Δίκτυο με 3 VLAN και Mikrotik ως router on a stick

[sxbcl]

Καλημέρα,

Θέλω να στήσω ένα οικιακό δίκτυο με τη χρήση ενός ΜΤ RB750r2 ως router on a stick για τα 3 VLANs που θέλω να δημιουργήσω. Δυστυχώς οι γνώσεις μου στα Mikrotik είναι αρκετά βασικές και δεν είμαι σίγουρος για το config που ετοίμασα. Θα το εκτιμούσα αν μπορούσατε να με βοηθήσετε.

Το switch είναι ένα παλιό 3COM, αλλά είναι managed και μπορώ να δημιουργήσω VLANs.
Στο χώρο υπάρχουν 2 συνδέσεις ADSL με Speedport από την Cosmote.

Το σενάριο είναι το εξής:
Έχουμε το VLAN 1 που θα είναι το "κοινόχρηστο" δίκτυο με ΙΡ 10.1.1.0/24
Το VLAN 10 θα είναι με IP 10.1.10.0/24
Το VLAN 20 με ΙΡ 10.1.20.0/24

Το ένα Speedport θα έχει ΙΡ 10.1.10.1 και το δεύτερο 10.1.20.1.
Στο Mikrotik έβαλα τις 10.1.1.254 , 10.1.10.254 και 10.1.20.254.
Θα πρέπει το ΜΤ να μοιράζει με DHCP τις διευθύνσεις στα αντίστοιχα VLANs, να κάνει inter-VLAN routing και τέλος να δρομολογεί τα πακέτα για internet στα speedport ανάλογα με το VLAN. Πιο συγκεκριμένα χρειάζομαι τα VLAN 1 και 10 να βγαίνουν από τον 10.1.10.1 και το VLAN 20 από το 10.1.20.1

Έκανα το παρακάτω config, μαζεύοντας κομμάτια από διάφορα άρθρα στο web, αλλά δεν πρόλαβα να το δοκιμάσω.

Κώδικας:

/interface vlan
add comment="Common" interface=ether1 name="VLAN 1 - Common" vlan-id=1
add comment="User1" interface=ether1 name="VLAN 10 - User1" vlan-id=10
add comment="User2" interface=ether1 name="VLAN 20 - User2" vlan-id=20

/ip address
add address=10.1.1.254/24 comment="Common Gateway" interface="VLAN 1 - Common"
add address=10.1.10.254/24 comment="User1 Gateway" interface="VLAN 10 - User1"
add address=10.1.20.254/24 comment="User2 Gateway" interface="VLAN 20 - User2"

/ip pool
add name=Common ranges=10.1.1.50-10.1.1.99
add name=User1 ranges=10.1.10.50-10.1.10.149
add name=User2 ranges=10.1.20.50-10.1.20.149

/ip dhcp-server network
add address=10.1.1.0/24 comment="Common Network" dns-server=8.8.8.8,8.8.4.4 gateway=10.1.1.254
add address=10.1.10.0/24 comment="User1 Network" dns-server=8.8.8.8,8.8.4.4 gateway=10.1.10.254
add address=10.1.20.0/24 comment="User2 Network" dns-server=8.8.8.8,8.8.4.4 gateway=10.1.20.254

/ip dhcp-server
add address-pool=Common disabled=no interface="VLAN 1 - Common" name=Common
add address-pool=User1 disabled=no interface="VLAN 10 - User1" name=User1
add address-pool=User2 disabled=no interface="VLAN 20 - User2" name=User2

/ip firewall address-list
add address=10.1.1.0/24 disabled=no list=Common
add address=10.1.10.0/24 disabled=no list=User1
add address=10.1.20.0/24 disabled=no list=User2

/ip firewall mangle
add action=mark-routing chain=prerouting disabled=no dst-address-type=!local new-routing-mark=Common passthrough=yes src-address-list=Common
add action=mark-routing chain=prerouting disabled=no dst-address-type=!local new-routing-mark=User1 passthrough=yes src-address-list=User1
add action=mark-routing chain=prerouting disabled=no dst-address-type=!local new-routing-mark=User2 passthrough=yes src-address-list=User2

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10.1 routing-mark=Common scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10.1 routing-mark=User1 scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.20.1 routing-mark=User2 scope=30 target-scope=10

add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.20.1 routing-mark=Common scope=30 target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.20.1 routing-mark=User1 scope=30 target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10.1 routing-mark=User2 scope=30 target-scope=10

Υπάρχει κάποιο λάθος, ή κάτι που μου διαφεύγει;
Ευχαριστώ εκ των προτέρων για τη βοήθεια.

