Mikrotik 3011 & Vlans

[teodor_ch]

Θέλω να διαχωρίσω τους χρήστες του ασύρματου σε
home users πχ. vlan-200
και
customers πχ. vlan-300

Μάλλον απο ότι βλέπω γίνεται μόνο με ξεχωριστά Virtual APs που θα κάνει ξεχωριστά tag το κάθε ένα
και όλα μαζί σε bridge για το hotspot

[kostas2911]

Θέλω να διαχωρίσω τους χρήστες του ασύρματου σε
home users πχ. vlan-200
και
customers πχ. vlan-300

Μάλλον απο ότι βλέπω γίνεται μόνο με ξεχωριστά Virtual APs που θα κάνει ξεχωριστά tag το κάθε ένα
και όλα μαζί σε bridge για το hotspot

'Οχι θα φτιάξεις 2 hotspot ένα για το κάθε vlan.

Για την ακρίβεια θα φτιάξεις 2 bridge όπου μέσα θα βάλεις το vlan-200 και το ένα virtual-AP στο ένα και στο άλλο το vlan-300 και το άλλο virtual-AP
και μετά πάνω σε αυτά τα bridge θα φτιάξεις τα hotspot.

Τι ακριβώς θέλεις να κάνεις;
Γιατί ξεκινήσαμε από 2 vlan και έχεις αρχίσει και το μπλέκεις πολύ.

[teodor_ch]

Μέσα στο VirtualAP μπορώ να ορίσω να κάνει tag vlan ID
Οπότε λογικά μπορώ να φτιάξω ένα bridge και να βάλω και τα δύο VirtualAPs (με διαφορετικά vlan IDs) και την ether απο την οποία θα φεύγουν και τα δύο vlans.

Εναλλακτικά απο ότι είδα για ένα AP γίνεται και μέσω User manager με radius server να κάνει tag ανα user

VLAN tagging

Sub-menu: /interface wireless

With VLAN tagging it is possible to separate Virtual AP traffic on Ethernet side of "locally forwarding" AP (the one on which wireless interfaces are bridged with Ethernet). This is necessary to separate e.g. "management" and "guest" network traffic of Ethernet side of APs.

VLAN is assigned for wireless interface and as a result all data coming from wireless gets tagged with this tag and only data with this tag will send out over wireless. This works for all wireless protocols except that on Nv2 there's no Virtual AP support.

You can configure your RADIUS authentication server to assign users or groups of users to a specific VLAN when they authenticate to the network. To use this option you will need to use RADIUS attributes.

https://wiki.mikrotik.com/wiki/Manua...n_and_802.11ac

Διαχειρίζομαι έναν επαγγελματικό χώρο και παρόλο που έχω καταφέρει το διαχωρισμό των δικτύων (customers, home) σε ξεχωριστά ether και bridges,
κάποιες στιγμές μπαίνει ένας home user μέσα απο customents AP. Είχα κάνει bind στον DHCP server και μέσω ip firewall filter είχα κόψει την κίνηση που δεν ήθελα αλλά τη θεωρώ μπακαλίστικη μέθοδο.

Προσπαθώ να μάθω τα vlans στο σπίτι πρώτα και έπειτα να φτιάξω μία σωστή λύση στον επαγγελματικό χώρο.

Αρκούν αυτά για την ώρα. Με βοηθήσατε αρκετά. Θα κάνω τις δοκιμές μου και θα επανέλθω
Ευχαριστώ και πάλι.

[kostas2911]

Μέσα στο VirtualAP μπορώ να ορίσω να κάνει tag vlan ID
Οπότε λογικά μπορώ να φτιάξω ένα bridge και να βάλω και τα δύο VirtualAPs (με διαφορετικά vlan IDs) και την ether απο την οποία θα φεύγουν και τα δύο vlans.

Εναλλακτικά απο ότι είδα για ένα AP γίνεται και μέσω User manager με radius server να κάνει tag ανα user



https://wiki.mikrotik.com/wiki/Manua...n_and_802.11ac

Διαχειρίζομαι έναν επαγγελματικό χώρο και παρόλο που έχω καταφέρει το διαχωρισμό των δικτύων (customers, home) σε ξεχωριστά ether και bridges,
κάποιες στιγμές μπαίνει ένας home user μέσα απο customents AP. Είχα κάνει bind στον DHCP server και μέσω ip firewall filter είχα κόψει την κίνηση που δεν ήθελα αλλά τη θεωρώ μπακαλίστικη μέθοδο.

Προσπαθώ να μάθω τα vlans στο σπίτι πρώτα και έπειτα να φτιάξω μία σωστή λύση στον επαγγελματικό χώρο.

Αρκούν αυτά για την ώρα. Με βοηθήσατε αρκετά. Θα κάνω τις δοκιμές μου και θα επανέλθω
Ευχαριστώ και πάλι.

Τα APs σου δεν εκπαίμπουν και τα 2 ssid όλα;

[teodor_ch]

Τα APs σου δεν εκπαίμπουν και τα 2 ssid όλα;

Όχι μέχρι τώρα.
Δεν είναι της MK αλλά διάφορων εταιριών απο παλιά.
Όταν χαλάει κάτι το αλλάζουμε συνήθως με Ubiquity πλέον.

