Mikrotik and VLANs

[jacobp]

Κάτοχος από χτές ενός 4011 και προσπαθώ να φτιάξω την εξής τοπολογία:

internet --> eth1

eth2 = admin_port
eth3,4 = private_lan
eth5,6 = work_lan
eth7,8 = IoT
eth9,10 = Access Points

Το admin port έχει access στον router.
τα 3,4 έχουν access παντού εκτός ρουτερ.
Τα 5,6 έχουν παντού εκτός ρουτερ και private.
τα 7.8 έχουν μόνο στο subnet τους και στο ιντερνετ.
τα 9.10 δεν έχουν σεταριστεί ακόμα γιατί δεν έχω πάρει τα AP.

προς το παρόν έχω φτιάξει τα σχετικά bridges (eth3,4 eth5,6 eth7,8 and eth9,10) με τις σχετικές addresses, dhcp, dhcp pools και firewall rules και όλα δουλεύουν καλά.

Πειραματίστηκα να κάνω πετύχω το ίδιο αποτέλεσμα με vlans και φυσικά απέτυχα

Ποια είναι η σειρά για να φτιάξω vlan isolated subnets?
Φτιάχνω πρώτα το vlan σαν νέο interface και μετά το συνδέω με κάποιο physical interface. Μπορώ να το κάνω associate με το bridge 3,4 για παράδειγμα? πρέπει η bridge να είναι vlan filtering? μάλλον ναι αλλά δεν μου δουλεύει, κάτι χάνω μάλλον.

Όποια βοήθεια ευπρόσδεκτη. Στο firewall μετά θα τα καταφέρω, απλά να ορίσω τα vlan και οι συσκευές να παίρνουν ip που τα πακέτα να είναι vlan tagged. Μάλλον θα χρειαστεί να περνάει και untagged πληροφορία από κάποια interfaces πχ από το bridge3,4

- - - Updated - - -

Με δυσκόλεψε λίγο να βρω πως χειρίζεται τα VLAN το mikrotik αλλά νομίζω αρχίζει να βγαίνει μια άκρη:

Αφήνω τα πρώτα συμπεράσματα εδώ για όποιον τα χρειαστεί:

VLANs in Mikrotik

1. Bridge > Bridge : Create a bridge with the ports you want for example 6 and 7.

2. Bridge > Ports : Assign to each port the PVID you want that will correspond to the desired VLAN. For example:
If we would like that port 6 will be an access port (that means that the port assign VLAN-ID to the packets that coming from the periphery to the router, and remove VLAN-ID to the packets from the router to the periphery), then we should select "admit only untagged and priority tagged" and ingress filtering=yes.
If we would like that port 7 will be an trunk port (that means that the port itself will not assign VLAN-ID but will carry packets back and forth with a VLAN-ID already), then we should select "admit only vlan tagged packets" and ingress filtering = yes.
The administration should be done through an ADMIN VLAN, so actually all trunk ports should drop untagged packets.

3. Bridge > VLANs : Create the bridge-vlan tables (THIS WAS THE MOST DIFFICULT TO UNDERSTAND PART) that we will define which ports or bridges are tagged and which are untagged and define the vlanid for each untagged port.
If we use a bridge with two untagged ports (6 and 7) then we define as untagged the ports 6 and 7, we define the vlanid the SAME vlan-id that we have define in our ports, and as tagged interface we define our bridge of our ports.
If port 6 and port 7 wanted to be in different vlans, then we have to enter 2 entries, the first we enter as untagged the 6 with the corresponding vlanid and another for the 7 with the other vlanid. In both cases as tagged interface we choose the bridge.

4. Interfaces > : We create as many interfaces / vlans as we want PLUS ONE, the ADMIN_MGNT VLAN. So if we want just one vlan for the ports 6 and 7 we create that vlan there and we choose as interface the bridge. Do not forget to create a MGNT VLAN with an ID different from the previous.

