"WAN switch" + LAN - vyřešeno

[pidapida]

Zdravím, mám asi hloupej dotaz, bohužel si s tím nějak neumím poradit, tak prosím o pomoc...Mikrotiky prakticky neznám, včera jsem ho začal poprvé konfigurovat a hned jsem narazil na "problém".

O co jde - mám mikrotik 750 a potřebuji nastavit jeden port na wan, 3 porty na LAN (dosud klasika) a pak ještě jeden port, který by měl být na stejné síti jako je wan - potřebuji tam pak připojit zařízení, které musí být na stejné síti jako je WAN.
Co jsem udělal:

- nastavil port1 jako WAN (192.168.77.129)
- nastavil port2 jako vnitřní LAN (třeba 192.168.10.0/24), zapnul jsem DHCP, porty 3 a 4 jsem k němu dal jako slave
- zapnul jsem nat - maškarádu - tohle vše zatím bez problémů(z LAN se dostanu na WAN, Internet funguje)

a teď problém:
- ten zbylý port bych potřeboval, aby byl na stejné síti jako je 1. port (WAN) - potřebuji tam zapojit zařízení, které bude mít IP 192.168.77.130 (tedy rozsah jako je WAN)

myslel jsem, že by to měl vyřešit bridge mezi 1. a 5. portem, bohužel i když zapnu bridge, tak z portu 5 nikam na WAN nepingnu (třeba na 192.168.77.1 atp.)...potřebuji prostě, aby WAN port a další fungovaly mezi sebou jako switch

Sice bych to mohl vyřešit dalším switchem před mikrotikem (WAN kabel do switche, ze switche jeden kabel do WAN mikrotiku a druhý do zařízení s IP ....77.130), ale to mně přijde takové neohrabané...

Můžete někdo poradit, jak to udělat? Jde to tím bridgem nebo se mám zaměřit na něco jiného? Já mám dokonce pocit, že už mně to tak snad už jednu chvíli fungovalo, ale už si tím ani nejsem jistej...Díky za každé nakopnutí .

[ludvik]

Ten bridge to opravdu řeší. Ale pak nepracuješ s ether1, ale s tím bridgem. Podle mě v tom máš problém. Bridge je softwarový switch ... i spanning tree na tom zapneš.

[pidapida]

Ten bridge to opravdu řeší. Ale pak nepracuješ s ether1, ale s tím bridgem. Podle mě v tom máš problém. Bridge je softwarový switch ... i spanning tree na tom zapneš.

To mě pak taky napadlo, ale nepodařilo se, něco dělám špatně...V každém případě díky, jestliže se to opravdu řeší bridgem, tak už se v tom nějak polovím, jen jsem chtěl vědět jestli nejsem ve slepé uličce. Díky.

[pidapida]

Ten bridge to opravdu řeší. Ale pak nepracuješ s ether1, ale s tím bridgem. Podle mě v tom máš problém. Bridge je softwarový switch ... i spanning tree na tom zapneš.

Tak už se mně to povedlo. Zresetoval jsem mikrotik a začal jsem nastavovat vše od začátku a už to maká jak má . Jak jsem se předtím snažil přenastavit stávající nastavení, tak jsem se do toho holt nějak zamotal, asi je vždycky jednodušší začínat "z čistýho".

Ještě jednou díky moc za pomoc

[RDan]

To by mě taky docela zajímalo v čem je zakopaný pes.
Vytvořil jsem si druhou bridge ale nekomunikuje to.
Vymazat celé nastavení se bojím, protože bych asi pak nezvládl nastavit vše jak se má. Hlavně ten firewall, tam vůbec netuším co a jak má být.

[CrazyApe]

Tak v tom pripade by bylo asi nejlepsi nechat to na nejakem odbornikovi. Treba na vasem ISP a zaplatit mu za to pulhodinovou(hodinovou sazbu). My tyto zakladni veci, naty, jednoduche fw a drobnosti delame zakaznikum bezne zdarma v ramci dobrých vztahu.

[RDan]

Vím jenže já to nechci jen jednou nastavit navždy abych nevěděl proč co a jak.
Pokud mi někdo poradí a já to sprovozením, tak už to budu vědět navždy budu moc na tom stavět v budoucnu.
A nedělám to pro sebe doma ale v práci a pokud bych měl s každou kravinou běžet k našemu isp tak propálím buhví kolik nafty. Nehledě na fakt že to s jejich internetem přímo nesouvisí.

Jak tak hledám po netu, tuším že to bude otázka pár kliknutí. Jen potřebuji nasměrovat.
Mám už druhou bridge, v ní potřebný lan port. A zřejmě asi musím změnit nějaká pravidla ve firevallu, protože ten to asi blokuje.
Také si nejsem jistej jestli tomu mám nastavovat nějakou ip a s tím související dhcp relay.

Výsledek by měl být že na WANu je lan boot a ten potřebuji na jeden LAN toho mikrotiku.

Kdyby existoval nějakej návod na RouterOS krok za krokem od lehkých věcí po těžké, rád se jím prokoušu.