[macro]

Εχω καποιες ερωτησεις μιας και δεν εξηγεις τι ακριβως θες να κανεις.

Τα vlans για πιο λογο τα χρειαζεσαι?

Ακομη και αν τα χρειαζεσαι, το vlan1 που ειναι το κοινοχρηστο σου, σιγουρα θα μπορουσε να ειναι κανονικο lan.

[sxbcl]

Τα VLAN τα χρειάζομαι γιατί μιλάμε για 2 διαφορετικά δίκτυα, με δύο διαφορετικές συνδέσεις ADSL, τα οποία όμως μοιράζονται και κάποιες δικτυακές συσκευές και πρέπει να μιλάνε μεταξύ τους.
Το VLAN 1 είναι το default VLAN ούτως ή άλλως.

[macro]

οκ η απαντηση σου αν και θα μπορουσες να ζησεις και χωρις vlan για αυτο το σεταπ.

Τωρα οσων αφορα αυτο που ποσταρες αν ειναι σωστο, τρεξτο και δες αν εχεις καποιο θεμα, σωστο φαινεται εκ πρωτης.

[sxbcl]

οκ η απαντηση σου αν και θα μπορουσες να ζησεις και χωρις vlan για αυτο το σεταπ.

Τωρα οσων αφορα αυτο που ποσταρες αν ειναι σωστο, τρεξτο και δες αν εχεις καποιο θεμα, σωστο φαινεται εκ πρωτης.

Μπορείς να μου πεις πώς θα μπορούσα χωρίς VLAN να το υλοποιήσω;

[Nikiforos]

καλημέρα, σορρυ δεν καταλαβα, τι σημαινει το on a stick ? εχει να κανει με αυτό?
https://wiki.mikrotik.com/wiki/SwOS/Router-On-A-Stick
γιατι όταν το διαβασα σκεφτηκα στικ κινητης φυσικα....
Δεν εχω ασχοληθεί με VLAN's, εχει και αλλους τροπους υλοποίησης αντι αυτων για ότι ηθελα και μου εχει τυχει να φτιαξω και ετσι δεν μου χρειαστηκε.

Εγω δεν καταλαβαίνω παντως γιατι θες να κανεις αυτό το πραγμα ετσι.
Δλδ 2 ADSL στον ιδιο χωρο, αλλα κάθε μια να δινει σε αλλα μηχανήματα και όλα να βλέπονται μεταξυ τους?
μου διαφευγει κατι?
συνηθως όταν εχουμε 2 στον ιδιο χωρο θελουμε αθροιστική ταχυτητα με Load balancing κτλ.

[sxbcl]

Αυτό το router on a stick είναι ορισμός από Cisco, συγγνώμη αν σας μπέρδεψα. Αναφέρεται σε inter-VLAN routing με τη χρήση ενός router και ενός ethernet link.

Να γίνω λίγο πιο αναλυτικός για να ξεκαθαρίσουν τα πράγματα.
Ο χώρος είναι 2 ξεχωριστές (σε εισαγωγικά) οικίες, που η κάθε μία έχει το δικό της δίκτυο, τη δική της σύνδεση ADSL, αλλά ταυτόχρονα υπάρχει και καλωδίωση για σύνδεση μεταξύ τους.
Μοιράζονται κάποιες συσκευές ως κοινόχρηστες, όπω για παράδειγμα συναγερμό, κάμερες κτλ. Αυτές είναι το πρώτο VLAN.
Κάθε σπίτι θα έχει τις δικές του συσκευές στο αντίστοιχο VLAN 10 και 20.
Δεν με ενδιαφέρει να υπάρχει load balancing, θέλω κάθε σπίτι να βγαίνει προς τα έξω μόνο με τη δική του σύνδεση, και για fail over να χρησιμοποιεί την άλλη.
Ταυτόχρονα όμως να μπορούν να μιλάνε μεταξύ τους τα δυο δίκτυα.

[macro]

Μια χαρα λυση ειναι τοτε αυτο που λες. Θα μπορουσες βεβαια απλα να στησεις 3 λαν σε 3 θυρες και με το αναλογο routing να ειχες παλι το ιδιο αποτελεσμα. Αυτο εννοουσα πριν.

