Как дать доступ в интернет отдельной VLAN на Mikrotik?

Question

[Виталий Бирзниекс]

Центральный роутер Mikrotik, с виртуальным локальными сетями, есть арендатор, которого нужно отделить от локальной сети организации и дать возможность выходить ему в интернет. Создал ему в Mikrotik VLAN с ID 1005, pool, Address List, DHCP Server, в фаерволе правило accept forward out.interface=VLAN1005 in.InterfaceList=wans, accept forward in.interface=VLAN1005 in.InterfaceList=wans. Далее от Mikrotika (В микротик воткнуто только кабель провайдера и 2 кабеля от двух HP 1920-24G) идет кабель к умному коммутатору HP 1920-24G, из 27 порта в 42 порт D-Link DGS-1210-52/ME, в котором я физическому порту присвоил ID 1005. От этого порта кабель подключается к ноутбуку, но ноутбук получает ip далекий от правды, какой-то внешний 167.ХХ.ХХ.X и так далее, хотя должен был получить IP из пула 172.16.105.0/24. Где оплошность? Как дать доступ в интернет отдельной VLAN на Mikrotik?

Скриншоты с некоторыми настройками

Comments

[Akina]

ноутбук получает ip далекий от правды, какой-то внешний 167.ХХ.ХХ.X

Может, 169.254.XXX.YYY? Если так - то это APIPA, самоприсвоение адреса при отсутствии доступного DHCP.

Далее от Mikrotika идет кабель к умному коммутатору D-Link DGS-1210-52/ME, в котором я физическому порту присвоил ID 1005. От этого порта кабель подключается к ноутбуку

По моему разумению, портов должно быть два - к одному Микротик, к другому ноут. Оба эти порта - в одном VLANID=1005? порт, который к ноуту - untagged?

[Виталий Бирзниекс]

Akina, Спасибо за ответ. VLANы работаю через интерфейс VRRP, а так же в D-Link все действующие порты не тегированными стоят и только один тегированный. Простите, я упустил важный момент в описании, кабель идет к коммутору D-Link DGS-1210-52/ME из другого коммутатора HP 1920-24G, который в свою очередь идет от микротика. Виноват =(. Под споилером скриншоты с настройками некоторыми, если нужно еще что-то знать, то я вам скину, Вы только напишите, что нужно для понимания как всё устроено

Скриншоты

Answer 1

[Valentin Barbolin]

167.ХХ.ХХ.X

скорее всего ноутбук самоназначает себе IP т.к. не видит DHCP сервер.

Далее от Mikrotika идет кабель к умному коммутатору D-Link DGS-1210-52/ME, в котором я физическому порту присвоил ID 1005.

Ты на микротик отдает тегированный трафик, значит и принимать надо тегированный. Соответственно на D-link порт должен быть в режиме транк, а порты куда подключены клиенты в access в 1005 vlan. Или отдавай ассess на микротике. Если на этом порту микротика только этот D-link то тебе и vlan не нужен, просто выдерни этот порт из бриджа и назнач ему IP и настрой DHCP.

Comments

[Akina]

Ты на микротик отдает тегированный трафик, значит и принимать надо тегированный.

С чего бы? Не вижу ничего, что бы говорило о тегировании или его отсутствии.

Кстати, если на Длинке включён VLAN announcement, то Микротик сам прекрасно разбирается с тегованностью VLAN.

[Valentin Barbolin]

Akina,

Создал ему в Mikrotik VLAN с ID 1005

Согласен, из описания вопроса не очевидно как настроен VLAN. Но чаще всего его создают как интерфейс и прикрепляют к бриджу. В таком случае трафик для этого VLAN становиться тегированным.

[Виталий Бирзниекс]

Спасибо за ответ. Но у меня вообще ни одного бриджа нету, судя по всему VLANы работаю через интерфейс VRRP, а так же в D-Link все действующие порты не тегированными стоят и только один тегированный. И простите, я упустил важный момент в описании, кабель идет к коммутору D-Link DGS-1210-52/ME из другого коммутатора HP 1920-24G, который в свою очередь идет от микротика. Виноват =(. Если нужны какие-то еще вводные данные, я могу скинуть.

Скриншоты

[Valentin Barbolin]

Виталий Бирзниекс,

судя по всему VLANы работаю через интерфейс VRRP

Так не должно быть, VRRP это более высокая логическая единица, он должен работать выше VLAN. Соответственно при создании VLAN надо прикрепить его к интерфейсу (ethernet, bridge, bond) микротика, а VRRP к VLAN. Судя по тому, что есть еще и bond, то VLAN должен крепиться к нему. Но тут сложно сказать однозначно, т.к. скриншоты не дают полного пониманияю.

D-Link все действующие порты не тегированными стоят и только один тегированный.

Все верно, один trunk (tagget) остальные access (untagget). В trunk подключается микротик или в вашем случае HP 1920-24G. На HP 1920-24G так же должен быть создан этот VLAN. Два порта, микротик и D-link должны быть в trunk режиме что бы пропускать тегированный трафик.

И зачем вам VRRP, у вас два микротика?

