Mikrotik настройка интернета на Vlan?

Question

[Distinct]

Здравствуйте. Есть MikroTik RB750r2, в первый порт воткнут интернет, во второй порт кабель к коммутатору D-Link DGS-1210.
На MikroTik созданы 11 Vlan, им присвоены разные подсети и созданы 11 dhcp server. На коммутаторе каждый порт под свой Vlan (итого 11 портов = 11 Vlan), остальные порты нетеггированные, Все работает, адреса выдаются нужные, но во Vlan портах на коммутаторе нет интернета, куда смотреть, что настраивать? Видимо как-то надо прописать это в firewall, возможно нужно сделать Bridge, на данный момент у меня ни одного нет и не понимаю, как их делать.

Правильно ли я понимаю, что нужно пробросить Vlan на 2-ой порт MikroTik? т.е. создать bridge1 -> создать порт ether2 для это моста -> создать порт Vlan11 для этого моста -> создать порт Vlan12 для этого моста -> ... -> создать порт Vlan21 для этого моста, и затем изменить интерфейс во всех Vlan в Ip-> Addresses ?

Схема почти такая:

Answer 1

[Distinct]

В общем, нашел косяк....кому интересно, косяк на 2-ой скриншоте: в разделе Ip -> Addresses, у меня все Vlan созданы по типу: 192.168.11.0/24, а должно быть 192.168.11.1/24 , всем спасибо за помощь.

Comments

[Distinct]

poisons:

# jun/21/2017 11:53:11 by RouterOS 6.39.2
# software id = 7LCE-LHFR
#
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/ip neighbor discovery
set ether1 discover=no
/interface vlan
add interface=ether2-master name=vlan11 vlan-id=11
add interface=ether2-master name=vlan12 vlan-id=12
add interface=ether2-master name=vlan13 vlan-id=13
add interface=ether2-master name=vlan14 vlan-id=14
add interface=ether2-master name=vlan15 vlan-id=15
add interface=ether2-master name=vlan16 vlan-id=16
add interface=ether2-master name=vlan17 vlan-id=17
add interface=ether2-master name=vlan18 vlan-id=18
add interface=ether2-master name=vlan19 vlan-id=19
add interface=ether2-master name=vlan20 vlan-id=20
add interface=ether2-master name=vlan21 vlan-id=21
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=192.168.11.1-192.168.11.254
add name=dhcp_pool2 ranges=192.168.12.1-192.168.12.254
add name=dhcp_pool3 ranges=192.168.13.1-192.168.13.254
add name=dhcp_pool4 ranges=192.168.14.1-192.168.14.254
add name=dhcp_pool5 ranges=192.168.15.1-192.168.15.254
add name=dhcp_pool6 ranges=192.168.16.1-192.168.16.254
add name=dhcp_pool7 ranges=192.168.17.1-192.168.17.254
add name=dhcp_pool8 ranges=192.168.18.1-192.168.18.254
add name=dhcp_pool9 ranges=192.168.19.1-192.168.19.254
add name=dhcp_pool10 ranges=192.168.20.1-192.168.20.254
add name=dhcp_pool11 ranges=192.168.21.1-192.168.21.254
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
ether2-master lease-time=1d name=defconf
add address-pool=dhcp_pool1 disabled=no interface=vlan11 lease-time=1d name=\
dhcp1
add address-pool=dhcp_pool2 disabled=no interface=vlan12 lease-time=1d name=\
dhcp2
add address-pool=dhcp_pool3 disabled=no interface=vlan13 lease-time=1d name=\
dhcp3
add address-pool=dhcp_pool4 disabled=no interface=vlan14 lease-time=1d name=\
dhcp4
add address-pool=dhcp_pool5 disabled=no interface=vlan15 lease-time=1d name=\
dhcp5
add address-pool=dhcp_pool6 disabled=no interface=vlan16 lease-time=1d name=\
dhcp6
add address-pool=dhcp_pool7 disabled=no interface=vlan17 lease-time=1d name=\
dhcp7
add address-pool=dhcp_pool8 disabled=no interface=vlan18 lease-time=1d name=\
dhcp8
add address-pool=dhcp_pool9 disabled=no interface=vlan19 lease-time=1d name=\
dhcp9
add address-pool=dhcp_pool10 disabled=no interface=vlan20 lease-time=1d name=\
dhcp10
add address-pool=dhcp_pool11 disabled=no interface=vlan21 lease-time=1d name=\
dhcp11
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2-master network=\
192.168.88.0
add address=192.168.11.0/24 comment=Vlan interface=vlan11 network=\
192.168.11.0
add address=192.168.12.0/24 interface=vlan12 network=192.168.12.0
add address=192.168.13.0/24 interface=vlan13 network=192.168.13.0
add address=192.168.14.0/24 interface=vlan14 network=192.168.14.0
add address=192.168.15.0/24 interface=vlan15 network=192.168.15.0
add address=192.168.16.0/24 interface=vlan16 network=192.168.16.0
add address=192.168.17.0/24 interface=vlan17 network=192.168.17.0
add address=192.168.18.0/24 interface=vlan18 network=192.168.18.0
add address=192.168.19.0/24 interface=vlan19 network=192.168.19.0
add address=192.168.20.0/24 interface=vlan20 network=192.168.20.0
add address=192.168.21.0/24 interface=vlan21 network=192.168.21.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
ether1
/ip dhcp-server network
add address=192.168.11.0/24 comment=Vlan gateway=192.168.11.1
add address=192.168.12.0/24 gateway=192.168.12.1
add address=192.168.13.0/24 gateway=192.168.13.1
add address=192.168.14.0/24 gateway=192.168.14.1
add address=192.168.15.0/24 gateway=192.168.15.1
add address=192.168.16.0/24 gateway=192.168.16.1
add address=192.168.17.0/24 gateway=192.168.17.1
add address=192.168.18.0/24 gateway=192.168.18.1
add address=192.168.19.0/24 gateway=192.168.19.1
add address=192.168.20.0/24 gateway=192.168.20.1
add address=192.168.21.0/24 gateway=192.168.21.1
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" \
in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
out-interface=ether1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master

Answer 2

[Vladimir Zhurkin]

Как и в другой теме, я вам советую все vlan перенести на switch Mikrotik.
Там же вы можете указать какие vlan куда вам надо передавать дальше.
Пусть у вас switch chip и интегрирован и возможно не имеет большого профита, но просто лучше сразу делать правильно. Все bridge/nat/firewall жрут CPU так как это soft Решение.
Все, что можно сделать на уровне switch chip, лучше делать на нем.

Comments

[Distinct]

Напишите поподробнее, пожалуйста, как это сделать, я не понимаю

[Vladimir Zhurkin]

Вот вам небольшая статья , как на уровне switch chip разделить порты.

https://habrahabr.ru/post/313702/

Это поможет немного понять как устроенны vlan на mikrotik.
У интерфейса есть master порт. В рамках switch он может быть один, если два switch чипа то два на каждый switch. Так вот, обычно решение как в статье, это отвязать один из портов от master и объединить с нужным через bridge. bridge это soft решение и будет есть CPU и обмен данных пойдет через CPU.
Если смотреть блок диаграмму/схему для каждого устройства, можно увидеть, что упремся еще и в скорость обмена данных с CPU. Это например сильно критично для устройство CSR серии.

Да, надо понимать, что в данный статье мы просто vlan на уровне 1 устройства разделяем порты.
Для ваших целей , скачайте демо mikrotik и попробуйте все на вирт машинах. Ну или если есть на простых устройствах. Демо у тиков на 24 часа, но можно получить level 1 лицензию после регистрации.

UPD. Надеюсь вы осознаете, что трафик между сетями упрется в транковый порт по скорости ? :)

Answer 3

[Константин Степанов]

Пофиксил.

Для каждого интерфейса включаем маскардинг в настройках nat фаерволла.

Comments

[Руслан Федосеев]

не надо бриджа.
а вот 11 правил маскарада - надо

[Константин Степанов]

Руслан Федосеев: Согласен, бридж не всегда нужен. И касается он доступности узлов в подсетях.

[Руслан Федосеев]

я привык всегда указывать конкретно, что именно я разрешил к нату.
т.е. src=192.168.0.0/24
и так для каждой клиентской сети

[Руслан Федосеев]

зачем бриджевать вланы?
корректная настройка роутинга и фаервол. И никаких лишних бриджей

[Руслан Федосеев]

клиентам во влане 112 разрешена локалка на все остальные вланы, но не разрешен интернет.
фильтр тут лишний

[Distinct]

poisons: add action=masquerade chain=srcnat comment="NAT to ISP" out-interface=etherX такое правило есть, инета нет.

[Distinct]

Руслан Федосеев: "т.е. src=192.168.0.0/24 и так для каждой клиентской сети..." так тоже пробовал, инета не, может нужно какие-то маршруты настроить?

[Distinct]

poisons: завтра попробую и отпишусь