[kostas2911]

Όχι μέχρι τώρα.
Δεν είναι της MK αλλά διάφορων εταιριών απο παλιά.
Όταν χαλάει κάτι το αλλάζουμε συνήθως με Ubiquity πλέον.

Οκ έχεις μπλέξει.
Ασχολείσου μόνο με τα unifi και στα άλλα επέλεξε ένα από τα δυο vlan και ssid.
Και προσευχήσου να χαλάνε γρήγορα.

[puntomania]

...πάμε πάλι απ την αρχή... γιατί δεν μου δουλεύει έτσι όπως το έχω.


στο 3011...

στα interface έκανα ένα vlan με ID 500 με interface την bridge (LAN)

bridge (LAN) με τις ether4-ether5 με DHCP 192.168.0.100-192.168.0.200 και IP 192.168.0.1/24

bridge (HOTSPOT) με τις ether6-ether10 & VLAN-500 με DHCP 192.168.3.100-192.168.3.200 και IP 192.168.3.1/24



φεύγει ένα καλώδιο απ την ether5 και πάει στην ether1 του 2011 στο οποίο έχω...


το μηχάνημα έχει dhcp client στην bridge (LAN)

στα interface έκανα ένα vlan με ID 500 με interface την bridge (LAN)

bridge (LAN) με τις ether1-ether5

bridge (HOTSPOT) με τις ether6-ether10 & vlan-500

αν συνδέσω πχ έναν Η/Υ στην ether7... θα έπρεπε να πάρει ip απ τον dhcp του hotspot, δεν το κάνει όμως.

αν όμως συνδέσω στην ether2 ένα rb941 και βάλω στο wlan1 το vlan id 500 και το use tag... όσοι συνδέονται σε αυτό... παίρνουν κανονικά ip απ τον dhcp του hotspot.


οπότε κάτι κάνω λάθος στο κομμάτι του 2011 που αφορά τις ether6-10

[kostas2911]

...πάμε πάλι απ την αρχή... γιατί δεν μου δουλεύει έτσι όπως το έχω.


στο 3011...

στα interface έκανα ένα vlan με ID 500 με interface την bridge (LAN)

bridge (LAN) με τις ether4-ether5 με DHCP 192.168.0.100-192.168.0.200 και IP 192.168.0.1/24

bridge (HOTSPOT) με τις ether6-ether10 & VLAN-500 με DHCP 192.168.3.100-192.168.3.200 και IP 192.168.3.1/24



φεύγει ένα καλώδιο απ την ether5 και πάει στην ether1 του 2011 στο οποίο έχω...


το μηχάνημα έχει dhcp client στην bridge (LAN)

στα interface έκανα ένα vlan με ID 500 με interface την bridge (LAN)

bridge (LAN) με τις ether1-ether5

bridge (HOTSPOT) με τις ether6-ether10 & vlan-500

αν συνδέσω πχ έναν Η/Υ στην ether7... θα έπρεπε να πάρει ip απ τον dhcp του hotspot, δεν το κάνει όμως.

αν όμως συνδέσω στην ether2 ένα rb941 και βάλω στο wlan1 το vlan id 500 και το use tag... όσοι συνδέονται σε αυτό... παίρνουν κανονικά ip απ τον dhcp του hotspot.


οπότε κάτι κάνω λάθος στο κομμάτι του 2011 που αφορά τις ether6-10

Δες εδώ

Αν δεν σου παίξει έτσι δοκίμασε να βάλεις όλες τις θύρες σε ένα bridge χωρίς να φτιάξεις vlan στο 2011 και κάνε untag το vlan500 στις 6-10 από το switch

[puntomania]

Δες εδώ

Αν δεν σου παίξει έτσι δοκίμασε να βάλεις όλες τις θύρες σε ένα bridge χωρίς να φτιάξεις vlan στο 2011 και κάνε untag το vlan500 στις 6-10 από το switch

αν το κατάλαβα σωστά.... θέλει στην ουσία να φτιάξω...

vlan για την είσοδο πχ ether1
vlan για την έξοδο πχ ether10

και γέφυρα που να τα ενώνει.... μαζί με τις ether που θέλω...!!!

[kostas2911]

Όχι στην έξοδο δεν θέλεις εσυ. Είσαι στο πρώτο παράδειγμα.

[puntomania]

Όχι στην έξοδο δεν θέλεις εσυ. Είσαι στο πρώτο παράδειγμα.

οπότε...

vlan για την είσοδο πχ ether1

και γέφυρα του vlan με τις ether που θέλω?

έτσι το είχα... με διαφορά οτι στο vlan αντί για την ether έβαζα την γέφυρα που έχω για όλες τις ether του LAN


θα το δοκιμάσω!

[kostas2911]

Επειδή έχουν αλλάξει αρκετά στις τελευταίες versions δες κι αυτό που είναι φρέσκο.