LINUX.ORG.RU
ФорумAdmin

VLAN + Mikrotik + Dell Powerconnect

 , , , ,


0

3

В общем встала задача: надо воткнуть в локалку комп, так чтобы люди снаружи могли к нему подключаться на определенных портах (port forwarding). К тому же, этот комп должен быть полностью изолирован от других участников сети.

На свою голову решил это сделать с помощью VLAN (а можно как то по другому?), прикладываю диаграмму моей изначальной задумки. Разумеется ничего не работает еще на стадии пинга из микротика на адрес собственно компа.

Диаграмма: https://imgur.com/nhbx4er

Собственно вопросы:

1. На стороне микротика где надо VLAN создавать? На бридже или на самом интерфейсе куда провод воткнут? 2. На делле я создал группу vlan 20, и обозначил 8ой порт. Следует ли еще и порт 1 добавлять?

Заранее благодарю.


Ничего конкретно по вашей проблеме не скажу, но есть оборудование, которое не любит на одном порту тегированый и не тегированый трафик, возможно, вам нужно будет делать на микротике два vlan'а — один для этого самого изолированного компа, а другой для остальных компов.

2. На делле я создал группу vlan 20, и обозначил 8ой порт. Следует ли еще и порт 1 добавлять?

Да, следует, как тегированый.

mky ★★★★★ ()

1. Про микротик не скажу
2. Да следуют, как тегированный. И возможно все остальные порты тоже понадобиться в отдельный vlan перевести. Не все позволяют смешение native & tagged на одном порту.

anc ★★★★★ ()

1. На стороне микротика где надо VLAN создавать? На бридже или на самом интерфейсе куда провод воткнут?

Можно где угодно, в зависимости от того, что хочется в итоге получить. Можно бридж из VLAN-ов сделать, можно VLAN на бридже.

AS ★★★★★ ()
Ответ на: комментарий от anc

Не все позволяют смешение native & tagged на одном порту.

Линуксовое ядро позволяет что угодно. Соответственно и Микротики, как минимум младшие модели, где всё софтово роутится/рулится. Вот если в старших что-то аппаратное замутили, вот там не знаю.

AS ★★★★★ ()

Спасибо за ответы. А можно услышать какие то рекомендации по поводу того как тестить? Ну то есть возможно имеет смысл для начала просто в Микротик воткнуть комп и на нем настроить, ну чтобы исключить Dell из этого уравнения.

Но в данной конструкции тогда непонятно как VLAN настраивать. Насколько я понимаю сам компьютер вообще не должен в этом участвовать.

alex07 ()
Ответ на: комментарий от alex07

А можно услышать какие то рекомендации по поводу того как тестить?

«Пинги есть» или «пингов нет» :)

Ну то есть возможно имеет смысл для начала просто в Микротик воткнуть комп и на нем настроить, ну чтобы исключить Dell из этого уравнения.

А смысл? Ну разве что бы проверить что с этого порта идет и не тегированный и тегированный. В принципе можно, втыкаете комп с любимым linux дистрибом, настраиваете на нем интерфейсы и смотрите тем же пингом с запущенным tcpdump c -e. Только вот зачем это, не понятно, если потом все равно отправите в dell который по другому может начать работать.

anc ★★★★★ ()
Ответ на: комментарий от anc

Прощу прощения что не ответил, ездил в отпуск.

«Пинги есть» или «пингов нет» :)

Да, именно так я и тестирую.

Есть еще один момент который мне не совсем понятен в конфигурации Делл. Когда я конфигурирую порты для использования VLAN, там какая то предельно странная таблица. Вот скриншот: https://imgur.com/a/rW7v5S8

Так вот, когда я кликаю на серую таблицу Ports, то там поочередно появляются буквы T, U, F. Значение этих букв я найти не могу, но подозреваю что это Tagged, Untagged, третья смешная опция.

Учитывая что порт 1, идет на микротик, а порт 8 идет в PVE, правильно ли будет предположить что на оба порта надо поставить букву T?

Хотя с другой стороны, из порта 8 выходит же уже обычный трафик, то есть untagged.