5. IP > Addresses : We create the relevant addresses there for our vlans. We choose as interface the vlan we have created.

6. IP > DHCP : We start the wizard to create our DHCP for our vlan network and our MGNT network. We choose as interface the vlan of course.

7. IP > Firewall : We create rules to filter traffic between our vlans.

Δεν το λες και διαισθητικό περιβάλλον αλλά σίγουρα παίρνει τρελλή παραμετροποίηση.

To be continued.

[Space21]

Τα vlans συνηθως τα βάζεις σε switching περιβάλλον. Όταν έχεις ενα ρουτερ με 10 ports και θες διαφορετικα υποδίκτυα δεν θα κάνεις vlans.

[minas]

Ωραίος. Κι εμένα με είχε αποθαρρύνει παλιότερα ο τρόπος ρύθμισης των VLANs στα Mikrotik.

[macro]

Ποια είναι η σειρά για να φτιάξω vlan isolated subnets?

Ετσι οπως το εχεις μπορεις να κανεις isolate μεσω firewall ευκολα, χωρις να στησεις vlans μιας και βλεπω οτι δε σου χρειαζονται.

[jacobp]

Έχοντας χάσει 3 μέρες να καταλάβω πως στο καλό δουλεύουν τα vlans στη mikrotik έχω βγάλει κάποια καλά συμπεράσματα:

1. Πρώτα πρέπει να οριστεί που θα γίνει το tagging με ένα vlan id. Αυτό μπορεί να γίνει από ένα wireless interface, από ένα port ή από ένα device (για παράδειγμα hyperv vm).
2. Αφού γίνει αυτό, η διαδρομή των πακέτων προς τον ρούτερ πρέπει να είναι από vlan aware σημεία και αυτό γίνεται στα bridges με το vlan filtering. Αν δεν ειδοποιήσεις τις bridges να κοιτάνε για vlan tags δεν πρόκειται να γίνει τίποτα. Στο vlan id κάτω από το vlan filtering εγώ προσωπικά αφήνω το 1 γιατί το tagging το κάνει είτε το interface αν είναι wireless είτε το port αν είναι eth.
3. Το πιο σημαντικό από όλα είναι ένας πίνακας που σχηματίζεται στο bridge>Vlans όπου εκεί για να καταλάβω τι ήθελε μου πήρε μία μέρα. Εκεί ορίζεις για κάθε ένα vlan id, τα εξης:
- πάνω πάνω ποια bridge θα αναλάβει το vlan awareness.
- το vlan id
και από κάτω περιγράφεις ουσιαστικά όλη την διαδρομή του πακέτου, δλδ ορίζεις ποιες είναι οι access ports (δλδ untagged δλδ τα σημεία στη διαδρομή που προσθέτουν vlan id) και ποια είναι τα σημεία της διαδρομής (ports bridges etc) που απλά θα επιτρέψουν να περάσει το πακέτο με το συγκεκριμένο vlan id αλλιώς δεν προχωράει προς τον ρούτερ.

Για παράδειγμα αν θέλεις σε κάθε ssid του ασύρματου δικτύου να έχεις άλλο vlan όπως έκανα σήμερα, τότε σε κάθε virtual interface στο wireless βάζεις να κάνει tag με ένα vlan id. Αυτό είναι το "access port" δλδ το σημείο στο δικτυο που προσθέτει το vlan id στην πορεία προς τον router. Μετά πας στο bridge που ανήκει αυτό το interface και δημιουργείς μια πόρτα (port) που αντιστοιχεί το interface με το bridge. To port αλλά και το bridge πρέπει να είναι vlan aware (filtering = yes) με vlan id 1 και accept only vlan tagged πακέτα. Πριν κάνεις όμως αυτό πρέπει να οριστεί στο bridge>vlans ποιες πόρτες είναι tagged και ποιες untagged. Εδώ ας πούμε untagged δεν είναι ΚΑΜΙΑ, γιατί η πόρτα που συσχέτισε το wireless interface με τη bridge δέχεται ήδη ταγκαρισμένα πακέτα αφού το ταγκ το έχει κάνει το interface. Άρα βάζεις και την πόρτα αλλά και το bridge ως tagged και έτσι είσαι έτοιμος.

