oddělení LAN klientů na RB750 (VLAN)

[marvalik007]

Zdravím, potřeboval bych poradit. Mám Mikrotik RB750 a potřebuji jej nakonfigurovat tak, aby ether1 byl pro WAN (to mám....jednoduché), ale na ether2-ether5 chci na každém DHCP server (to mám), ale co mi nejde je nastavit RB750 tak, aby se klienti (PC) zapojení do ether2-ether5 mezi sebou neviděli (předpokládám VLAN). Už 14 dní pátrám po netu, zkoušel jsem různé conf. Ale neúspěšně. Nejdál jsem se dostal do stavu kdy jsem měl VLAN2-5 na WANu, a nabridgované na ether2-5, ale když jsem chtěl na switch přidat rule aby RB750 tagoval pakety přicházející na ether2-5 VLAN ID 2-5, tak vyskočí v ENG něco jeko "nelze přidat pravidlo pro tento switch"......máte někdo zkušenost jak nastavit RB750 témto způsobem (tedy oddělení klienti s přístupem na WAN)? Předem děkuji za jakékoliv rady.

[hates]

Toto bych asi resil na switchi a ne na mikrotiku. na switchi bych dal na kazdy port specialni VLANu a port, ktery by sel do mikrotiku napriklad ether2 by byl trunkovy a propoustel by vsechny VLANy. klienti, kteri budou ve switchi uvidi bezproblemu na mikrotik jejich brana ale neuvidi se mezi sebou.

[hapi]

blbost. To co píšeš ti oddělí lidi ale budou se dělit o jeden DHCP server.

Proč bridguješ ether2-5 když je chceš mít oddělené? Proč bridguješ ether2-5 když každej port má svojů dhcp server. Proč prostě nenasaviš na každej iface (ether2-5) jeden subnet a hotovo? Nějak nechápu smysl používat vlany když tam máš RB750 tedy router.

[marvalik007]

2hates: doufal jsem že RB750 to zvládne same, nerad bych přikupoval další HW

[marvalik007]

2hapi: asi jsem se špatně vyjádřil. Bridge byli ether2-VLAN2, ether3-VLAN3, atp. DHPCka byli taky každý zvlášť na každý bridge. Ono to v principu chodilo, každý kdo se zapojil do ether portu doslat IP ze svého DHCPka, ale i když měli rozdílné subnety, tak na sebe klienti viděli (jak jsem uvedl v 1. příspěvku rule na přidávání VLAN ID se mi nepodařilo nastavit). Neříkám že je to nejlepší možný způsob jak "to" nastavit, ale toť můj problém, se kterým potřebuji pomoci: Mám RB750 a potřebuji oddělit klienty, aby na sebe neviděli - doufal jsem že VLAN to vyřeší. Dokážeš mi poradit s konfigurací RB750 tímto způsobem?

[hapi]

no, tak už vůbec nechápu proč tam strkáš vlany. Když přece na každej port nasadim jinej subnet tak se klienti na přímo neuvidí pokud nebudeš bridgovat. Uviději se pouze přes router ale na to už museji vědět jak a i kdyby tak dám drop ve filtru takže na sebe nemůžou už vůbec. Bridgovat ether2 a vlan2 na jednom iface se ti vymstí. Kdyby jsi tam měl switch na tom portu tak o občas pujde a občas ne. Zaděláš si na průser, je to ověřeným ten switch se z toho logicky zblázní.

Napiš co chceš aby to dělalo a ne jak si myslíš že to nastavit. Myslim si že jdeš na komára s bazukou.

[pfadmin]

Včera jsem udělal shodou okolností vlan a ether na stejném fyzickém portu, a dal je do bridge ve snaze po výměně mikrotika za jiný nemuset na místě nic překonfigurovávat (411 s 1 kartou a 1 spojem za 433 s 2 kartami a 2 spoji), a bohužel, po chvilce půlka paketů vypadne a timeout, a nejede to, switch za tím nemám, jen 411 napřímo a přes wds rádio routující 433 za rádiem. Takže je to tak a bude se muset na kopci vyndavat notebook. Nedošlo k zakruhování, ale prostě to dělalo bordel.

[hapi]

ono je to logický, vem si že ti na ethernet přišel paket s zdrojovou/cílovou mac. Ten bridge to veme jako každej jinej paket a pošle zpět na vlan na stejnej iface se stejnou zdrojovou/cílovou mac a teď o přijde zpátky na to zařízení který to poslalo a vidí že přišel ten samej paket s zdrojovou/cílovou mac a je průser. Přepíše mac tabulky a za chvilku přijde zase paket jiný strany ale mackovky jsou zase opačně a td... a průser. je jedno jestli tam je switche nebo WDS spoj protože obojí je aktivní prvek kterej to nepobere. Bude se to chovat skoro jako když propojíš dva portu na switchy.

[marvalik007]

2hapi: na tvůj dotaz co chci: Mám RB750 a potřebuju aby se klienti nastrkaní do různých ether vzájemě neviděli ale měli přístup na WAN (ether1) samozřejmě bez ohledu na to, zda použijí DHCP nebo vlastní stat. adresu.

[hapi]

no, a potřebuješ rozlišovat někde dál o koho jde? Myslim tim aby bylo jednoznačně poznat že jde z ether2 nebo z ether3

[marvalik007]

nepotřebuji. zařízení bude využíváno od více zákazníků v jednom objektu. Takže akorát musím max. znemožnit aby si mohli vlézt do LANek.

[hapi]

hmm, zajímavý že někdo nechce rozlišovat od koho datový toky jsou a podle čeho shapovat. Nicméně aby jsi mohl lidem poskytnout DHCP server tak bych ti doporučil ether2-5 hodit do bridge, zapnout firewall na bridge a napsat tam pravidla aby komunikace z ether2 na ether3 byla dropnutá atd... Tim se uvidí pouze s ether1. Nicméně sis měl koupit RB250GS která sice neumí DHCP ale port tag umí. Nastavovat switch na RB750 je docela vo nervy a manuál k tomu pořádnej neni.

[marvalik007]

no on to nebyl můj nápad. půdodně jsem koupil od jedné nejmenované firmy low-end zařízení , které mělo přesně tohle umět (VLANy) dle jejich dokumentace. po týdnu zkoušené se ukázalo že tomu tak není. takže jsem jej vyreklamoval a oni mi poslali RB750 že s tím udělám to co potřebuju......po 14-ti dnech hledání na netu a zkoušení různých conf., nula od nuly pošla.....další krabice která nedělá co chci

[pejsek]

nepotřebuji. zařízení bude využíváno od více zákazníků v jednom objektu. Takže akorát musím max. znemožnit aby si mohli vlézt do LANek.

každý port 2 - 5 vlastní DHCPserver
Firewal: Filter Rules, forward, :
1) ether2, ether1 - accept
2) ether3, ether1 - accept
3) ether4, ether1 - accept
4) ether5, ether1 - accept
5) ether1, ether2 - accept
6) ether1, ether3 - accept
7) ether1, ether4 - accept
8) ether1, ether5 - accept
9) drop

A je to

[marvalik007]

2pejsek: zkusím - na VLANu netrvám. Děkuji.