Mikrotik VLAN probléma

 ( sfeher | 2014. november 17., hétfő - 11:12 )

Hello!

A következőt szeretném összehozni:

Van egy belső védett háló, egy plusz wifi router és az ahhoz kapcsolódó kliensek. A wifi-s kliensek csak internet hozzáférést kapnak, a belső hálón nem érhetnek el semmit.
Létrehoztam két VLAN-t. 1-es a védett háló 101-es a wifi-s.
Hozzárendeltem a portokat mindegyikhez,de valamit elkaszáltam, mert ha az eth5-öt secured-re állítom, akkor nem megy a kifelé menő forgalom.
Megköszönném, ha tudnátok segíteni!

      |-----------------------------|
      |        Mikrotik RB450G      |
      |-----------------------------|
      |           |             |
     eth1       eth2           eth5
     (WAN)     master          slave                 ------------------ 
              (SECURED)       (WIFI)---------- WAN - | TP Link WR541G |   (10.1.1.0/24)
            192.168.1.0/24                           ------------------

[admin@MikroTik] /interface ethernet> export
# nov/17/2014 10:09:37 by RouterOS 5.9
# software id = C0EV-1EYG
#
/interface ethernet
set 0 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited disabled=no full-duplex=yes l2mtu=1520 mac-address=00:0C:42:F4:6D:E4 master-port=none mtu=1492 name=WAN speed=1Gbps
set 1 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited disabled=no full-duplex=yes l2mtu=1520 mac-address=00:0C:42:F4:6D:E5 master-port=none mtu=1500 name=ether2-master-local speed=1Gbps
set 2 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited disabled=no full-duplex=yes l2mtu=1520 mac-address=00:0C:42:F4:6D:E6 master-port=ether2-master-local mtu=1500 name=ether3-slave-local speed=100Mbps
set 3 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited disabled=no full-duplex=yes l2mtu=1520 mac-address=00:0C:42:F4:6D:E7 master-port=ether2-master-local mtu=1500 name=ether4-slave-local speed=100Mbps
set 4 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited disabled=no full-duplex=yes l2mtu=1520 mac-address=00:0C:42:F4:6D:E8 master-port=ether2-master-local mtu=1500 name=ether5-slave-local speed=100Mbps
/interface ethernet switch
set switch1 mirror-source=none mirror-target=none name=switch1 switch-all-ports=yes
/interface ethernet switch port
set WAN vlan-header=leave-as-is vlan-mode=fallback
set ether2-master-local vlan-header=leave-as-is vlan-mode=fallback
set ether3-slave-local vlan-header=leave-as-is vlan-mode=fallback
set ether4-slave-local vlan-header=leave-as-is vlan-mode=fallback
set ether5-slave-local vlan-header=leave-as-is vlan-mode=secure
set switch1_cpu vlan-header=leave-as-is vlan-mode=fallback
/interface ethernet switch vlan
add disabled=no ports=ether2-master-local,ether3-slave-local,ether4-slave-local,WAN switch=switch1 vlan-id=1
add disabled=no ports=ether5-slave-local,ether2-master-local,WAN switch=switch1 vlan-id=101

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Kapaszkodj meg, pár percen belül a hajadat fogod tépni. Mikrotik és VLAN nonono. Menni ugyan megy, de elég nyakatekert.

Most egy kis dolgom van, de ha más nem jön akkor visszatérek a témára.

húha. nem teljesen értem, hogy mit szeretnél.
ha csak annyit, hogy a wifis kliensek csak az internetet érjék el, belső hálót ne, akkor
a legegyszerűbb megoldás szerintem, hogy nem szivatod magad a switch-chip belső VLANozásával, mert minek,
hanem
eth3-eth4 portoknak beállítod, h master=eth2
az eth2-nek beállítod a 192.168.1.x/24 címet
az eth5-t kiveszed a switch group-ból, beállítod neki a 10.1.1.x/24 címet
csinálsz tűzfal szabályt amiben, a 2 hálózat közötti forgalmat megfelelően tiltod.
és kész is.

+1

+1
Ha nem kell tag-elt vlan-okat trunk-ön átküldözgetned, akkor valóban felejtsd el a vlan-t és simán válaszd le a port-ot a routeren egy külön hálózatba. Nekem ~3-4 óra masszív szívásba tellett kiismerni a Mikrotik Switch-CPU vlan kezelését, mire mindent úgy csinált, ahogy szerettem volna

Nem, nem kell. Csak le szeretném választani a wifi forgalmat.

Igen, pont ezt szeretném.

---
eth3-eth4 portoknak beállítod, h master=eth2
az eth2-nek beállítod a 192.168.1.x/24 címet
---
Ez már így volt beállítva.

"az eth5-t kiveszed a switch group-ból,"
Hol tudom ezt megtenni ?
A switch, portok menüben nincs rá lehetőség.
Tudok új bridge-t létrehozni és hozzárendelni az eth5-öt.

az eth5 interfész beállításainál tudod megmondani, h legyen v ne legyen master port.
minek hoznál létre egy bridge-t egy szál interfésszel? annak az egy szál interfésznek is lehet ipcíme...

Ááá, a kivenni ezt jelenti :). Kivettem, bridge-t töröltem, működik.
Köszönöm a segítséget!