Добрый день!
Классическая задача по vlan
Vlan10 - сервера
Vlan20 - пк
Vlan30 - принтеры
Vlan40 - телефоны
И тп
Есть два микротика rb760 hex s в качестве ядра, crs326 в качестве акцеса, конект транком через sfp между друг другом.
Создавал по видео инструкциям бридж а в нем vlan, по итогу на чистой конфигурации - клиенты получают адреса в соответствии со своим vlan но не видят клиентов других подсетей (vlan), от части так и нужно, принтера из vlan40 должны иметь связь с принт-сервером из vlan10, пользователи могут печатать соответственно через принт сервер из vlan20 обращаться к серверам vlan10, также файловые помойки и домен контроллер которые в vlan10
В отличии от видео уроков у меня не приходят даже пинги между абонентами разных влан.
Еще объясните, почему кто то создает vlan внутри bridge, а кто то внутри транк порта?
+ планирую запустить на ядре wireguard сервер, чтобы работники по удаленке могли получать доступ к пк из vlan20 по rdp, как понимаю тоже нужны доп настройки?
Одни говорят по умолчанию все разрешено и нужно ограничивать файрволом другие говорят все запрещено и нужно разрешать…
Еще объясните, почему кто то созидает vlan внутри bridge, а кто то внутри транк порта?
Если вланы приходят на один единственный порт, и на другие порты не идут, то привязать влан интерфейсы к езернет порту, который будет в этом случае транковым, просто напросто достаточно. В ином случае нужен бридж, чтобы между разными портами с одним вланом была l2 связность.
В отличии от видео уроков у меня не приходят даже пинги между абонентами разных влан.
Ну если транком вланы приходят на маршрутизатор, да ещё с него и адреса по dhcp корректно получают, то, видимо, надо просто убедиться, что у тебя не заблочен фильтром трафик на форварде между влан интерфейсами.
5erdriver, влан интерфейсы вешаются либо на физический порт, и тогда без бриджа, либо на бридж. Добавлять сами влан интерфейсы в бридж (в качестве порта бриджа) можно, но это стоит делать только в случае, когда в этом бридже будет несколько интерфейсов с одним vlan id - и то только в том случае, когда, допустим, три влана приходят только на один порт транком, а 4-ый влан (интерфейсы которого и можно добавить в бридж как порты бриджа) должен идти на два порта. Иначе следует разруливать через один бридж с нормальной настройкой вланов по портам бриджа, и вешать влан интерфейсы на сам бридж, а не на физические порты.
Нет, работать оно может и так и сяк, но не стоит плодить сущности и матрёшек сверх необходимого.
Если ты вешаешь влан интерфейс на порт, а потом этот влан интерфейс добавляешь в бридж в качесвте порта бриджа, то трафик в бридже уже действительно будет без тага. Просто не надо так делать, кроме описанного выше случая, в котором так сделать можно.
Так делай*
*повторюсь: если физический порт, на который приходят вланы, только один - можно просто повесить интерфейсы на порт без бриджа вовсе.
Ziptar, да, делаю как на 1-й картинке, в бридж добавлен sfp порт с которого разбираются вланы, вопрос в том, как сделать чтобы влан20 имел доступ к серверам влан10 и другие схемы?
вопрос в том, как сделать чтобы влан20 имел доступ к серверам влан10 и другие схемы?
маршрутизация между соответствующими vlan интерфейсами, как при работе с обычными физическими портами без бриджей
У тебя так и так адреса с указанием на нужные подсети должны висеть на интерфейсах, значит и маршруты должны быть. Если ничего не мешает (фильтр, мангл) - должно всё работать
5erdriver, по идее они у тебя и так должны быть, если правильно выставлены адреса на интерфейсах - с указанием подсетей то есть. В принципе, всё работать должно.
Ziptar, да проблема оказалось в одновременном подключении тестовых компьютеров к действующему wifi, поэтому пакеты друг до друга не долетели, просто грабли на ровном месте )
1. Создаем 1 ЕДИНСТВЕННЫЙ bridge
2. Включаем на нем Bridge Vlan Filtering
3. Собираем порты в этот Bridge
4. Вешаем вланы на созланный бридж
5. Вешаем адреса на созданные вланы
6. Тэгируем вланы на нужны порты
7. Если firewall пустой, то меж вланами ничего не должно блокироваться