Εννοείται μετά πρέπει να στήσεις addresses, dhcp etc.

Μπορείς να κάνεις αρκετά πράγματα αλλά εντάξει ο τρόπος που γίνονται είναι εντελώς ανορθόδοξος. Πάρα πολύ μεγάλη ταλαιπωρία για το τίποτα...

Το εντελώς κουφό είναι ότι αν στήσεις access point με vlans όλα δουλέυουν μια χαρά ΕΚΤΟΣ από το WINBOX!!! μόλις απενεργοποιείς τo vlan awareness στο bridge τότε τίποτα δεν δουλεύει αλλά δουλεύει τέλεια το winbox!!!
Δεν έχω καταλάβει τι είναι αυτό και αν έχει κάποιος καμιά ιδέα ας την ρίξει.

setup Interrnet >> 4011 >> hap ac2

Μια προσωρινή λύση που έκανα είναι hard reset, δημιουργία 2 bridges όπου η μία έχει μόνο την ether5 στο hap, και δεν είναι vlan και όλο το υπόλοιπο setup στην άλλη bridge. οπότε αν θέλω να κάνω configuration αλλάζω το καλώδιο που συνδέω στο laptop στην ether5 και αλλάζω ότι χρειάζομαι,

[romankonis]

https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN

- - - Updated - - -

https://wiki.mikrotik.com/wiki/Manua...VLAN_switching

[jacobp]

Και βγήκε και η άκρη και για το access point:

Για να συνδεθεί το winbox στο ap που είναι όλο vlan aware θα πρέπει το entity bridge που υποθέτω ότι συνδέεται με την mac addresss να είναι μέσα στο vlan που είναι κ ο υπολογιστής που προσπαθεί να συνδεθεί. Το ότι η bridge είναι vlan aware με το filtering = yes δεν σημαίνει ότι αυτόματα παίρνει και vlan id η ίδια. Πρέπει λοιπόν να της αποδώσει ο ευατός της ένα vlan id και μάλιστα το ίδιο με αυτό που είναι το pc που συνδέεσαι με winbox. Όταν λοιπόν απλά μετέφερα την bridge από τα tagged interfaces στα untagged για το συγκεκριμένο vlan id ως δια μαγείας έπαιξαν όλα...

Εντάξει μακράν ότι πιο δύσχρηστο έχω χρησιμοποιήσει και με πολύ κακό documentation. Διάβασα ότι παραθέσατε αλλά αυτό δεν υπάρχει παιδιά πουθενά... και δεν είναι κανενα πολύπλοκο setup, router με ένα ap...

anyway καλή σαρακοστή

[macro]

Αν το εκανες με το firewall οπως σου ειχα πει θα γλυτωνες 2 μερες δουλειας.

[jacobp]

Αν το εκανες με το firewall οπως σου ειχα πει θα γλυτωνες 2 μερες δουλειας.

Δεν έχεις άδικο. Είπα να δω αυτό το περίφημο RouterOS αλλά εντάξει δεν υπάρχει...

[minas]

Δεν έχεις άδικο. Είπα να δω αυτό το περίφημο RouterOS αλλά εντάξει δεν υπάρχει...

Όπως όλα τα λειτουργικά συστήματα, έχει τα δυνατά και αδύνατα σημεία του.
Η διαχείριση των VLANs πάει στη δεύτερη κατηγορία .
Από την άλλη, η διαχείριση bridges είναι πανεύκολη και μαζί με firewall λύνει τα 3/4 των αναγκών που θα χρειάζονταν VLAN.

[jacobp]

Το routerOS υποστηρίζει και την διαχείριση vlans μέσω switch chip, σε wire speed και χωρίς καταπόνηση της cpu αλλά αυτό εξαρτάται από το ποιο switch chip έχει ο κάθε router.