[eliasbats]

Αυτό το router on a stick είναι ορισμός από Cisco, συγγνώμη αν σας μπέρδεψα. Αναφέρεται σε inter-VLAN routing με τη χρήση ενός router και ενός ethernet link.

Να γίνω λίγο πιο αναλυτικός για να ξεκαθαρίσουν τα πράγματα.
Ο χώρος είναι 2 ξεχωριστές (σε εισαγωγικά) οικίες, που η κάθε μία έχει το δικό της δίκτυο, τη δική της σύνδεση ADSL, αλλά ταυτόχρονα υπάρχει και καλωδίωση για σύνδεση μεταξύ τους.
Μοιράζονται κάποιες συσκευές ως κοινόχρηστες, όπω για παράδειγμα συναγερμό, κάμερες κτλ. Αυτές είναι το πρώτο VLAN.
Κάθε σπίτι θα έχει τις δικές του συσκευές στο αντίστοιχο VLAN 10 και 20.
Δεν με ενδιαφέρει να υπάρχει load balancing, θέλω κάθε σπίτι να βγαίνει προς τα έξω μόνο με τη δική του σύνδεση, και για fail over να χρησιμοποιεί την άλλη.
Ταυτόχρονα όμως να μπορούν να μιλάνε μεταξύ τους τα δυο δίκτυα.

1) Επειδή ο συγκεκριμένος ρούτερ έχει σχετικά περιορισμένο bandwidth (100Mbps interfaces), και εφόσον η φυσική καλωδίωση σου το επιτρέπει, θα σου πρότεινα να αποφύγεις το router-on-a-stick και να χρησιμοποιήσεις 3 ξεχωριστά interfaces, 1 για κάθε δίκτυο. Έτσι θα μπορείς να έχεις 100Mbps capacity για κάθε inter-vlan επικοινωνία.

2) Εάν θέλεις να αξιοποιήσεις στο μέγιστο τις δυνατότητες monitoring & firewalling του Mikrotik η πιο σωστή αρχιτεκτονική θα ήταν το κάθε speedport να βρίσκεται σε ξεχωριστό δίκτυο. Έτσι το Mikrotik θα μπορεί να κάνει monitor και το traffic από το internet προς τους clients, ενώ με την παρούσα αρχιτεκτονική το εισερχόμενο traffic από το internet θα περνά μάλλον μόνο από το switch και όχι από το Mikrotik. Αυτό σημαίνει πως το firewall του mikrotik δεν θα μπορεί να παρακολουθήσει σωστά τα ενεργά connections, και ότι features αφορά QOS κλπ. τα χάνεις αυτομάτως.
Άρα η πρότασή μου είναι 5 διαφορετικά δίκτυα, 2 για τα Speedport, και 3 για τους clients, αξιοποιώντας έτσι και τα 5 interfaces του Mikrotik.

3) Για να ξεχωρίσεις από ποιο Speedport θα βγει κάθε source δίκτυο μπορείς να αποφύγεις το mangle και να χρησιμοποιήσεις το πιο κομψό /ip route rule (policy routing).

4) Εάν κάποιο Speedport χάσει το φως του μόνο από τη WAN μεριά και όχι από τη LAN, δηλαδή εάν απαντάει στην LAN IP αλλά δεν έχει στην ουσία πρόσβαση στο internet, το failover δεν θα δουλέψει έτσι. Υπάρχει ένας κομψός τρόπος να τσεκάρεις ιντερνετικές IPs, όπως π.χ. το 8.8.8.8 ή κάποιo άλλο destination που έχει αδιαμφισβήτητη διαθεσιμότητα, μέσω της τεχνικής Recursive Routing, αξίζει να ρίξεις μια ματιά:
https://wiki.mikrotik.com/wiki/Advan...hout_Scripting

Ελπίζω για αρχή να έδωσα κάποιες ιδέες, και εδώ είμαστε να τα ξαναδούμε.

[sxbcl]

1) Επειδή ο συγκεκριμένος ρούτερ έχει σχετικά περιορισμένο bandwidth (100Mbps interfaces), και εφόσον η φυσική καλωδίωση σου το επιτρέπει, θα σου πρότεινα να αποφύγεις το router-on-a-stick και να χρησιμοποιήσεις 3 ξεχωριστά interfaces, 1 για κάθε δίκτυο. Έτσι θα μπορείς να έχεις 100Mbps capacity για κάθε inter-vlan επικοινωνία.

