-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Fleto93
tag
Remélem nem hagytam ki semmi relevánsat. Egyébként az itthoni hálózatom két másik helyre is csatlakozik a mikrotikon keresztül linux szerverekkel kommunikálva és azok a kapcsolatok is hibátlanul működnek (az egyik site dyndns-el van megoldva, oda kell egy netwatch script, hogy automatikusan újracsatlakozzon IP csere esetén).[admin@MikroTik] > /interface/wireguard export hide-sensitive
# jan/12/2022 16:44:58 by RouterOS 7.1.1
# software id = SBPW-I6QN
#
# model = RB4011iGS+
# serial number = D4440D4E0521
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard-server
/interface wireguard peers
add allowed-address=192.168.9.2/32,fdf1:e8a1:8d3f:9::2/128 comment=desktop interface=wireguard-server public-key="xxx"
add allowed-address=192.168.9.3/32,fdf1:e8a1:8d3f:9::3/128 comment=mobile interface=wireguard-server public-key="xxx"
[admin@MikroTik] > /ip/address export hide-sensitive
# jan/12/2022 16:47:07 by RouterOS 7.1.1
# software id = SBPW-I6QN
#
# model = RB4011iGS+
# serial number = D4440D4E0521
/ip address
add address=192.168.9.1/24 interface=wireguard-server network=192.168.9.0
[admin@MikroTik] > /ip/firewall export hide-sensitive
# jan/12/2022 16:47:58 by RouterOS 7.1.1
# software id = SBPW-I6QN
#
# model = RB4011iGS+
# serial number = D4440D4E0521
/ip firewall filter
add action=accept chain=input comment="accept wireguard" dst-port=13231 protocol=udp
Mobil konfig (minden keresztül megy a VPN-en):
[Interface]
Address = 192.168.9.3/32, fdf1:e8a1:8d3f:9::3/128
PrivateKey = xxx
DNS = 192.168.9.1
[Peer]
PublicKey = xxx
PresharedKey = xxx
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = wg.xxx.hu:13231
Desktop konfig (split tunnel):
[Interface]
Address = 192.168.9.2/32, fdf1:e8a1:8d3f:9::2/128
PrivateKey = xxx
DNS = 192.168.9.1
[Peer]
PublicKey = xxx
PresharedKey = xxx
AllowedIPs = 192.168.2.0/24, 192.168.5.0/24, 192.168.9.0/24, fdf1:e8a1:8d3f:9::0/64
Endpoint = wg.xxx.hu:13231
-
Fleto93
tag
Sziasztok!
Újabb VLAN kérdés, nem fér nekem se a fejembe.
RB4011 a router, van egy D-LINK Poe managed switch, egy hapac, meg egy cap ac.Van 3 VLAN-om, LAN: 1, CCTV: 5, GUEST: 10.
Ami jelenleg működik:
DLINK switch a routerre csatlakozik bondinggal.
DLINK switchen tudom megfelelően tagelni a portokat, így bizonyos portok 5-ös VLAN-on vannak, más portok 1-esen, és a CAP van rákötve, ezen keresztül jön 1-es, 5-ös, és 10-es forgalom is.
CAP szór 1-es és 10-es wifit, a kimenő ethernet portja pedig 5-ösnek van beállítva egy kamerának.
HAP a routerre van kötve közvetlenül, ethernet portjai 1-es VLAN, wifin pedig 1-es és 10-es is van.Idáig minden szuper, klasszul el vannak szeparálva egymástól a hálózatok, 1-es működik normál netként, 10-es szeparált guest network, 5-ös pedig egy internet hozzáférés nélküli kamera alhálózat, amihez csak bizonyos eszközök férhetnek hozzá az 1-es hálóról.
Ott akadok el, hogy kifogytam a DLINK-en a szabad portokból, ezért a router szabad portjaiból szeretnék egyet 5-ös VLAN-ba állítani, minden más porton azt szeretném, hogy alapvetően 1-es VLAN-ba kerüljenek a rákötött dolgok, de engedjen be 5-ös és 10-es forgalmat is.
Akármilyen tutorialba kezdek mindig az a vége, hogy amikor bekapcsolon a bridge-en a vlan-filteringet a safe mode-nak kell megmentenie, mert kizárom magam az eszközből.Tudna valaki segíteni, hogy merre induljak?
-
Fleto93
tag
válasz Tamarel #20262 üzenetére
Több leírást is néztem, pl: [link]
Alább beteszem a mostani konfigot, gondolom az
/interface bridge vlan
rész hibás, már vagy 20 különböző permutációt végigkattintgattam rá. Jelenleg a vlan-filtering ki is van kapcsolva, különben kizárom magam.A cél:
- alapvetően minden port kerüljön a sima 1-es LAN-ban
- legyen lehetőség minden port felől 5-ös és 10-es forgalomnak is jönnie
- kivétel a 9-es port, ami kerüljön fixen az 5-ös VLAN-ba.kikapcsolt VLAN filteringgel mindez működik is, kivéve a harmadik pontot.
