vlan cisco vs. MK

[travel21]

Ahoj,
zkouším nastavovat vlany na SB Cisco SG300-52 v kombinaci s trunkportem do MK, který zároveň natuje do WAN.

Cíl: Nastavit vlany na CISCU tak aby se vzájemně neviděli ale aby přes TRUNK port mohly do WAN

HW = RB433

Configurace RB:
--------------------
ether1 = WAN
ether3 = local
vlan1 ID=101 ether3-local (address 10.10.10.1/24)
vlan2 ID=102 ether3-local (address 11.10.10.1/24)

Configurace CISCO
-----------------------
port 1 - vlan 1-default,101,102 taged (mode TRUNK) - Admit all
port 10 - vlan 101 untaged (mode General) - Admit only untaged
port 11 - vlan 101 untaged (mode General) - Admit only untaged
port 12 - vlan 102 untaged (mode General) - Admit only untaged
port 13 - vlan 102 untaged (mode General) - Admit only untaged

Jde mi o toto, celková funkce vlan je v pořádku pokud se jedná o komunikaci v ramci switche bez připojení k MK. Porty porty vlany 101 a 102 se nevidí.
Jenže co mě trochu překvapilo ale náhle docvaklo byl fakt, že když jsem TRUNKem propojil MK a SWITCH tak se vlany viděli. Což podrazilo princip funkce vlan.
Jakmile jsem odpojil MK už se zase PC v jednotlivích vlan na switchi neviděli. Nejdříve jsem nevěděl proč to tak je, jelikož se v tom ještě pořád plácám.

Pak mi ale došlo, že paket jde se 101 do MK a ten ho naroutuje na 102 a i ho tak označí tím pádem zprůhlední vlany (alespoň si myslím že to tak je)

Řešení:

Kód: Vybrat vše

chain=forward action=drop in-interface=vlan1 out-interface=vlan2

Od té chvíle to funguje jak má kromě toho, že mi nefunguje managment CISCA - to ale budu řešit později.
Prosím tedy o odpověď zda je toto řešení standardní, nějak se mi tomu nechce věřit.

Předem díky za odpověď

[losos]

velmi by ma to zaujimalo, podobny problem/situacia

[hapi]

hmm, nechápu co řešíte. To je jako kdyby jsi tam měl dva ethernet porty na MKčku, taky se routneš na druhej. Vadí to něčemu?

[travel21]

hmm, nechápu co řešíte. To je jako kdyby jsi tam měl dva ethernet porty na MKčku, taky se routneš na druhej. Vadí to něčemu?

Ano vadí, jelikož když chci aby na sebe klienti neviděli, a není to síť tvořená pouze switchem s vlan, tak mi MK princip vlan "podtrhne". Většinou je to tak, že za MK je např. v paneláku switch, který má vlany a ten odděluje klienty. Dokud se to ale nepřipojí k MK. Tohle přeci muselo řešit už tísíce lidí. Já jsem jen chtěl vědět, zda se to standardně řeší pravidlem ve firewallu. Třeba se to dělá i jinak. Ale rozhodně mi vadí mít switch s funkčními vlany, které se bez zásahu v MK stanou rázem nefunkčními. To tam pak mohu dát normální switch .

Pokud bylo mé řešení standardní, pak je vše v pořádku a já děkuji za pomoc.
Hezký den

[hapi]

seš trochu mimo ale jak chceš. Oni se přece vidí asi tak jako veřejní IP adresy v netu. Co je na tom špatnýho? Tohle ti například pomůže v přenosu ptp mezi klienty a teď nemyslim ptp downloadery i když tam taky ale třeba v prostém posílání souborů ve skype nebo icq či hamachi atd..

No ale jak chceš, použij si drop.

[travel21]

seš trochu mimo ale jak chceš. Oni se přece vidí asi tak jako veřejní IP adresy v netu. Co je na tom špatnýho? Tohle ti například pomůže v přenosu ptp mezi klienty a teď nemyslim ptp downloadery i když tam taky ale třeba v prostém posílání souborů ve skype nebo icq či hamachi atd..

