Toto je původní verze internetového fóra do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese

Konfigurácia VLAN

Návody a problémy s konfigurací.
Příspěvky: 4
Registrován: 4 years ago

Konfigurácia VLAN

Příspěvekod emissay » 4 years ago

Dobrý deň,

nemám moc skúsenosti s touto problematikou. Chcem sa spýtať, či je možné nakonfigurovať mikrotik router s takým zapojením ako uvádzam na obrázku v prílohe. Hľadal som nejaké návody, ale ani jedno zapojenie sa nepodobalo tomu môjmu. Ja viem, že je to asi veľmi neštandardné zapojenie.

Ďakujem pekne za odpovede.
Siet2.jpg (49.87 KiB) Zobrazeno 2826 x
0 x

Příspěvky: 1306
Registrován: 16 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 4 years ago

Example 1 i example 2, v podstatě tě zajímá to, jak je nastavenej v příkladech ether2. Analogicky podle toho si nastavíš u sebe porty 3 a 4. A pokud má bejt ether4 odtagovanej, tak koukej na example 1 na porty 3,4 a 5.
0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.

Příspěvky: 4
Registrován: 4 years ago

Příspěvekod emissay » 4 years ago

Keďže v VLANAm sa venujem celkovo dva týždne, tak mi tie návody moc nehovoria. Nemám problém spraviť jeden trunk s X VLANAMi s DHCP serverom pre každú z nich. Ale mám značný problém vytvoriť 2 a viac TRUNkov s rovnakými VLANAMi (tak aby na každej beží DHCP server) plus napr jeden access port pre priame pripojenie zariadenia. Tiež neviem ako má byť správne nakonfigurovaná MGMT sieť pre správu zariadení. :disappointed:
0 x

Příspěvky: 790
Registrován: 9 years ago

Příspěvekod CrazyApe » 4 years ago

K vlan se chovej stejně jako k fyzickému interface a jen dodržuj číslo vlan. Nic na tom není ...
0 x

Příspěvky: 4
Registrován: 4 years ago

Příspěvekod emissay » 4 years ago

Ja viem len toto...

Kód: Vybrat vše

/interface vlan
add name=vlan20 vlan-id=20 interface=ether2
add name=vlan30 vlan-id=30 interface=ether2

/ip address
add address= interface=vlan40   
add address= interface=vlan50

/ip pool
add name=POOL40 ranges=
add name=POOL50 ranges=

/ip dhcp-server
add address-pool=POOL40 disabled=no interface=VLAN40 name=DHCP40
add address-pool=POOL50 disabled=no interface=VLAN50 name=DHCP50

/ip dhcp-server network
add address= dns-server= gateway=
add address= dns-server= gateway=

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

Ok....jeden TRUNK port... funguje to... A keď chcem ešte jeden rovnaký plus jeden access port?
0 x

Příspěvky: 158
Registrován: 14 years ago
antispam: Ano

Příspěvekod mladas » 4 years ago

vytvor vvlan si na portu 2 pojmenuj jej treba vlan20-2 a na portu 3 treba vlan20-3 ty pak spoj spolu bridgem, ktery pojmenujes treba bridge20 na tomto spojis ty 20kove vlany a port nezatagovany 4 a na tom bribge20 rozjedes dhcp server a ten bude jak do tech zatagovanych vlan tak do portu 4
0 x

Příspěvky: 4
Registrován: 4 years ago

Příspěvekod emissay » 4 years ago

Tak nakoniec sa mi to podarilo spraviť vďaka jednému celkom šikovnému tutorialu.

Kód: Vybrat vše

/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys wpa2-pre-shared-key="password"
/interface wireless set [ find default-name=wlan1 ] ssid=NetGate2 frequency=auto mode=ap-bridge disabled=no

/interface wireless security-profiles add name=guest authentication-types=wpa2-psk mode=dynamic-keys wpa2-pre-shared-key="password"
/interface wireless add name=wlan2 ssid=GUEST master-interface=wlan1 security-profile=guest disabled=no

/interface wireless security-profiles add name=sec authentication-types=wpa2-psk mode=dynamic-keys wpa2-pre-shared-key="password"
/interface wireless add name=wlan3 ssid=SEC master-interface=wlan1 security-profile=sec disabled=no

/interface wireless security-profiles add name=base authentication-types=wpa2-psk mode=dynamic-keys wpa2-pre-shared-key="password"
/interface wireless add name=wlan4 ssid=BASE master-interface=wlan1 security-profile=base disabled=no

# Bridge

# create one bridge, set VLAN mode off while we configure
/interface bridge add name=BR1 protocol-mode=none vlan-filtering=no