Δυστυχώς το 4011 που πήρα έχει realtek που δεν υποστηρίζει vlan management ενώ παραδόξως το hAP ac2 έχει atheros που υποστηρίζει!!!! Ένα πραγματικό μπάχαλο με το hardware που προσφέρει η εταιρεία, και που να ξέρεις όλες αυτές τις λεπτομέρεις πριν αγοράσεις ένα router...
Και για να πας σε σοβαρό μηχάνημα με switch chip που υποστηρίζει hardware offloading and vlan management πρέπει να ανέβεις αρκετά... άρα μια τρύπα στο νερό...
Κρίμα γιατί το 4011 φαίνεται καλή κατασκευή αλλά τώρα με την software υλοποίηση που επιτρέπει για vlans, όλο το traffic περνάει από την cpu... που ναι μεν είναι ισχυρότερη αλλά είναι ένα bottleneck.

Έχει υλοποιήσει κανείς vlan management (isolation etc) μέσω switch chip - hardware και αν ναι σε ποιο μοντέλο?

- - - Updated - - -

Όπως όλα τα λειτουργικά συστήματα, έχει τα δυνατά και αδύνατα σημεία του.
Η διαχείριση των VLANs πάει στη δεύτερη κατηγορία .
Από την άλλη, η διαχείριση bridges είναι πανεύκολη και μαζί με firewall λύνει τα 3/4 των αναγκών που θα χρειάζονταν VLAN.

Έχω διαφορετικά ασύρματα υποδίκτυα για κάθε ομάδα χρηστών του δικτύου, και το καθένα χρειάζεται άλλα δικαιώματα στην διαχείριση των πόρων του δικτύου όπως και στην πρόσβαση σε άλλα υποδίκτυα.
Επειδή έχω δει ότι τα ασύρματα virtual interfaces είναι θυγατρικά ενός master wlan, μπορει κάποιος να κάνει διαχείριση κίνησης και δικαιωμάτων σε ασύρματα υποδίκτυα με bridges χωρίς vlan (with firewall rules obviously in both situations)?

[glf]

jacobp αυτά ακριβώς κάνω εδώ και ένα χρόνο. Ας πούμε εδώ καθαρά και μόνο για VLAN διαχείριση.

Και γω ξεκίνησα χωρίς να έχω ξανασχοληθεί με Mikrotik και είμαι με ένα CRS125 κεντρικό και ένα hAP ac2 στο.. υπόγειο για διαμοιρασμό και δύο cAP για τα ασύρματα.
Χώρισα 3-4 VLAN και για IOT, κάμερες και guest.
Μάλιστα θέλω port VLAN και από το hAP ac2 οπότε στήνεται trunk port με το CRS που μπορεί να μεταφέρει όλα τα VLAN tags.
Και φυσικά τα cAP είναι σε Capsman.
Νομίζω ένα σενάριο που ταιριάζει σε πάρα πολλές περιπτώσεις smart home και εταιρίες.

Στην αρχή το έκανα με τον... εύκολο τρόπο που περιγράφεις και συ με bridge VLAN filtering. Όπως λες και συ, κάθε μηχάνημα και άλλη ιστορία....
Στο 4011 φαντάζομαι δεν επηρεάζει τη CPU, στο CRS1xx όμως βγάζει εκτός το switch chip και δεν έχεις έτσι hardware offloading! Έβαζα να δω 1080 ταινία από το NAS και βαρούσε 100% η cpu (και πειράκια το kodi )
έχω και 5 κάμερες να γράφουν στο NAS οπότε κατάλαβες..

