Как настраиваются маршрутизация между Vlan на mikrotik CRS326-24-2S?

Question

[Evko_l]

на mikrotik CRS326-24-2S созданы 3 Vlana (Vlan 2, Vlan 3, Vlan 4 ), создан соответствующие bridge_vlan2,bridge_vlan3,bridge_vlan4. Пользователи каждый работает в своем Vlan. Как настроить маршруты, чтобы пользователи с Vlan3 имели доступ к Vlan 2 и к Vlan 4

Answer 1

[Дмитрий Шицков]

В текущей конфигурации у вас вероятно не работает hw-offload. Перенастройте с одним бриджом по примеру из wiki.
https://wiki.mikrotik.com/wiki/Manual:Interface/Br...

Answer 2

[Dmitry]

Если вы сделали все правильно, назначили адреса бриджам, и нет запрещающих правил в firewall, все должно работать без дополнительных маршрутов

Answer 3

[Wexter]

Во первых не нужно плодить бриджи для VLAN'ов
https://wiki.mikrotik.com/wiki/Manual:CRS3xx_serie...
Во вторых L3 свич из CRS такой себе, больше гигабита на всех не получите. А так добавляете на бридж VLAN интерфейсы, прописываете адреса и радуетесь

Answer 4

[Станислав Валсинатс]

Подскажите, а :

чтобы пользователи с Vlan3 имели доступ к Vlan 2 и к Vlan 4

Имеется ввиду что пакеты ходят туда обратно как :
VLAN3 <--> VLAN2
u
VLAN3 <--> VLAN4
u
VLAN2 X VLAN4

Так ??

Comments

[Evko_l]

c vlan3 пакеты ходили в VLAN2 и VLAN4.
VLAN3 --> VLAN2
u
VLAN3 --> VLAN4
u
VLAN2 X VLAN4

[Станислав Валсинатс]

Добавить VLAN2 и VLAN4 на порт VLAN3

А потом
добавить на порте где VLAN2 новый VLAN3
добавить на порте где VLAN4 новый VLAN3

[Dmitry]

Evko_l, у вас вопрос про маршрутизацию, а ВНЕЗАПНО выясняется, что на самом деле про ограничение трафика. Не надо так.
Просто добавьте запрещающее правило в цепочку forward в ip/firewall in-interface=bridge_vlan2 out-interface=bridge_vlan4

[Dmitry]

Станислав, шта?

[Evko_l]

Dmitry, У меня не ходит трафик между Vlan, я и спрашиваю как настроить маршрутизацию трафика между Vlan -ми. У меня и без запрещающего правила не ходят пакеты

[Evko_l]

Станислав, И что из этого должно получиться ??

[Dmitry]

Evko_l, делайте экспорт настроек – будем посмотреть

[Evko_l]