No ale jak chceš, použij si drop.

Hapi ja ti rozumim ale jde o to k jakemu ucelu to pouzivas. Ja nepotrebuji priorizovat nebo ridit provoz na ptp za pomoci vlan. Ja chci pouze fyzicky oddelit klienty na urcitych portech switche. Ve firme napr. oddelit kancelar ekomickeho useku od pocitacu z vyroby atd. ale tak, aby mohly vsichni pouzivat internet. Znam dalsim 10 zpusobů jak to udelat ale vlan jsou nejpohodlnejsi. Myslim ze nejsem zase tak mimo. Tohle se bezne resi, ja se jen chtel zeptat jak a myslim ze kazdy z nas to vidi k jinemu ucelu. Nerozporuji, ze je v poradku, jak to MK routuje. Jen se mi to jaksi v tomto pripade nehodi do kramu.

[vantomas]

Vždyť je to routované až na L3, Mikrotik to rozhodně nepropojí na L2, pokud nejsou vlany v bridge. Ten samý problém by byl s Linuxovym PC routerem, s Linuxovou krabičkou, s Windows které budou routovat, tak mi přijde trošku nesmyslné tady obviňovat Mikrotik. Jestli nechci, aby byly počítače dostupné na L3, tak samozřejmě řešitelné přes firewall, jako v každé jakékoliv jiné krabičce, která by plnila stejnou úlohu.

[travel21]

Vždyť je to routované až na L3, Mikrotik to rozhodně nepropojí na L2, pokud nejsou vlany v bridge. Ten samý problém by byl s Linuxovym PC routerem, s Linuxovou krabičkou, s Windows které budou routovat, tak mi přijde trošku nesmyslné tady obviňovat Mikrotik. Jestli nechci, aby byly počítače dostupné na L3, tak samozřejmě řešitelné přes firewall, jako v každé jakékoliv jiné krabičce, která by plnila stejnou úlohu.

Díky tohle jsem právě chtěl slyšet, že je to standardní věc, když to budu řešit firewalem v MK. VLANy v bridgi nejsou. Taky chápu, že to není chyba ale vlastnost, kterou nelze zrušit,. Šlo mi jen o to, jestli není jiná inteligentnější cesta jak to udělat. Ten drop ve firewallu se mi prostě nějak nezdál jako jedinné řešení, jak to bloknout. Nemusí se to taky dropovat všechno. Je mi jasne, že tam můžu hodit DROP pouze na někeré porty (některých služeb), ostatní se může přes L3 klidně proroutovat.

Tímto považuji tento příspěvěk za uzavřený ...

[Radek.Kovacik]

Vzhledem k tomu, že jsem nedávno také řešil naprosto stejný problém s VLANy, chtěl bych se v souvislosti s tím zeptat:
Protože ten problém vznikl v routovací části Mikrotiku, nenapadlo mně nic lepšího, než mu to zase v routovací části zatrhnout. Proto jsem vytvořil několik pravidel, zakazujících provoz mezi VLANy, v části /ip route rule.

Kód: Vybrat vše

0   dst-address=192.168.2.0/24 interface=Bridge pro VLAN 1 action=unreachable
1   dst-address=192.168.3.0/24 interface=Bridge pro VLAN 1 action=unreachable
2   dst-address=192.168.1.0/24 interface=Bridge pro VLAN 2 action=unreachable
3   dst-address=192.168.3.0/24 interface=Bridge pro VLAN 2 action=unreachable
4   dst-address=192.168.1.0/24 interface=Bridge pro VLAN 3 action=unreachable
5   dst-address=192.168.2.0/24 interface=Bridge pro VLAN 3 action=unreachable


Myslíte, že je to špatně a že by ta pravidla měla být ve firewallu, jak již bylo zmíněno výše, nebo je to jedno? Já jsem vycházel z jednoduchého předpokladu, že firewall se používá mezi vnitřní a vnější sítí a ne mezi VLANy na jedné lokální síti.