Конфигурацию миротика лучше выгрузить через Terminal командой, скопировать через files и выложить сюда. Пароли при этом не экспортируются, максимум можно отредактировать адрес для выхода в интернет (WAN).
export file=mik-config.txt

[Виталий Бирзниекс]

Valentin Barbolin, да, было 2 микротика, но когда я пришел один из них уже был выключен, потому что у прошлого админа, что-то там не получилось, он не связи к сожалению и узнать каков был план не получится. Но я так полагаю он хотел их как-то объединить в один или автоматически бэкапить с одного на другой микротик, что-то типа отказоустойчивости. Я создал на HP 1920 VLAN таргет, после этого ноутбук получил IP от созданного мною DHCP, т.е. до микротика дотянулся, но выйти в интернет так и не может. Файлик сейчас скину, может подскажите как действовать дальше, в фаерволе вроде все правильно указал.

[Valentin Barbolin]

Виталий Бирзниекс, Это конечно треш...
Не увидил правил NAT для этой сети

Надо что-то типа

/ip firewall nat add action=masquerade chain=srcnat comment="internet Evrosvyas"  out-interface-list=wans src-address=172.16.105.0/24

[Виталий Бирзниекс]

Valentin Barbolin, спасибо, заработало! Прокомментируйте "треш", поподробней :D, чтобы понимать, что исправить, куда двигаться)

[Valentin Barbolin]

Виталий Бирзниекс,

да, было 2 микротика, но когда я пришел один из них уже был выключен, потому что у прошлого админа, что-то там не получилось, он не связи к сожалению и узнать каков был план не получится.

План был сотворить костыль) реализация HA на микротике тот еще квест.

Треш предстоит тебе пройти для инвентаризации и оптимизации правил в firewall.

[graf_Alibert]

Виталий Бирзниекс, Музыкальный микротик, имперский марш играет)

[Виталий Бирзниекс]

graf_Alibert, реально? Во ребята заморачивались :D, он просто при мне не перезагружался ни разу. А где глянуть данную настройку?

[Виталий Бирзниекс]

graf_Alibert, всё, глянул в гугле. И правда играет, даже не знал, что такое возможно

[graf_Alibert]

Виталий Бирзниекс, из меню скриптов можно в ручную запустить. Не обязательно при перезагрузке играет. Я когда настраивал микротики при включении играли мелодию из танчиков на денди, так сразу было понятно, что точка доступа включилась)

[graf_Alibert]

Виталий Бирзниекс, При включении тоже какая то мелодия должна проигрываться, но не имперский марш

/system scheduler
add name=startup-beep on-event=":delay 15000ms;\r\
    \n:beep frequency=810 length=500ms;\r\
    \n:delay 400ms;\r\
    \n:beep frequency=600 length=200ms;\r\
    \n:delay 100ms;\r\
    \n:beep frequency=470 length=500ms;\r\
    \n:delay 500ms;\r\
    \n:beep frequency=400 length=500ms;\r\
    \n:delay 400ms;\r\
    \n:beep frequency=600 length=200ms;\r\
    \n:delay 100ms;\r\
    \n:beep frequency=500 length=500ms;\r\
    \n:delay 1000ms;" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time=\
    startup

Answer 2

[coffeineco]

На микротике заходишь в bridge>ports>выбираешь нужный тебе порт>VLAN>прописываешь PVID. Затем заходишь VLANs>выбираешь нужный тебе VLAN>добавляешь в Tagged порт и Bridge, на котором висит данный порт.

На коммутаторе порт делаешь тоже тегированным, а на порты для конечных устройств делаешь нетегированным, а так же на эти же порты прописываешь сам VLAN.

Comments

[Виталий Бирзниекс]

Спасибо за ответ. Но у меня вообще ни одного бриджа нету, судя по всему VLANы работаю через интерфейс VRRP, а так же в D-Link все действующие порты не тегированными стоят и только один тегированный. Простите, я упустил важный момент в описании, кабель идет к коммутору D-Link DGS-1210-52/ME из другого коммутатора HP 1920-24G, который в свою очередь идет от микротика. Виноват =(Если нужны какие-то еще вводные данные, я могу скинуть.

Скриншоты

Answer 3

[AntHTML]

167 - "замыкание на себя" = не удалось получить IP.
Очень похоже на то что у вас не подружился VLAN микрота и дглюка, либо же на d-link-е на физпорт прописали транком вместо аксеса.
В общем, если на микроте есть свободный порт, то вбросить его в тот же бридж 1005, посмотреть как работает локально, а потом уже протягивать порт через свитч.
Да и никаких forward-ов арендатору не надо. Обычный гостевой NAT делать

Comments

[Виталий Бирзниекс]

Спасибо за ответ. У меня вообще ни одного бриджа нету, судя по всему VLANы работаю через интерфейс VRRP. До микротика кабель не дойдет к сожалению. Простите, я упустил важный момент в описании, кабель идет к коммутору D-Link DGS-1210-52/ME из другого коммутатора HP 1920-24G, который в свою очередь идет от микротика. Виноват =(. Если нужны какие-то еще вводные данные, я могу скинуть.

Скриншоты

[AntHTML]

Виталий Бирзниекс, В какой порт микротика уходит тег 1005? (можно попробыть в настройках самого влана глянуть)
Если на микроте есть свободный порт, то вывести на него этот бридж access-ом, подключить ноутбук, проверить что "интернет" работает как надо (получение IP и т.д.)
Далее уже заниматься пробросом VLAN по железкам, потому как микрот немного своебразная nix-железка и vlan-ы, не с микротом, там иногда без бубна не заводятся