Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Bridge VLAN filtering

Návody a problémy s konfigurací.
Radek.Kovacik
Příspěvky: 162
Registrován: 11 years ago

Bridge VLAN filtering

Příspěvekod Radek.Kovacik » 4 years ago

Můžete se prosím někdo podívat na tuto jednoduchou konfiguraci VLAN na bridge? Se zapnutým filtrováním mi DHCP server nedá na portu 3 nebo 4 IP adresu a ani se z těchto portů do routeru nedostanu. Abych mohl udělat jakýkoli zásah do konfigurace, musím to zapojit do portu, který není v tom bridgi. Při konfiguraci jsem postupoval podle návodu na wiki, ale nerozumím tomu, proč to nefunguje. Níže uvedená konfigurace mi vyběhne po příkazu export (na začátku byl proveden reset konfigurace) a na vestavěném switchi jsem nic nenestavoval, přesto je v konfigu uvedený, což taky nevím, proč se to takto děje.
Mám tam něco špatně? Několikrát jsem to kontroloval a pořád jsem nic neobjevil.


Kód: Vybrat vše

# RouterOS 6.46.1
# model = RB4011iGS+
/interface bridge
add name=bridge1 protocol-mode=none vlan-filtering=yes
/interface vlan
add interface=bridge1 name=vlan30 vlan-id=30
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=10.0.3.1-10.0.3.40
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=vlan30 name=dhcp1
/interface bridge port
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=ether1
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=ether2
add bridge=bridge1 interface=ether3 pvid=30
add bridge=bridge1 interface=ether4 pvid=30
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-pppoe=yes
/interface bridge vlan
add bridge=bridge1 tagged=ether1,ether2 untagged=ether3,ether4 vlan-ids=30
/ip address
add address=10.0.3.200/24 interface=vlan30 network=10.0.3.0
/ip dhcp-server network
add address=10.0.3.0/24 gateway=10.0.3.200 netmask=24
0 x

ludvik
Příspěvky: 4448
Registrován: 12 years ago

Příspěvekod ludvik » 4 years ago

Pokud chceš mít tu VLAN i v rámci operačního systému, musíš ji poslat do CPU (zde: /interface bridge vlan).
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.

5nik
Příspěvky: 7
Registrován: 4 years ago

Příspěvekod 5nik » 4 years ago

Přesně jak říká kolega nade mnou. Musíte ještě poslat vlan30 do samotného ROS/CPU. Zkuste přidat toto:

Kód: Vybrat vše

/interface bridge vlan add bridge=bridge1 tagged=bridge1 vlan-ids=30

A měl by vám konečně vylézt trafic VLANy 30 z interface vlan30. use-ip-firewall use-ip-firewall-for-pppoe nepotřebujete mít aktivní.
1 x

Radek.Kovacik
Příspěvky: 162
Registrován: 11 years ago

Příspěvekod Radek.Kovacik » 4 years ago

Velké díky, teď už to jede. To jsem nevěděl, že do VLAN tabulky musím zadat kromě portů i samotný most.
Mimochodem, má nějaký význam to PVID v nastavení toho mostu? Někde jsem četl, že to jde použít stejně, jako klasický port a tím ušetřit jeden záznam ve VLAN tabulce při stejné funkčnosti, ale bylo by to asi trochu nelogické na pochopení.
5nik píše:use-ip-firewall use-ip-firewall-for-pppoe nepotřebujete mít aktivní.se-ip-firewall use-ip-firewall-for-pppoe nepotřebujete mít aktivní.

Toto byla jen zjednodušená konfigurace, abych zjistil, proč ty VLANy nechodí, jinak to bude sloužit jako hlavní router včetně vytáčení PPPoE a tam předpokládám, že toto asi potřeba bude, nebo ne?
0 x

5nik
Příspěvky: 7
Registrován: 4 years ago

Příspěvekod 5nik » 4 years ago

Pokud nepotřebujete s vlanou v rámci routeru nijak pracovat (provoz dané vlany pouze prochází skrze switch), pak tam samotný interface bridge být uvedený nemusí.
PVID u bridge interface říká, do jaké VLANy spadne provoz poslaný do samotného interface bridge z ROS.
Volba use-ip-firewall říká, že jsou filtrované firewallem i pakety, které jdou pouze skrze switch a normálně by filtrované v /ip firewall nebyly.
Volba use-ip-firewall-for-pppoe zapíná filtrování i pro pakety v rámci pppoe. Pokud ale budete pppoe vytáčet z routeru, tyto volby vůbec nepotřebujete.
0 x

Radek.Kovacik
Příspěvky: 162
Registrován: 11 years ago

Příspěvekod Radek.Kovacik » 4 years ago

Takže ta volba use-ip-firewall-for-pppoe není při PPPoE vytáčeném z routeru nutná? To by se týkalo zase jenom provozu přes switch, potažmo přes porty, kterou jsou součástí toho bridge? Takže jestli jsem to pochopil správně, tu volbu bych musel povolit např. v situaci, že by mi šel zapouzdřený PPPoE přes daný bridge třeba do jinýho Mikrotiku a potřeboval bych to nějakým způsobem odfiltrovat nebo označit provoz v mangle?
0 x

Uživatelský avatar
okoun
Příspěvky: 6980
Registrován: 15 years ago
antispam: Ano
Bydliště: Mordor

Příspěvekod okoun » 4 years ago

use-ip-firewall-for-pppoe ti interně rozbalí pppoe tunel pro použití nějakého bridge firewallu a zase zpět zabalí, pokud to nezaškrtneš, nemůžeš aplikovat pravidla pro provoz uvnitř pppoe
ale pozor je tam jistý bug pro MTU ve verzi 6 (verzi 7 jsem nezkoušel), doporučuji si po aktivaci pppoe firewallu udělat test pingu bez fragmentace jestli projde správně, v některých případech se to pokazí....
1 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...

5nik
Příspěvky: 7
Registrován: 4 years ago

Příspěvekod 5nik » 4 years ago

Radek.Kovacik píše:Takže ta volba use-ip-firewall-for-pppoe není při PPPoE vytáčeném z routeru nutná? To by se týkalo zase jenom provozu přes switch, potažmo přes porty, kterou jsou součástí toho bridge? Takže jestli jsem to pochopil správně, tu volbu bych musel povolit např. v situaci, že by mi šel zapouzdřený PPPoE přes daný bridge třeba do jinýho Mikrotiku a potřeboval bych to nějakým způsobem odfiltrovat nebo označit provoz v mangle?

Je to přesně jak píšete.
0 x

Radek.Kovacik
Příspěvky: 162
Registrován: 11 years ago

Příspěvekod Radek.Kovacik » 4 years ago

Díky za objasnění. I když mám Mikrotik doma už tolik let, stále o tom hodně věcí nevím a nové průběžně objevuji.
0 x