2) Εάν θέλεις να αξιοποιήσεις στο μέγιστο τις δυνατότητες monitoring & firewalling του Mikrotik η πιο σωστή αρχιτεκτονική θα ήταν το κάθε speedport να βρίσκεται σε ξεχωριστό δίκτυο. Έτσι το Mikrotik θα μπορεί να κάνει monitor και το traffic από το internet προς τους clients, ενώ με την παρούσα αρχιτεκτονική το εισερχόμενο traffic από το internet θα περνά μάλλον μόνο από το switch και όχι από το Mikrotik. Αυτό σημαίνει πως το firewall του mikrotik δεν θα μπορεί να παρακολουθήσει σωστά τα ενεργά connections, και ότι features αφορά QOS κλπ. τα χάνεις αυτομάτως.
Άρα η πρότασή μου είναι 5 διαφορετικά δίκτυα, 2 για τα Speedport, και 3 για τους clients, αξιοποιώντας έτσι και τα 5 interfaces του Mikrotik.

3) Για να ξεχωρίσεις από ποιο Speedport θα βγει κάθε source δίκτυο μπορείς να αποφύγεις το mangle και να χρησιμοποιήσεις το πιο κομψό /ip route rule (policy routing).

4) Εάν κάποιο Speedport χάσει το φως του μόνο από τη WAN μεριά και όχι από τη LAN, δηλαδή εάν απαντάει στην LAN IP αλλά δεν έχει στην ουσία πρόσβαση στο internet, το failover δεν θα δουλέψει έτσι. Υπάρχει ένας κομψός τρόπος να τσεκάρεις ιντερνετικές IPs, όπως π.χ. το 8.8.8.8 ή κάποιo άλλο destination που έχει αδιαμφισβήτητη διαθεσιμότητα, μέσω της τεχνικής Recursive Routing, αξίζει να ρίξεις μια ματιά:
https://wiki.mikrotik.com/wiki/Advan...hout_Scripting

Ελπίζω για αρχή να έδωσα κάποιες ιδέες, και εδώ είμαστε να τα ξαναδούμε.

Ευχαριστώ πάρα πολύ για τις πληροφορίες. Ήταν πράγματι πάρα πολύ σημαντικές.

Το όλο σενάριο που περιέγραψα είναι προσωρινό. Στην τελική του μορφή θα γίνει περίπου όπως περιγράφεις.
Πιο συγκεκριμένα θα αλλαχθούν τα 2 switches με Mikrotik της σειράς CRS τα οποία και θα έχουν πάνω τους από ένα Speedport και θα κάνουν το PPPoE, αφού και την τηλεφωνία θα τη γυρίσω σε VoIP με απευθείας registration.

Επομένως θεωρώ πως τότε θα μπορώ να έχω σωστό monitoring όλων των connections

- - - Updated - - -

3) Για να ξεχωρίσεις από ποιο Speedport θα βγει κάθε source δίκτυο μπορείς να αποφύγεις το mangle και να χρησιμοποιήσεις το πιο κομψό /ip route rule (policy routing).

4) Εάν κάποιο Speedport χάσει το φως του μόνο από τη WAN μεριά και όχι από τη LAN, δηλαδή εάν απαντάει στην LAN IP αλλά δεν έχει στην ουσία πρόσβαση στο internet, το failover δεν θα δουλέψει έτσι. Υπάρχει ένας κομψός τρόπος να τσεκάρεις ιντερνετικές IPs, όπως π.χ. το 8.8.8.8 ή κάποιo άλλο destination που έχει αδιαμφισβήτητη διαθεσιμότητα, μέσω της τεχνικής Recursive Routing, αξίζει να ρίξεις μια ματιά:
https://wiki.mikrotik.com/wiki/Advan...hout_Scripting

Επομένως το παρακάτω τροποποιημένο είναι σωστό, σύμφωνα με τις προτάσεις σου;

Κώδικας:

/interface vlan
add comment="Common" interface=ether1 name="VLAN 1 - Common" vlan-id=1
add comment="User1" interface=ether1 name="VLAN 10 - User1" vlan-id=10
add comment="User2" interface=ether1 name="VLAN 20 - User2" vlan-id=20

/ip address
add address=10.1.1.254/24 comment="Common Gateway" interface="VLAN 1 - Common"
add address=10.1.10.254/24 comment="User1 Gateway" interface="VLAN 10 - User1"
add address=10.1.20.254/24 comment="User2 Gateway" interface="VLAN 20 - User2"

