fyzického Ethernet switche, že má tu VLAN doručit na ten fyzický ether5 port (přes /interface ethernet switch vlan).

[pass-w]

Díky.
A chápu to dobře, že na mater portu vytvořím vlan-100 a můžu si dát, že vlan-100 bude dostupný na portu 4 a 5? Tedy že můžu dát jedno unifi do portu 4 a druhý unifi do portu 5 a na obou mi pojede vlan-100? A to se udělá v nastavení switch? A jakým způsobem.

Děkuji za trpělivost.

[ludvik]

Zkus to a pak se ptej.

[Majklik]

V tomto případě jsem si dost jistý, že nemusí.

pomocí /interface vlan to dáš na ten ether2. A pak musíš nastavit ten switch chip, který realizuje funkci fyzického Ethernet switche, že má tu VLAN doručit na ten fyzický ether5 port (přes /interface ethernet switch vlan).

Ano, pokud je default nastavení switch chipu a nerozjebe na portech vlan-header=leave-as-is vlan-mode=disabled|fallback, tak to pojede také, jen se mu ta VLAN100 bude motat do všech portů.