# -- Trunk Ports --

# ingress behavior
/interface bridge port

# Trunk. Leave pvid set to default of 1
add bridge=BR1 interface=ether2
add bridge=BR1 interface=ether3

# -- Access Ports --

# ingress behavior
/interface bridge port

add bridge=BR1 interface=ether4 pvid=10
add bridge=BR1 interface=ether6 pvid=10
add bridge=BR1 interface=wlan1  pvid=10

add bridge=BR1 interface=wlan2  pvid=20

add bridge=BR1 interface=ether5 pvid=30
add bridge=BR1 interface=wlan3  pvid=30

add bridge=BR1 interface=ether10 pvid=99
add bridge=BR1 interface=wlan4 pvid=99

# egress behavior
/interface bridge vlan

# Purple Trunk. These need IP Services (L3), so add Bridge as member
add bridge=BR1 tagged=BR1,ether2,ether3 untagged=ether4,ether6,wlan1 vlan-ids=10
add bridge=BR1 tagged=BR1,ether2,ether3 untagged=wlan2 vlan-ids=20
add bridge=BR1 tagged=BR1,ether2,ether3 untagged=ether5,wlan3 vlan-ids=30
add bridge=BR1 tagged=BR1,ether2,ether3 untagged=ether10,wlan4 vlan-ids=99

# IP Addressing & Routing

# LAN facing router's IP address on the BASE_VLAN
/interface vlan add interface=BR1 name=BASE_VLAN vlan-id=99
/ip address add address= interface=BASE_VLAN

# DNS server, set to cache for LAN
/ip dns set allow-remote-requests=yes servers=""

# WAN facing port with IP Address provided by ISP
/ip address add interface=ether1 address=a.a.a.a/aa network=a.a.a.0

# router's gateway provided by ISP
/ip route add distance=1 gateway=b.b.b.b

# LAN VLAN interface creation, IP assignment, and DHCP service
/interface vlan add interface=BR1 name=LAN_VLAN vlan-id=10
/ip address add interface=LAN_VLAN address=
/ip pool add name=LAN_POOL ranges=
/ip dhcp-server add address-pool=LAN_POOL interface=LAN_VLAN name=LAN_DHCP disabled=no
/ip dhcp-server network add address= dns-server= gateway=

# GUEST VLAN interface creation, IP assignment, and DHCP service
/interface vlan add interface=BR1 name=GUEST_VLAN vlan-id=20
/ip address add interface=GUEST_VLAN address=
/ip pool add name=GUEST_POOL ranges=
/ip dhcp-server add address-pool=GUEST_POOL interface=GUEST_VLAN name=GUEST_DHCP disabled=no
/ip dhcp-server network add address= dns-server= gateway=

# SEC VLAN interface creation, IP assignment, and DHCP service
/interface vlan add interface=BR1 name=SEC_VLAN vlan-id=30
/ip address add interface=SEC_VLAN address=
/ip pool add name=SEC_POOL ranges=
/ip dhcp-server add address-pool=SEC_POOL interface=SEC_VLAN name=SEC_DHCP disabled=no
/ip dhcp-server network add address= dns-server= gateway=

# Optional: Create a DHCP instance for BASE_VLAN. Convenience feature for an admin.
/ip pool add name=BASE_POOL ranges=
/ip dhcp-server add address-pool=BASE_POOL interface=BASE_VLAN name=BASE_DHCP disabled=no
/ip dhcp-server network add address= dns-server= gateway=

# Firewalling & NAT
# A good firewall for WAN. Up to you
# about how you want LAN to behave.

# Use MikroTik's "list" feature for easy rule matchmaking.

/interface list add name=WAN
/interface list add name=VLAN
/interface list add name=BASE

/interface list member
add interface=ether1     list=WAN
add interface=BASE_VLAN  list=VLAN
add interface=LAN_VLAN  list=VLAN
add interface=GUEST_VLAN list=VLAN
add interface=SEC_VLAN   list=VLAN
add interface=BASE_VLAN list=BASE

# VLAN aware firewall. Order is important.
/ip firewall filter

add chain=input action=accept connection-state=established,related comment="Allow Estab & Related"

# Allow VLANs to access router services like DNS, Winbox. Naturally, you SHOULD make it more granular.
add chain=input action=accept in-interface-list=VLAN comment="Allow VLAN"

# Allow BASE_VLAN full access to the device for Winbox, etc.
add chain=input action=accept in-interface-list=VLAN comment="Allow VLAN"

add chain=input action=drop comment="Drop"

add chain=forward action=accept connection-state=established,related comment="Allow Estab & Related"

# Allow all VLANs to access the Internet only, NOT each other
add chain=forward action=accept connection-state=new in-interface-list=VLAN out-interface-list=WAN comment="VLAN Internet Access only"

add chain=forward action=drop comment="Drop"

/ip firewall nat add chain=srcnat action=masquerade out-interface-list=WAN comment="Default masquerade"

# VLAN Security

# Only allow packets with tags over the Trunk Ports
/interface bridge port
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-vlan-tagged [find interface=ether2]
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-vlan-tagged [find interface=ether3]

# Only allow ingress packets without tags on Access Ports
/interface bridge port
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=ether4]
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=ether5]
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=ether6]
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=wlan1]
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=wlan2]
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=wlan3]
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=wlan4]

# MAC Server settings

# Ensure only visibility and availability from BASE_VLAN, the MGMT network
/ip neighbor discovery-settings set discover-interface-list=BASE
/tool mac-server mac-winbox set allowed-interface-list=BASE
/tool mac-server set allowed-interface-list=BASE

# Turn on VLAN mode
/interface bridge set BR1 vlan-filtering=yes

0 x