Как быть?

alex07 ()
Ответ на: комментарий от alex07

Так вот, когда я кликаю на серую таблицу Ports, то там поочередно появляются буквы T, U, F. Значение этих букв я найти не могу

Стыдно товарищ, загуглил за вас:
– T — Tagged. The interface is a member of a VLAN. All packets forwarded by the interface are tagged. The packets contain VLAN information.
– U — Untagged. The interface is a member of a VLAN. Packets forwarded by the interface are untagged.
– F — Forbidden. The interface is denied membership to a VLAN.
– Blank — The interface is not a VLAN member. Packets associated
with the interface are not forwarded.

Учитывая что порт 1, идет на микротик, а порт 8 идет в PVE, правильно ли будет предположить что на оба порта надо поставить букву T?

порт 1 - теэгированный
порт 8 - не тегированный

anc ★★★★★ ()

Если есть возможность воткнуть кабель напрямую в Микротик - лучше так и сделай. Выведешь этот порт из моста, и будет тебе отдельная подсеть для этого компа. Так потом легче будет порты пробрасывать и правила фильтрации настраивать. Если такой возможности нету, то по твоей схеме порт 8 на коммутаторе должен быть во VLAN 20, нетегированным. Порт 1 - транк. На который навешан VLAN 20, тегированный. На Микротике создаёшь VLAN 20 на мосту назначаешь ему адрес и всё - готово.

Toten_Kopf ()
Ответ на: комментарий от Toten_Kopf

Хоть и незнаю микротика, но задумался. А мост у него это случайно не все порты которые под lan уходят? Если да, то тогда правильнее на порт вешать тегированный, а не на весь мост.

anc ★★★★★ ()

На микротике, если порты в бридже, то в Interface list они будут помечены флагом S (Slave). Slave-интерфейсы настраивать никогда не нужно. Вы можете повесить VLAN на бридж и тогда тэгированный трафик можно будет получить с любого порта, включенного в бридж. А дальше будете ловить его на свитче dell.

keir ★★ ()
Ответ на: комментарий от keir

Продолжу как «незнайка» вмешиваться с вопросами.

Slave-интерфейсы настраивать никогда не нужно.

Но простите, а если у меня на первом порту vid 100, на втором vid 200, а остальные native как быть?

anc ★★★★★ ()
Ответ на: комментарий от anc

Совершенно верно. Мост на микротике, в простых конфигурациях, обычно используется для lan. Но вешать vlan на физический интерфейс не верно. Вот здесь можно пичитать - https://wiki.mikrotik.com/wiki/Manual:Layer2_misconfiguration

Более того - вешать vlan на мост, тоже не совсем верно. В последних версиях RouterOS они переделали реализацию моста, и сейчас, по хорошему, надо не просто vlan создавать и навешивать его на что-либо, а в случае моста делать это надо в том пункте меню, который отвечает за настройку моста. Тогда транковый порт будет только тот на котором висит vlan, хотя сам этот порт и будет участником моста. Там же vlan будет терминироваться, и там же можно выбрать тегированый этот vlan будет или нет. Но в случае простой сети, и если сильно не заморачиваться, то можно просто сделать так, как я написал ранее. Хотя это не самый правильный вариант, но зато самый простой.

Toten_Kopf ()
Ответ на: комментарий от anc

если у меня на первом порту vid 100, на втором vid 200, а остальные native как быть?

Из такого условия вытекает, что у вас три различных сети, тогда vid 100 вешается на ether1, vid 200 на ether2, а для всех остальных ether3-etherX создается бридж.

Или вы что-то другое имели ввиду?

keir ★★ ()
Последнее исправление: keir (всего исправлений: 1)
Ответ на: комментарий от keir

И вам спасибо за ответ!
ЗЫ Думаю ответ Toten_Kopf и ваш ответ полностью покрывает все вопросы ТС в части микротика. Во всяком случае, даже не имея сей чудовины мне стало все понятно.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Стыдно товарищ, загуглил за вас:

Спасибо, вроде из объяснений все становится более понятно. На днях буду тестить и напишу о результатах, сейчас на работе завал, вот прямо так сразу времени нет.

alex07 ()