# mar/07/2019 12:02:41 by RouterOS 6.43.7
# software id = P1TQ-IUWF
#
# model = CRS326-24G-2S+

/interface bridge
add admin-mac= auto-mac=no comment=defconf name=bridge
add name=bridge_vlan_4
add name=bridge_vlan_5
add name=bridge_vlan_333
/interface ethernet
set [ find default-name=ether1 ] mac-address=////////////
/interface vlan
add interface=ether1 name=vlan4 vlan-id=4
add interface=ether1 name=vlan5 vlan-id=5
add interface=ether1 name=vlan_333 vlan-id=3
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge_vlan_5 comment=defconf interface=ether5
add bridge=bridge_vlan_4 comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=ether11
add bridge=bridge comment=defconf interface=ether12
add bridge=bridge comment=defconf interface=ether13
add bridge=bridge comment=defconf interface=ether14
add bridge=bridge comment=defconf interface=ether15
add bridge=bridge comment=defconf interface=ether16
add bridge=bridge comment=defconf interface=ether17
add bridge=bridge_vlan_333 comment=defconf interface=ether18
add bridge=bridge comment=defconf interface=ether19
add bridge=bridge_vlan_4 comment=defconf interface=ether20
add bridge=bridge comment=defconf interface=ether21
add bridge=bridge comment=defconf interface=ether22
add bridge=bridge comment=defconf interface=ether23
add bridge=bridge comment=defconf interface=ether24
add bridge=bridge comment=defconf hw=no interface=sfp-sfpplus1
add bridge=bridge comment=defconf interface=sfp-sfpplus2
add bridge=bridge_vlan_333 interface=vlan_333
add bridge=bridge_vlan_4 interface=vlan4
add bridge=bridge interface=ether1
add bridge=bridge_vlan_5 interface=vlan5
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=ether11 list=LAN
add interface=ether12 list=LAN
add interface=ether13 list=LAN
add interface=ether14 list=LAN
add interface=ether15 list=LAN
add interface=ether16 list=LAN
add interface=ether17 list=LAN
add interface=ether18 list=LAN
add interface=ether19 list=LAN
add interface=ether20 list=LAN
add interface=ether21 list=LAN
add interface=ether22 list=LAN
add interface=ether23 list=LAN
add interface=ether24 list=LAN
add interface=sfp-sfpplus2 list=LAN
add interface=ether1 list=WAN
add interface=sfp-sfpplus1 list=LAN
/ip address
add address=192.168.1.35/23 comment=defconf interface=ether2 network=\
192.168.0.0
add address=192.168.150.0/24 interface=bridge_vlan_4 network=192.168.150.0
add address=192.168.80.0/24 interface=bridge_vlan_5 network=192.168.80.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge_vlan_333
add dhcp-options=hostname,clientid disabled=no interface=bridge_vlan_4
add dhcp-options=hostname,clientid interface=bridge
add dhcp-options=hostname,clientid disabled=no interface=bridge_vlan_5
/ip route
add distance=1 dst-address=192.168.80.0/24 gateway=bridge_vlan_5
/system clock
set time-zone-name=Asia/Omsk
/system routerboard settings
set boot-os=router-os

[Evko_l]

Dmitry, необходимо настроить, чтобы из Vlan4 ( bridge_vlan_4) был доступ к Vlan5 ( bridge_vlan_5) и к Vlan3 ( bridge_vlan_333). А в Vlan5 ( bridge_vlan_5) и Vlan3 ( bridge_vlan_333) пакеты ходили только в своих Vlan -нах

[Станислав Валсинатс]

Эм. А разве не так это делается ?

/ip route

add distance=3 src-address=192.168.150.0/24 dst-address=192.168.80.0/24 gateway=bridge_vlan_5
add distance=4 src-address=192.168.80.0/24 dst-address=192.168.150.0/24 gateway=bridge_vlan_4

Попробуйте так, а после пропингуйте из VLAN4 -> VLAN5 и наоборот.

[Evko_l]

Станислав, в настройках моего микротика в /ip route нет src-address=
https://cdn1.savepice.ru/uploads/2019/3/7/dcd1eced...

[Станислав Валсинатс]

Evko_l, Без него пропишите. По логике это и есть маршрут в другую подсеть через интерфейс. У вас в один порт же я так понял все воткнуто ?

[Dmitry]

Evko_l, вы назначаете адрес на интерфейс, который входит в бридж. Ether2. Адрес нужно вешать не на интерфейс, а на сам bridge в который входит интерфейс. у вас ещё есть DHCP клиенты, у вас выше есть ещё одно маршрутизирующее устройство? Приложите топологию сети. А то какая-то дичь )

[Dmitry]

Evko_l, все ограничения делаются через firewall, сначала настройте нормальную маршрутизацию

[Dmitry]

Станислав, а вы правда MTCNA?

[Станислав Валсинатс]

Dmitry, Да, но практических задач было мало, так как только планируем мигрировать на Микротик с Б\У циско. Но я правда стараюсь по памяти вспоминать настройки и высказываться, куда бы смотрел Я.