Ήθελα δεν ήθελα, έκατσα να το δω μέσω του Switch menu. και το ρύθμισα εκεί.
Η πλάκα είναι ότι άλλο μενού έχει το CRS1xx και άλλο μενού έχει το hAP ac2 (και ελαφρώς άλλη ρυθμισούλα χρειάστηκε ένα RB951 που έχω για δοκιμές)

Όπως το λες, πρέπει να ξέρεις τι θες να κάνεις πριν παραγγείλεις εξοπλισμό.

Ας αφήσουμε εγώ καθαρά το topic μόνο για VLANs και ίσως πρέπει να κάνουμε και ένα για switch chip QoS για να είναι καθαρά τα θέματα για τους.. επόμενους.

[glf]

Νέο αναλυτικό video tutorial από Network Berg για Bridge Filtering VLAN's

[deniSun]

Έτυχε να δοκιμάσω vlans σε tp-link switces και ομολογώ ότι είναι πολύ πιο ξεκάθαρα τα πράγματα εκεί.

Συμφωνώ με ότι ειπώθηκε:

1. vlans = switches
Δεν τα τρέχεις σε ρούτερ γιατί απλά θα χάσεις τον χρόνο σου.
2. Προφανώς και ο διαχωρισμός δικτύων με vlan μπορεί να γίνει ευκολότερα με routing
αλλά μάλλον σε κάποιους που το απλούστευσαν το θέμα, βλ. tp-link, έλυσε τα χέρια στους admin που δεν ήθελαν να μπλέξουν με δρομολογήσεις.
3. Ναι θέλει πολύ προσοχή στην επιλογή συσκευής γιατί κάθε μία φοράει διαφορετικό chip sw οπότε θέλει διαφορετική υλοποίηση.
Δεν το θεωρώ κακό ή λάθος από μεριάς ΜΤ αλλά θέλει προσοχή.
4. Το πως δηλώνεις τα vlans και πως ορίζεις τι θα περάσει και τι όχι το θεωρώ πολύ μπερδεμένο στο ros.
Θα προτιμούσα μια περισσότερο global υλοποίηση όπου θα είναι κοινή για όλα τα μηχανήματα
και από πίσω ας έκανε το ros ότι ήθελε με την ενεργοποίηση hw-offload, cpu ή sw.
Δεν είναι κάτι που ενδιαφέρει τον χρήστη το πως θα το υλοποιήσει η συσκευή.
Θα αρκούσε μια αναφορά στις προδιαγραφές για το τι θα πάρεις αν χρησιμοποιήσεις vlan στην τάδε συσκευή.

Με την δική μου λογική περίμενα κάτι τέτοιο:
1. Ορίζεις τα vlans που θέλεις, πχ vlan20, vlan30
2. Ορίζεις τα δίκτυα που θα παίζουν σε κάθε vlan, πχ vlan20: 192.168.20.0/24
3. Ορίζεις σε κάθε πόρτα ποια vlans θα τρέξουν και ποια όχι, πχ ether2: tag vlan20, untag vlan30
και την επιλογή αν θα περνάει κάτι άλλο πχ untagάριστο κλπ.
Στην ουσία αυτό κάνουν αλλά με έναν δικό τους τρόπο που εγώ προσωπικά τον βρίσκω μπερδεμένο
όσο μάλιστα δεν υπάρχει κάτι global και υπάρχουν διάφορες υλοποιήσεις αναλόγως του hw.

[glf]

Ε ο global τρόπος υπάρχει και το ROS κανονίζει και για hw-offload αν είναι δυνατόν. Το Bridge VLAN filtering. Μπορείς να το κάνεις σε όλες τις συσκευές και το κάνεις με τον ίδιο ακριβώς τρόπο.
Τα παρατράγουδα αρχίζουν αν πας να δουλέψεις με το Switch menu σε CRS1xx και πιο παλια RB.

Με σωστή επιλογή όμως των συσκευών μας, μπορούμε να έχουμε συσκευές μόνο με Bridge VLAN filtering.
Και γω σιγά σιγά προς τα κει πήγα, απλά και μόνο για να μην έχω πολλά διαφορετικά config για το ίδιο LAN.