Zdravím,
poskytovatel mi kvůli IPTV spustil na WAN tagovovaný VLAN, který jsem nastavil v interfaces, zároveň nastavil bridge, problém je jakmile aktivuju VLAN, tak přestane fungovat internet.
Problém je, že v routovací tabulce to při aktivací VLANu primarně přestane z nějakého důvodu routovat přes bránu, resp. přes WAN rozhraní, ale přes bridge-local.
Lze nějak striktně nastavit routování přes eth1 i při aktivovaném VLANu, nebo jdu na to celkově špatně?
Díky.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Konfigurace VLAN
Jdeš na to nejspíš špatně. Co to je za bridge?
VLAN je prostě další síťové rozhraní, další síťová karta. Tak na to koukej.
Nelze to mít ve stejném bridge, jako je nadřízená EtherX (no možná jo ... ale smysl to rozhodně nemá). A co je horší - pokud je v bridge VLAN, tak její Ether už být nemůže v žádném bridge.
VLAN je prostě další síťové rozhraní, další síťová karta. Tak na to koukej.
Nelze to mít ve stejném bridge, jako je nadřízená EtherX (no možná jo ... ale smysl to rozhodně nemá). A co je horší - pokud je v bridge VLAN, tak její Ether už být nemůže v žádném bridge.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Mám normálně přiřazený VLAN na interface pod eth-WAN
VLAN strčený do bridge local, aby to jelo všude:
Takto je routovací tabulka bez aktivace VLAN:
Takto po aktivaci VLAN:
Problém tedy je, že se tam nacpe, ten bridge-local a neroutuje to přes WANku, chová se to takto i bez bridge, prostě při aktivaci VLAN to stále routuje přes tu VLAN.
G.
VLAN strčený do bridge local, aby to jelo všude:
Kód: Vybrat vše
[admin@MikroTik] > /interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic
# INTERFACE BRIDGE PRIORITY PATH-COST HORIZON
0 ether2-master-local bridge-local 0x80 10 none
1 wlan1 bridge-local 0x80 10 none
2 I vlan.501 bridge-local 0x80 10 noneTakto je routovací tabulka bez aktivace VLAN:
Kód: Vybrat vše
[admin@MikroTik] /ip route> print detail
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
0 A S dst-address=0.0.0.0/0 gateway=213.55.133.1
gateway-status=213.55.133.1 reachable via ether1-gateway distance=1 scope=30
target-scope=10
1 ADC dst-address=192.168.88.0/24 pref-src=192.168.88.1 gateway=bridge-local
gateway-status=bridge-local reachable distance=0 scope=10
2 ADC dst-address=213.55.133.0/24 pref-src=213.55.133.51 gateway=ether1-gateway
gateway-status=ether1-gateway reachable distance=0 scope=10
Takto po aktivaci VLAN:
Kód: Vybrat vše
[admin@MikroTik] /ip route> print detail
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
0 A S dst-address=0.0.0.0/0 gateway=213.55.133.1
gateway-status=213.55.133.1 reachable via bridge-local distance=1 scope=30
target-scope=10
1 ADC dst-address=192.168.88.0/24 pref-src=192.168.88.1 gateway=bridge-local
gateway-status=bridge-local reachable distance=0 scope=10
2 ADC dst-address=213.55.133.0/24 pref-src=213.55.133.51 gateway=ether1-gateway,bridge-local
gateway-status=ether1-gateway reachable,bridge-local reachable distance=0 scope=10Problém tedy je, že se tam nacpe, ten bridge-local a neroutuje to přes WANku, chová se to takto i bez bridge, prostě při aktivaci VLAN to stále routuje přes tu VLAN.
G.
0 x
Tam budeš mít špatně ještě něco. Nejspíš i logiku. Jaký má mít důvod stejný IP segment na WAN i VLAN? Tohle bys asi spíš měl řešit s tím poskytovatelem.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
O to mi právě jde 
Jde o to, že mi poskytovatel spustil na port na WAN port, VLAN, kde běží multicasty,... když tu VLANu aktivuju spustím jakýkoliv TV stream, tak to funguje (TV běží) jen si v tu chíli) odpálím NET, pže Mikrotik routuje přes jiný port. A to chci zjistit v čem je zakopaný pes...
Ideální stav, běžící VLANa, multicasty spustit kdekoliv/kdykoliv v síti + internet nezávisle
Jde o to, že mi poskytovatel spustil na port na WAN port, VLAN, kde běží multicasty,... když tu VLANu aktivuju spustím jakýkoliv TV stream, tak to funguje (TV běží) jen si v tu chíli) odpálím NET, pže Mikrotik routuje přes jiný port. A to chci zjistit v čem je zakopaný pes...Ideální stav, běžící VLANa, multicasty spustit kdekoliv/kdykoliv v síti + internet nezávisle
0 x
no tak zruš z té VLAN 213.55.133.0/24
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Tady vidím něco jiného. Sice na bridge ... ale je to Connected route, tedy ta co je na rozhraní nastavená.
