classic.ISPforum.cz

Můžete se prosím někdo podívat na tuto jednoduchou konfiguraci VLAN na bridge? Se zapnutým filtrováním mi DHCP server nedá na portu 3 nebo 4 IP adresu a ani se z těchto portů do routeru nedostanu. Abych mohl udělat jakýkoli zásah do konfigurace, musím to zapojit do portu, který není v tom bridgi. Při konfiguraci jsem postupoval podle návodu na wiki, ale nerozumím tomu, proč to nefunguje. Níže uvedená konfigurace mi vyběhne po příkazu export (na začátku byl proveden reset konfigurace) a na vestavěném switchi jsem nic nenestavoval, přesto je v konfigu uvedený, což taky nevím, proč se to takto děje.
Mám tam něco špatně? Několikrát jsem to kontroloval a pořád jsem nic neobjevil.

Pokud chceš mít tu VLAN i v rámci operačního systému, musíš ji poslat do CPU (zde: /interface bridge vlan).

Přesně jak říká kolega nade mnou. Musíte ještě poslat vlan30 do samotného ROS/CPU. Zkuste přidat toto:

A měl by vám konečně vylézt trafic VLANy 30 z interface vlan30. use-ip-firewall use-ip-firewall-for-pppoe nepotřebujete mít aktivní.

Velké díky, teď už to jede. To jsem nevěděl, že do VLAN tabulky musím zadat kromě portů i samotný most.
Mimochodem, má nějaký význam to PVID v nastavení toho mostu? Někde jsem četl, že to jde použít stejně, jako klasický port a tím ušetřit jeden záznam ve VLAN tabulce při stejné funkčnosti, ale bylo by to asi trochu nelogické na pochopení.

5nik píše:use-ip-firewall use-ip-firewall-for-pppoe nepotřebujete mít aktivní.se-ip-firewall use-ip-firewall-for-pppoe nepotřebujete mít aktivní.

Toto byla jen zjednodušená konfigurace, abych zjistil, proč ty VLANy nechodí, jinak to bude sloužit jako hlavní router včetně vytáčení PPPoE a tam předpokládám, že toto asi potřeba bude, nebo ne?

Pokud nepotřebujete s vlanou v rámci routeru nijak pracovat (provoz dané vlany pouze prochází skrze switch), pak tam samotný interface bridge být uvedený nemusí.
PVID u bridge interface říká, do jaké VLANy spadne provoz poslaný do samotného interface bridge z ROS.
Volba use-ip-firewall říká, že jsou filtrované firewallem i pakety, které jdou pouze skrze switch a normálně by filtrované v /ip firewall nebyly.
Volba use-ip-firewall-for-pppoe zapíná filtrování i pro pakety v rámci pppoe. Pokud ale budete pppoe vytáčet z routeru, tyto volby vůbec nepotřebujete.

Takže ta volba use-ip-firewall-for-pppoe není při PPPoE vytáčeném z routeru nutná? To by se týkalo zase jenom provozu přes switch, potažmo přes porty, kterou jsou součástí toho bridge? Takže jestli jsem to pochopil správně, tu volbu bych musel povolit např. v situaci, že by mi šel zapouzdřený PPPoE přes daný bridge třeba do jinýho Mikrotiku a potřeboval bych to nějakým způsobem odfiltrovat nebo označit provoz v mangle?

use-ip-firewall-for-pppoe ti interně rozbalí pppoe tunel pro použití nějakého bridge firewallu a zase zpět zabalí, pokud to nezaškrtneš, nemůžeš aplikovat pravidla pro provoz uvnitř pppoe
ale pozor je tam jistý bug pro MTU ve verzi 6 (verzi 7 jsem nezkoušel), doporučuji si po aktivaci pppoe firewallu udělat test pingu bez fragmentace jestli projde správně, v některých případech se to pokazí....

Radek.Kovacik píše:Takže ta volba use-ip-firewall-for-pppoe není při PPPoE vytáčeném z routeru nutná? To by se týkalo zase jenom provozu přes switch, potažmo přes porty, kterou jsou součástí toho bridge? Takže jestli jsem to pochopil správně, tu volbu bych musel povolit např. v situaci, že by mi šel zapouzdřený PPPoE přes daný bridge třeba do jinýho Mikrotiku a potřeboval bych to nějakým způsobem odfiltrovat nebo označit provoz v mangle?

Je to přesně jak píšete.

Díky za objasnění. I když mám Mikrotik doma už tolik let, stále o tom hodně věcí nevím a nové průběžně objevuji.