Našel jsem na netu návody které vytváří podobné co chci ale dělají jen subnety 192.168.1.x a 192.168.2.x.

[ludvik]

Poznamenej si, jak se jmenuje port co je WAN.
Vytvoř bridge, do něj dej jak WAN, tak ten co potřebuješ mít na síti společně s wan.
Pak holt musíš projít naprosto všechno (ip adresy, firewall, queues, možná dhcp klienta a kdo ví co ještě) a kde se vyskytuje WAN, to přepsat na ten vytvořený bridge.

Musíš to dělat ze strany LAN, jinak si odřízneš přístup ...

Druhá možnost je využít switch čip. Pokud tomu LAN nastavíš master-port WAN, máš vyřešeno. Měnit nemusíš nic, protože veškerá konfigurace probíhá jménem WAN (a to už máš). Vytvoříš tím switch o dvou portech s jedním uplinkem do operačního systému, laicky řečeno.
Podmínkou je, že takovou konfiguraci ještě nemáš (v rámci čipu může být jen jeden master-port, alespoň u těch nižších řad. U vyšších teď z hlavy nevím). A také, že nemáš verzi 6.41 kde se to všechno celé měnilo a já ji ještě neznám (obecně - konfiguruješ jen bridge, na konfiguraci switche si to předělá sám).

---
Na tohle nejde dát jednoduchý návod. Způsobů konfigurace je mnoho. Prostě musíš vědět, co to umí a umět si to dát v hlavě do hromady - a umět to převést do konfigurace.

[RDan]

No WAN je ETH1. Problém je že nikde nelze do bridge nastavovat eth1. Resp pokud vlezu Bridge->Ports tak tam jsou všechny eth a wlany krom eth1.

A druhá varianta, vůbec jsem nanšel kde by se dal nastavovat master port.

Asi to bude tím že mám verzi 6.41.3.

[ludvik]

Máš dva bridge (jak jsi psal). V jednom jsou všechny porty kromě wan a toho tvého extra lan - který je v tom druhým. Chceš mi říct, že nelze do druhého bridge přidat wan? V tom případě jsem v koncích a doporučuji propálit tu naftu ...

Mimochodem: víš jak se radí, když není vidět konfigurace?

[RDan]

No on ani v tom originálním bridge není wan. Zřejmě tam je automaticky, vzhledem k tomu že to funguje.

Ona ta konfigurace lze nějak exportovat? Klidně jí sem seknu jestli to jde vypsat.

[ludvik]

Ano, exportovat lze příkazem export

Nějak se mi nezdá, že by něco bylo v bridgi automaticky. Ono ty porty musí jít nějak konfigurovat (např. kvůli spanning-tree).

[RDan]

Zde zasílám screen. Zde je jediné místo (jiné jsem nenašel) kde se dá měnit jednotlivím portům v jaké jsou bridge. U ether4 je vidět že je v jiné bridge kterou jsem si vytvořil. Ostatní jsou v "bridge" která tam je v základu, na které běží dhcp a tam vše běží jak má. Nicméně ether1 tam není.

[RDan]

Pokud otevřu soubor *.backup tak je v Notepadu++ nečitelný. A to i když jsem zaškrtnul aby nebyl šifrovaný. Jinej export neumím.

[RDan]

Super, našel jsem to

Kód: Vybrat vše

# mar/19/2018 08:39:47 by RouterOS 6.41.3
# software id = Y8TK-31P1
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 7C3008A66B01
/interface bridge
add admin-mac=CC:2D:E0:11:C1:21 auto-mac=no comment=defconf name=bridge
add fast-forward=no name=bridge-direct-ETH4
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20/40mhz-Ce \
    country="czech republic" disabled=no distance=indoors frequency=auto \
    mode=ap-bridge ssid=jukebox.zone wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-Ceee country="czech republic" distance=indoors frequency=auto \
    mode=ap-bridge ssid=MikroTik-11C125 wireless-protocol=802.11
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=\
    tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
    unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=******* \
    wpa2-pre-shared-key=*********
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=10.200.0.10-10.200.0.250
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf hw=no interface=wlan1
add bridge=bridge comment=defconf hw=no interface=wlan2
add bridge=bridge interface=ether3
add bridge=bridge-direct-ETH4 interface=ether4
add bridge=bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface list member
add interface=ether2 list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=wlan1 list=discover
add interface=wlan2 list=discover
add interface=bridge list=discover
add interface=bridge list=mactel
add interface=bridge list=mac-winbox
add interface=ether1 list=WAN
/ip address
add address=10.200.0.1/16 comment=defconf interface=ether2 network=10.200.0.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    ether1
/ip dhcp-server network
add address=10.200.0.0/16 comment=defconf gateway=10.200.0.1 netmask=16
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
add address=10.200.0.2 name=jukebox.zone
add address=10.200.0.2 name=www.jukebox.zone
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    out-interface=ether1
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/system clock
set time-zone-name=Europe/Prague
/system identity
set name=jukebox.zone
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox