Как настроить Hybrid-порты в Mikrotik?

Question

[5tgb5tgb]

Есть Mikrotik RB951G-2HnD (версия пакетов 6.40.5, firmware 3.41).

Необходимо настроить порты следующим образом, желательно с помощью чипа коммутации:

порт Eth1 - аплинк до другого маршрутизатора (эта часть настроена и работает, NAT работает)
порты Eth2, Eth3, Eth4 - гибридные порты тегированные VLAN'ами 10, 11, 12, 13 и Default-VLAN-ID=10
порт Eth5 - гибридный порт тегированный VLAN'ами 10, 11, 12, 13 и Default-VLAN-ID=13

Во все VLAN'ы нужно раздавать IP через DHCP (формат IP адресов 10.0.vlan_id.0/24, GW - *.1)

Заранее спасибо.

Comments

[Дмитрий]

А в чём проблема? Это задачка из мануала по настройке.

[5tgb5tgb]

Дмитрий, пробовал делать по мануалам и по гайдам из гугла (типа этих https://100ports.wordpress.com/2016/05/27/example-...
https://14bytes.ru/mikrotik-nastraivaem-vlan-trunk...
Но не получается. DHCP серверы, которые вешаются на VLAN'ы, не раздают адреса.

Попробую описать, как я понял логику настройки VLAN'ов, а вы поправьте (все настройки делаю в winbox'е в графическом интерфейсе):
1) интерфейсам Eth3-Eth5 назначаем мастер-порт Eth2;
2) на порту Eth2 создаем VLANы 10, 11, 12, 13 (т.к. это мастер-порт);
3) каждому VLANу задаем свой DHCP сервер;
4) в меню Switch выполняем следующие действия:
- на вкладке Port портам Eth2, Eth3, Eth4, Eth5 задаем параметры:
VLAN Mode = Secure
VLAN Header = leave as is
Default VLAN ID 10 (13 для Eth5)

- на вкладке VLAN добавляем VLAN 10 и порты Eth2, Eth3, Eth4, Eth5, switch 1 cpu
VLAN 11 и порты Eth2, Eth3, Eth4, Eth5, switch 1 cpu
VLAN 12 и порты Eth2, Eth3, Eth4, Eth5, switch 1 cpu
VLAN 13 и порты Eth2, Eth3, Eth4, Eth5, switch 1 cpu

Теперь, в моем понимании, при подключении устройств с тегированными портами в порты Eth2, Eth3, Eth4, Eth5 они получают IP адреса согласно VLANу. Если на порту подключаемого устройства VLAN не указан, то IP адрес в соответствии с настройками Default VLAN ID (т.е. для Eth2, Eth3, Eth4 = 10, а для Eth5 = 13)

[5tgb5tgb]

сразу скажу, что пробовал разные варианты (в том числе без чипа коммутации и с использованием бриджей), но так и не смог настроить. какой-то огород из костылей получается

[Дмитрий]

5tgb5tgb, покажите конфиг который получается

[Дмитрий]

5tgb5tgb, сравните вашу конфигурацию с мануалом

[5tgb5tgb]

Дмитрий, пытался сделать по мануалу, но есть несколько вопросов:
1) не понимаю для чего создается мост и зачем туда добавляются порты (вместе с мастер-портом)

цитата из мануала

/interface bridge
add name=bridge1 igmp-snooping=no protocol-mode=none
/interface bridge port
add bridge=bridge1 interface=ether2 hw=yes
add bridge=bridge1 interface=ether3 hw=yes
add bridge=bridge1 interface=ether4 hw=yes
add bridge=bridge1 interface=ether5 hw=yes

2) не понимаю как тогда создавать DHCP серверы для каждого VLAN'a. После создания моста, можно повесить только один DHCP сервер на сам мост.

Мой конфиг:

# nov/24/2017 13:42:46 by RouterOS 6.40.5
# software id = 54654654654654
#
# model = 951G-2HnD
# serial number = 54654654654654
/interface bridge
add name=bridge1 protocol-mode=none
/interface ethernet
set [ find default-name=ether3 ] master-port=ether2
set [ find default-name=ether4 ] master-port=ether2
set [ find default-name=ether5 ] master-port=ether2
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface ethernet switch port
set 1 default-vlan-id=10 vlan-mode=secure
set 2 default-vlan-id=12 vlan-mode=secure
set 3 default-vlan-id=12 vlan-mode=secure
set 4 default-vlan-id=13 vlan-mode=secure
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/tool user-manager customer
set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=bridge1 interface=ether2
/interface ethernet switch vlan
add independent-learning=yes ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=10
add independent-learning=yes ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=11
add independent-learning=yes ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=12
add independent-learning=yes ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=13
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/system clock
set time-zone-name=Europe/Moscow
/system lcd
set contrast=0 enabled=no port=parallel type=24x4
/system lcd page
set time disabled=yes display-time=5s
set resources disabled=yes display-time=5s
set uptime disabled=yes display-time=5s
set packets disabled=yes display-time=5s
set bits disabled=yes display-time=5s
set version disabled=yes display-time=5s
set identity disabled=yes display-time=5s
set bridge1 disabled=yes display-time=5s
set wlan1 disabled=yes display-time=5s
set ether1 disabled=yes display-time=5s
set ether2 disabled=yes display-time=5s
set ether3 disabled=yes display-time=5s
set ether4 disabled=yes display-time=5s
set eth
/tool u
[admin@

[Дмитрий]

5tgb5tgb, вам нужно на роутере создать vlan интерфейс, присвоить ему адрес и уже на него вешать dhcp-server

Примерно так:

/interface vlan
add name=vlan99 vlan-id=99 interface=ether2
/ip address
add address=192.168.88.1/24 interface=vlan99 network=192.168.88.0

[5tgb5tgb]

Дмитрий, спасибо за ответы, но не сработало.
сделал, как Вы сказали.
- Создал VLANы (10,11,12,13) на интерфейсе ether2
- присвоил двум тестовым VLANам IP адреса
- создал пулы адресов для DHCP, настроил DHCP для VLANов 10 и 13
- подключил ноутбук к 5 порту и не получил адрес по DHCP.

новый конфиг

# nov/24/2017 15:59:08 by RouterOS 6.40.5
# software id = 123123123123
#
# model = 951G-2HnD
# serial number = 123123123123
/interface bridge
add name=bridge1 protocol-mode=none
/interface ethernet
set [ find default-name=ether3 ] master-port=ether2
set [ find default-name=ether4 ] master-port=ether2
set [ find default-name=ether5 ] master-port=ether2
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface vlan
add interface=ether2 name=vlan10 vlan-id=1
add interface=ether2 name=vlan11 vlan-id=11
add interface=ether2 name=vlan12 vlan-id=12
add interface=ether2 name=vlan13 vlan-id=13
/interface ethernet switch port
set 1 default-vlan-id=10 vlan-mode=secure
set 2 default-vlan-id=12 vlan-mode=secure
set 3 default-vlan-id=12 vlan-mode=secure
set 4 default-vlan-id=13 vlan-mode=secure
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_management ranges=10.0.10.101-10.0.10.199
add name=dhcp_arm ranges=10.0.13.101-10.0.13.199
/ip dhcp-server
add address-pool=dhcp_management disabled=no interface=vlan10 lease-time=2w name=dhcp_management
add address-pool=dhcp_arm disabled=no interface=vlan13 lease-time=2w name=dhcp_arm
/tool user-manager customer
set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=bridge1 interface=ether2
/interface ethernet switch vlan
add independent-learning=yes ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=10
add independent-learning=yes ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=11
add independent-learning=yes ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=12
add independent-learning=yes ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=13
/ip address
add address=10.0.10.1/24 interface=vlan10 network=10.0.10.0
add address=10.0.11.1/24 interface=vlan11 network=10.0.11.0
add address=10.0.12.1/24 interface=vlan12 network=10.0.12.0
add address=10.0.13.1/24 interface=vlan13 network=10.0.13.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=10.0.10.1/32 dns-server=192.168.0.1,8.8.8.8,77.88.8.8 gateway=10.0.10.1 netmask=24
add address=10.0.13.1/32 dns-server=192.168.0.1,8.8.8.8,77.88.8.8 gateway=10.0.13.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/system clock
set time-zone-name=Europe/Moscow
/system lcd
set contrast=0 enabled=no port=parallel type=24x4
/system lcd page
set time disabled=yes display-time=5s
set resources disabled=yes display-time=5s
set uptime disabled=yes display-time=5s
set packets disabled=yes display-time=5s
set bits disabled=yes display-time=5s
set version disabled=yes display-time=5s
set identity disabled=yes display-time=5s
set vlan13 disabled=yes display-time=5s
set vlan12 disabled=yes display-time=5s
set vlan11 disabled=yes display-time=5s
set bridge1 disabled=yes display-time=5s
set vlan10 disabled=yes display-time=5s
set wlan1 disabled=yes display-time=5s
set ether1 disabled=yes display-time=5s
set ether2 disabled=yes display-time=5s
set ether3 disabled=yes display-time=5s
set ether4 disabled=yes display-time=5s
set ether5 disabled=yes display-time=5s
/tool user-manager database
set db-path=user-manager

[Дмитрий]

5tgb5tgb, сейчас под рукой нет доступной железки mikrotik. На выходных, если будет время, попробую реализовать вашу схему на виртуалках (только там тоже есть загвоздка, в CHR нет switch чипа).

[5tgb5tgb]

Дмитрий, а сам конфиг концептуально правильный? у меня сомнения по поводу необходимости бриджа

[Павел Вайс]

В винбоксе строчка с ДХЦП сервером красная?
Нет ip адреса на влане, гейтвэя. Назначьте в ip/adress

[5tgb5tgb]

Павел Вайс, Пробовал, это не дает результата. Завтра попробую воссоздать конфиг, потому что успел поменять

[Павел Вайс]

5tgb5tgb, При наличии бриджа - эффекта не будет. Если есть бридж - он вышестоящая еденица.
Тут и бридж есть с вланами и чисто вланы:

Конфиг из жизни

/interface bridge
add name=bridge1
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether5 ] comment=WiFi
/interface bridge port
add bridge=bridge1 interface=Office1
add bridge=bridge1 interface=ether5
/interface vlan
add interface=ether2-master name=Office1 vlan-id=10
add interface=ether2-master name=Office2 vlan-id=20
add interface=ether2-master name=Office3 vlan-id=30
/ip address
add address=192.168.10.1/24 interface=Office1 network=192.168.10.0
add address=192.168.20.1/24 interface=Office2 network=192.168.20.0
add address=192.168.30.1/24 interface=Office3 network=192.168.30.0
add address=192.168.1.19/24 interface=ether1 network=192.168.1.0
add address=192.168.40.1/24 interface=ether5 network=192.168.40.0
/ip dhcp-server network
add address=192.168.10.0/24 comment=qwe dns-server=8.8.8.8 gateway=192.168.10.1
add address=192.168.20.0/24 comment=asd dns-server=8.8.8.8 gateway=192.168.20.1
add address=192.168.30.0/24 comment=zxc dns-server=8.8.8.8 gateway=192.168.30.1
add address=192.168.40.0/24 comment=wifi dns-server=8.8.8.8 gateway=192.168.40.1
/ip pool
add name=dhcp_pool1 ranges=192.168.10.10-192.168.10.254
add name=dhcp_pool2 ranges=192.168.20.10-192.168.20.254
add name=dhcp_pool3 ranges=192.168.30.10-192.168.30.254
add name=dhcp_pool4 ranges=192.168.10.10-192.168.10.254
add name=dhcp_pool5 ranges=192.168.40.2-192.168.40.254
/ip dhcp-server
add address-pool=dhcp_pool2 disabled=no interface=Office2 lease-time=1d name=dhcp2
add address-pool=dhcp_pool3 disabled=no interface=Office3 lease-time=1d name=dhcp3
add address-pool=dhcp_pool1 interface=Office1 name=dhcp1
add address-pool=dhcp_pool4 interface=ether5 name=dhcp4
add address-pool=dhcp_pool4 disabled=no interface=bridge1 lease-time=1d name=DHCP_qwe

На 2 порту микрота сидит свич, на нем вланы расходятся по группам портов и далее на офисные розетки. С 5порта висит точка доступа, она географически находится рядом с микротом и в 1 офисе.

[5tgb5tgb]

Павел Вайс, вопросы по Вашему конфигу:

1) у Вас бридж только для того, чтобы вайфай точка раздавала vlan 10 (Office1)? я встречал вариант настройки vlan'ов через создание кучи мостов (что-то типа )

2) не вижу использования чипов коммутации и настройки гибридных портов. Не могли бы пояснить

Еще один вариант конфига, который так же не работает (проверяю подключением ноута в порты со 2 по 5 и ожидаю получения IP адресов из разных вланов, т.к. разные default vlan id)

конфиг

[admin@mikrotik] > export compact
# dec/01/2017 17:58:21 by RouterOS 6.40.5
# software id = 123123123
#
# model = 951G-2HnD
# serial number = 123123123

/interface ethernet
set [ find default-name=ether2 ] comment="master port - server management link port"
set [ find default-name=ether3 ] comment="server uplink port" master-port=ether2
set [ find default-name=ether4 ] comment="desktop port" master-port=ether2
set [ find default-name=ether5 ] comment="desktop port" master-port=ether2

/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik

/interface vlan
add comment="management vlan" interface=ether2 name=vlan10 vlan-id=10
add comment="servers vlan" interface=ether2 name=vlan11 vlan-id=11
add comment="desktops vlan" interface=ether2 name=vlan13 vlan-id=13

/interface ethernet switch port
set 1 default-vlan-id=10 vlan-mode=secure
set 2 default-vlan-id=10 vlan-mode=secure
set 3 default-vlan-id=10 vlan-mode=secure
set 4 default-vlan-id=13 vlan-mode=fallback

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip pool
add name=pool_vlan10 ranges=10.0.10.101-10.0.10.199
add name=pool_vlan11 ranges=10.0.11.101-10.0.11.199
add name=pool_vlan13 ranges=10.0.13.101-10.0.13.199

/ip dhcp-server
add add-arp=yes address-pool=pool_vlan10 disabled=no interface=vlan10 lease-time=1d name=server_vlan10
add add-arp=yes address-pool=pool_vlan11 disabled=no interface=vlan11 lease-time=1d name=server_vlan11
add add-arp=yes address-pool=pool_vlan13 disabled=no interface=vlan13 lease-time=1d name=server_vlan13

/tool user-manager customer
set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface ethernet switch vlan
add independent-learning=no ports=ether2,ether3,ether4,ether5,switch1-cpu switch=switch1 vlan-id=10
add independent-learning=no ports=ether2,ether3,ether4,ether5,switch1-cpu switch=switch1 vlan-id=11
add independent-learning=no ports=ether2,ether3,ether4,ether5,switch1-cpu switch=switch1 vlan-id=13

/ip address
add address=10.0.10.1/24 interface=vlan10 network=10.0.10.0
add address=10.0.11.1/24 interface=vlan11 network=10.0.11.0
add address=10.0.13.1/24 interface=vlan13 network=10.0.13.0

/ip dhcp-client
add comment="uplink to router before ISP" dhcp-options=hostname,clientid disabled=no interface=ether1

/ip dhcp-server network
add address=10.0.10.1/32 comment=management dns-server=192.168.0.1,8.8.8.8 domain=example.local gateway=10.0.10.1 netmask=24 ntp-server=10.0.10.1
add address=10.0.11.1/32 comment=servers dns-server=192.168.0.1,8.8.8.8 domain=example.local gateway=10.0.11.1 netmask=24 ntp-server=10.0.11.1
add address=10.0.13.1/32 comment=desktops dns-server=192.168.0.1,8.8.8.8 domain=example.local gateway=10.0.13.1 netmask=24 ntp-server=10.0.13.1

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4,77.88.8.8

/ip dns static
add address=192.168.88.1 name=router.lan

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes

/system clock
set time-zone-name=Europe/Moscow

/system identity
set name=mikrotik

/system lcd
set contrast=0 enabled=no port=parallel type=24x4

/system lcd page
set time disabled=yes display-time=5s
set resources disabled=yes display-time=5s
set uptime disabled=yes display-time=5s
set packets disabled=yes display-time=5s
set bits disabled=yes display-time=5s
set version disabled=yes display-time=5s
set identity disabled=yes display-time=5s
set vlan13 disabled=yes display-time=5s
set vlan11 disabled=yes display-time=5s
set vlan10 disabled=yes display-time=5s
set wlan1 disabled=yes display-time=5s
set ether1 disabled=yes display-time=5s
set ether2 disabled=yes display-time=5s
set ether3 disabled=yes display-time=5s
set ether4 disabled=yes display-time=5s
set ether5 disabled=yes display-time=5s

/system ntp client
set enabled=yes primary-ntp=88.147.254.230 secondary-ntp=195.3.254.2

/system ntp server
set enabled=yes multicast=yes

/tool user-manager database
set db-path=user-manager

[Павел Вайс]

1) Она не раздает влан, а уже дхцп с 10 влана рассыпает на вай-фай устройства.
2) Попытался упростить задачу до однозначного решения.

На днях через городского оператора к ним в серверную в стойку шагнул по влану (я там 1Ю арендовал) так вот, тож назначили дхцп в моем влане ... дхцп выдает IP, о чем делает запись в лизе с моим маком, а "клиентский" роутер, мой, его не видит. тоже 6,40,5 ... У админа пров-а в офисе так-же ловятся микроты, прошивка старее, ловят по такой-же схеме дхцп.

про гибридку нашел https://habrahabr.ru/post/313248/ , листали?

[5tgb5tgb]

Павел Вайс, статью на хабре видел. Попробую версию прошивки понизить и настроить.

[5tgb5tgb]

Апдейт.
Настроил еще раз Вланы по документации. Теперь ноутбук корректно получает IP адреса в разных портах и с разными Влан тегами на портах.
НО ЕСТЬ ОДНО БОЛЬШОЕ "НО"
сервер ESXi, который подключается к 2 и 3 портам микрота не получает адреса (как с указанием вланов, так и без), но получает настройки DNS сервера, суффикс подключения в соответствии с выставленным для Management Network Вланом (ноут получает все нормально в этих же портах).

[Павел Вайс]

5tgb5tgb, простите, гипервизор на динамике, мне не послышалось?
Окей, пусть динамика. На 2 порту висит 3 влана, на каждом по дхцп и в гипервизор не один влан не входит из трех. удивительно что он вообще что-то умудряется получать. Вам в строю трое командиров (одноранговые) будут приказы отдавать и каждый разные, кого слушать? 0_0

[5tgb5tgb]

Павел Вайс, я говорю о менеджмент интерфейсе. как я писал выше, я пытался назначать каждый из трех вланов, но интерфейс все равно не получал адрес. Но даже если бы я не назначал влан в настройках DCUI ESXi, то порт должен быть тегированным, так как настраивался гибридный порт и дефолтный влан там задан. Работа этих портов проверялась на сетевой карте ноута. Я на ноуте назначал/убирал влан в настройках адаптера, и результат был предсказуемым: если устанавливался влан, то IP адрес и остальные параметры получались из соответствующего влана на микроте; если в настройках адаптера ноутбука убирался влан, то ноут получал IP и пр. в соответствии с дефолтным вланом порта, в который был воткнут.

[Павел Вайс]

5tgb5tgb, Не могу сказать что каждый день загоняю влан в гипервизор с разных железок. Но, знакомый старый админ говорил: если сетевушка не крутая интеловская, влан лучше кончить на свиче. Если инетеловская то ещё смотря с чего отдавать будешь. Помню какраз в гипервизор чтобы вкорячить вланы он притаскивал определённый свич, не вендора а модель и на прошивке не выше "чем."

[5tgb5tgb]

Павел Вайс, видимо так и есть. Потому что из новых версий ESXi (у меня 6.5) вырезали поддержку десктопных сетевых карт и пришлось вставлять дрова в образ ручками с помощью сайта v-front.de

Наверное, работа таких драйверов может быть кривой. Но без VLAN'ов сеть работала нормально и по DHCP настройки сервак получал.

[Павел Вайс]

5tgb5tgb, а что мешает установить не в образ а в уже развернутую. Подсунули флешку с драйверами и установили. Не так страшен черт как его рисуют. Этож не рейд который при установке не видно. Глядишь исправится неполадка.
Ну и ебэй с бу картами энтерпрайз класса по цене мешочка семечек никто не запрещал.

[5tgb5tgb]

Павел Вайс, насколько я помню, поддержку драйверов сетевых карт Realtek 8168/9 убрали еще в версии 5.5. И имхо с тех пор просто добавить эти драйвера нельзя, они вроде в black list'е. Я пробовал подкладывать VIBы, но добавление ломало esxi. Что конкретно, я не помню. Но именно поэтому пришлось заморачиваться с добавлением в образ.

вот с чего началось:
Раз,
Два,
Три

Заказывать карты с ebay даже не думал, потому что это просто тестовая машинка с парочкой виртуалок. Сейчас вообще думаю перевести её на CentOS+qemu-kvm. Но совет неплохой, может и закажу что-то