Így néz ki most:
/interface vlan
add interface=bridge name=CCTV-VLAN vlan-id=5
add interface=bridge name=GUEST-VLAN vlan-id=10
/interface bonding
add mode=802.3ad name=bonding-nas slaves=ether4,ether5 transmit-hash-policy=layer-2-and-3
add mode=balance-xor name=bonding-switch slaves=ether2,ether3
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=GUEST
add name=CCTV
/interface bridge port
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge interface=bonding-switch
add bridge=bridge interface=bonding-nas
add bridge=bridge comment=defconf interface=ether9
/interface bridge vlan
add bridge=bridge tagged=bridge,bonding-nas,bonding-switch,ether6,ether7,ether8,ether10 untagged=ether9 vlan-ids=5
add bridge=bridge tagged=bridge untagged=bonding-nas,bonding-switch,ether6,ether7,ether8,ether10 vlan-ids=1
add bridge=bridge tagged=bridge,bonding-nas,bonding-switch,ether6,ether7,ether8,ether10 vlan-ids=10
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
add interface=GUEST-VLAN list=GUEST
add interface=CCTV-VLAN list=CCTV
add interface=wireguard-server list=LAN[ Szerkesztve ]
-
Fleto93
tag
válasz Tamarel #20265 üzenetére
Első ránézésre a bridge beállításnál van keveredés, a tagged és untagged beállítás a portokra.
Ezt gondolom én is, de nem jöttem még rá, hogy mi a helyes megoldásA másik zavar, hogy mindhárom vlan rá van engedve a router sima portjaira (6-7-8-10), amitől mit is vársz?
Az adott számítógép kezelje maga a vlan-okat (tagged) és legyen mindegyikben ip címe vagy össze legyen mosva a három (untagged) és csak simán több ip címe legyen, kiszámíthatatlan forgalmazással?
Ettől azt várnám (lehet hibásan), hogy ide kötök egy eszközt, akkor az alapból a sima LAN hálóba kerüljön, de legyen lehetősége magának is kezelni.
Erre legalább a bonding-nas és a 10-es portoknál van szükségem, mert a 10-es port pl. egy HAP AC, ami szór sima és GUEST (10-es VLAN) wifit is.
A bonding-nas pedig egy proxmox, a legtöbb container a sima LAN-ba tartozik belőle, de van rajta olyan container ami a CCTV (5-ös) VLAN-ra van állítva, mert egy DVR program fut rajta. -
Fleto93
tag
válasz Tamarel #20269 üzenetére
VLAN-onként külön subnet
LAN: 192.168.2.x
CCTV: 192.168.5.x
GUEST: 10.10.10.xCsináltam egy ábrát, a piros keretes rész lenne ami újdonság lenne, minden más működik jelenleg is. Sima végponti eszközök nagyrészét lehagytam, de van belőlük vezetékes és vezeték nélküli is egy csomó, mindegyik a sima LAN-on (192.168.2.x subnet).
[ Szerkesztve ]
-
Fleto93
tag
Redditen kaptam némi segítséget, úgy tűnik ez a helyes konfig:
a vlan-ids=1 sor volt hibás, töröltem, most a router felveszi dinamikusan helyes formában./interface vlan
add interface=bridge name=CCTV-VLAN vlan-id=5
add interface=bridge name=GUEST-VLAN vlan-id=10
/interface bonding
add mode=802.3ad name=bonding-nas slaves=ether4,ether5 transmit-hash-policy=layer-2-and-3
add mode=balance-xor name=bonding-switch slaves=ether2,ether3
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=GUEST
add name=CCTV
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge interface=bonding-switch
add bridge=bridge interface=bonding-nas
add bridge=bridge comment=defconf interface=ether9 pvid=5
/interface bridge vlan
add bridge=bridge tagged=bridge,bonding-nas,bonding-switch,ether6,ether7,ether8,ether10 untagged=ether9 vlan-ids=5
add bridge=bridge tagged=bridge,bonding-nas,bonding-switch,ether6,ether7,ether8,ether10 vlan-ids=10
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
add interface=GUEST-VLAN list=GUEST
add interface=CCTV-VLAN list=CCTV
add interface=wireguard-server list=LAN -
Fleto93
tag
válasz Tamarel #20272 üzenetére
Szóval nálad még mindig zavarosak a portok:
- tagged a vlan a "trunk" portokon, vagyis ha többnek is el kell jutni oda (hálózati eszközök, nas)
- a számítógépek és telefonok meg csak egy vlanban + untagged beállítás, valamint a vlan-ok között routingNem nagyon látom a zavart benne. Illetve csak annyiban, hogy jelen felállásban az ether6-7-8 feleslegesen szerepel a két VLAN tagged listájában, de ez problémát nem okoz, és van annyi előnye, hogy ha mondjuk a hap ac-t átdugum átdugom másik portra, akkor ugyanúgy működik tovább.
Ettől az ide kötött eszközök alapból nem kerülnek be az 5 és 10 VLAN-okba, csak az 1-esbe.
[ Szerkesztve ]
-
Fleto93
tag
válasz Intelligencs #20397 üzenetére
Nem muszáj lemondani a POE-ről, például a RB5009UPr+S+IN rendelkezik rendes POE kimenetekkel - ha a gyári honlapot böngészed akkor ez jól fel van tüntetve a specifikációnál. Persze ha csak egy eszköznek akarsz tápot adni vele akkor overkill.
RB4011 és a hex S valóban csak passzív POE-t tud.VLAN természetesen megoldott ezeknél az eszközöknél.
A többi eszköznél kérdés, hogy mik az elvárások sebességben, és mennyire vagy árérzékeny.
A legolcsóbb gigabit közeli eszköz a hap ac2, hap ax széria már combosabb.VPN-re szerintem a Wireguard nagyon jó választás Mikrotik eszközöknél. Kis tanulás után könnyen tanulható, erőforrás takarékos, natívan támogatott Mikrotiken.
Ubiquiti eszközökkel nincs tapasztalatom, itthon most cseréltem le a cap ac-t és a hap ac2 -t az AX-es verziókra, és egyelőre nagyon elégedett vagyok.
Új hozzászólás Aktív témák
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Alpha Laptopszerviz Kft.
Város: Pécs