/ip pool
add name=Common ranges=10.1.1.50-10.1.1.99
add name=User1 ranges=10.1.10.50-10.1.10.149
add name=User2 ranges=10.1.20.50-10.1.20.149

/ip dhcp-server network
add address=10.1.1.0/24 comment="Common Network" dns-server=8.8.8.8,8.8.4.4 gateway=10.1.1.254
add address=10.1.10.0/24 comment="User1 Network" dns-server=8.8.8.8,8.8.4.4 gateway=10.1.10.254
add address=10.1.20.0/24 comment="User2 Network" dns-server=8.8.8.8,8.8.4.4 gateway=10.1.20.254

/ip dhcp-server
add address-pool=Common disabled=no interface="VLAN 1 - Common" name=Common
add address-pool=User1 disabled=no interface="VLAN 10 - User1" name=User1
add address-pool=User2 disabled=no interface="VLAN 20 - User2" name=User2

/ip route
add dst-address=8.8.8.8/32 gateway=10.1.10.1 scope=10
add dst-address=8.8.4.4/32 gateway=10.1.10.1 scope=10
add dst-address=208.67.222.222/32 gateway=10.1.20.1 scope=10
add dst-address=208.67.220.220/32 gateway=10.1.20.1 scope=10

/ip route
add dst-address=10.10.10.1 gateway=8.8.8.8 scope=10 target-scope=10 check-gateway=ping distance=1
add dst-address=10.10.10.1 gateway=8.8.4.4 scope=10 target-scope=10 check-gateway=ping distance=2
add dst-address=10.10.20.2 gateway=208.67.222.222 scope=10 target-scope=10 check-gateway=ping distance=1 
add dst-address=10.10.20.2 gateway=208.67.220.220 scope=10 target-scope=10 check-gateway=ping distance=2 

/ip route
add distance=1 dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=adsl_1
add distance=2 dst-address=0.0.0.0/0 gateway=10.10.20.1 routing-mark=adsl_1
add distance=1 dst-address=0.0.0.0/0 gateway=10.10.20.1 routing-mark=adsl_2
add distance=2 dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=adsl_2
add distance=1 dst-address=0.0.0.0/0 gateway=10.10.10.1
add distance=2 dst-address=0.0.0.0/0 gateway=10.10.20.1

/ip route rule
add src-address=10.1.10.0/24 action=lookup table=adsl_1
add src-address=10.1.20.0/24 action=lookup table=adsl_2

/ip firewall address-list
add address=10.1.1.0/24 disabled=no list=Common
add address=10.1.10.0/24 disabled=no list=User1
add address=10.1.20.0/24 disabled=no list=User2

/ip firewall mangle
add action=mark-routing chain=prerouting disabled=no dst-address-type=!local new-routing-mark=Common passthrough=yes src-address-list=Common
add action=mark-routing chain=prerouting disabled=no dst-address-type=!local new-routing-mark=User1 passthrough=yes src-address-list=User1
add action=mark-routing chain=prerouting disabled=no dst-address-type=!local new-routing-mark=User2 passthrough=yes src-address-list=User2

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10.1 routing-mark=Common scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10.1 routing-mark=User1 scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.20.1 routing-mark=User2 scope=30 target-scope=10

add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.20.1 routing-mark=Common scope=30 target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.20.1 routing-mark=User1 scope=30 target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10.1 routing-mark=User2 scope=30 target-scope=10

[sxbcl]

Καλησπέρα,

Το παραπάνω λίγο ή πολύ λειτούργησε.

Ψάχνω τον τρόπο να κάνω κάτι επιπλέον τώρα.
Θα ήθελα ο Mikrotik να έχει 2 IPs η κάθε μία από τις οποίες να προωθεί τα πακέτα προς συγκεκριμένο gateway.
Πιο συγκεκριμένα:
Έχω θέσει τις 2 ΙΡs 10.1.1.10 και 10.1.1.20 στο VLAN 1 του Mikrotik.
Θέλω όταν κάποια συσκευή στο δίκτυο στέλνει πακέτα στο 10.1.1.10 για να βγει στο ίντερνετ, τότε αυτά να γίνονται redirect στο 10.1.10.1 και αντίστοιχα όταν στέλνει πακέτα στο 10.1.1.20 στο 10.1.20.1.

Γίνεται κάτι τέτοιο;