Něco ti tu default route (i tuhle) prostě nastavit musí. Buď nějaký routovací protokol (OSPF, BGP, ...) o kterém bych si tipnul, že nemáš. Nebo takto jako connected.
Když VLAN z bridge vyhodíš, tak se vsadím, že se tady objeví "vlan.501 reachable".
Na bridge koukej jako na normální switch. Dost to pomůže ...
Něco ti tu default route (i tuhle) prostě nastavit musí. Buď nějaký routovací protokol (OSPF, BGP, ...) o kterém bych si tipnul, že nemáš. Nebo takto jako connected.
Kód: Vybrat vše
2 ADC dst-address=213.55.133.0/24 pref-src=213.55.133.51 gateway=ether1-gateway,bridge-local
gateway-status=ether1-gateway reachable,bridge-local reachable distance=0 scope=10Když VLAN z bridge vyhodíš, tak se vsadím, že se tady objeví "vlan.501 reachable".
Na bridge koukej jako na normální switch. Dost to pomůže ...
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Ano, když vypnu bridge, tak "vlan.501 reachable", ale jakým způsobem tam natvrdo routovat přes tu bránu, resp. eth? Tedy jak říkáš vyhodit tu routu? Nikde tam nic nevidím a to co říkáš nepoužívám.
0 x
Pokud má ta VLAN dělat jen multicast, tak její zařazení do bridge je asi správná cesta (já s tím ale nikdy nelaboroval, tak vím skoro kulové o multicastu). Pak nenastavuješ opravdu nic dalšího, multicast je rovnou do stanice. Jakákoliv IP je prostě zbytečná.
Co řekne /ip address print?
Co řekne /ip address print?
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Výborně @ludvik Díky za nakopnutí. Přebytečná adresa smazána: TV hraje, zároveň Ti teď píšu z funkčního internetu poděkování za vyřešení.
Díky za nakopnutí. Přebytečná adresa smazána: TV hraje, zároveň Ti teď píšu z funkčního internetu poděkování za vyřešení.
0 x
Zdravím,
vše funguje jak má. Ovšem teď se vyskytl problém, že z nějakého důvodu mi WLAN začal přidělovat IP adresy z jiného DHCP, pravděpodobně něco z té VLANy. Ostatní zařízení v síti dostávájí IP dobrou, napadá Vás nějaké řešení, jak to DHCP ve VLANě odstavit? Zkoušel jsem nějaké pravidla ve firewallu, ale nepomohlo to.
Díky.
vše funguje jak má. Ovšem teď se vyskytl problém, že z nějakého důvodu mi WLAN začal přidělovat IP adresy z jiného DHCP, pravděpodobně něco z té VLANy. Ostatní zařízení v síti dostávájí IP dobrou, napadá Vás nějaké řešení, jak to DHCP ve VLANě odstavit? Zkoušel jsem nějaké pravidla ve firewallu, ale nepomohlo to.
Díky.
0 x
Jsi si jistý, že to jde fakt z VLAN? Pokud ano ... je to problém poskytovatele. Ale nějak se mi nezdá, že by to dostal jen klient na WLAN a ne ostatní ...
DHCP si kdyžtak blokni spíš v bridge-filteru. Musíš mít povolen filtering na tom bridge.
DHCP si kdyžtak blokni spíš v bridge-filteru. Musíš mít povolen filtering na tom bridge.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Vyřešil jsem to pravidlem:
Myslíte, že to je spravné řešení? Pže, když se podívám do torche, vadí mi, že se do WAN(potažmo VLAN) sítí kvůli bridge toulají i pakety z mojí LANky.
Kód: Vybrat vše
[admin@MikroTik] /interface bridge filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Neblokujeme Multicasty
chain=forward action=drop in-interface=vlan.501 mac-protocol=ip
dst-address=!224.0.0.0/4 ip-protocol=udp log=no log-prefix=""Myslíte, že to je spravné řešení? Pže, když se podívám do torche, vadí mi, že se do WAN(potažmo VLAN) sítí kvůli bridge toulají i pakety z mojí LANky.
0 x
Není nic jednoduššího, než si ty zákazová pravidla nechat chvilku logovat a sledovat, čemu to vadí ... to je asi tak nejlepší řešení, alespoň se člověk něčemu přiučí.
Bridge je switch. Prostě se tam ten provoz poflakovat bude. Vždy se najde nějaký broadcast nebo multicast ze stanice, co se tam podívat prostě musí.
Bridge je switch. Prostě se tam ten provoz poflakovat bude. Vždy se najde nějaký broadcast nebo multicast ze stanice, co se tam podívat prostě musí.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.