Ubiquiti VLAN през Микротик

[johnnie]

Здравейте,

От няколко дни се опитвам да изпълня една конфигурация, за която обещах да помогна - вече съжалявам.
Търсения ефект е да се вържат 3бр Ubiquity AP към Микротик router/switch и да има работещи VLAN-ни.
Един за management(VLAN101), един за няколко специални машинки(VLAN106), които трябва да бъдат изолирани и един за Guest Wi-fi(VLAN111).

Опитах по обичайния начин за Микротик с trunk ports до AP-тата и до Ubiquiti Cloud Key-я, но не се получи.
Всички VLAN-и бяха конфигурирани на ниво bridge, спрямо документацията на Микротик (работи с CapAC).
Нито едно от устройствата не успя да си вземе IP. Смених порта на Cloud Key-а от trunk на access в management VLAN, но пак не свърши работа.

Единствената информация, която намерих за подобна конфигурация е чрез master/slave интерфейси, но в моя случай няма да свърши работа.

Някой сблъсквал ли се е с този проблем? 
Какъв тип трябва да са портовете към Ubiquiti оборудването - Trunk, Access или дори Hybrid ?

Текущата версия е ROS 6.42.6.

Поздрави !

[JohnTRIVOLTA]

преди 8 минути, johnnie написа:

Здравейте,

От няколко дни се опитвам да изпълня една конфигурация, за която обещах да помогна - вече съжалявам.
Търсения ефект е да се вържат 3бр Ubiquity AP към Микротик router/switch и да има работещи VLAN-ни.
Един за management(VLAN101), един за няколко специални машинки(VLAN106), които трябва да бъдат изолирани и един за Guest Wi-fi(VLAN111).

Опитах по обичайния начин за Микротик с trunk ports до AP-тата и до Ubiquiti Cloud Key-я, но не се получи.
Всички VLAN-и бяха конфигурирани на ниво bridge, спрямо документацията на Микротик (работи с CapAC).
Нито едно от устройствата не успя да си вземе IP. Смених порта на Cloud Key-а от trunk на access в management VLAN, но пак не свърши работа.

Единствената информация, която намерих за подобна конфигурация е чрез master/slave интерфейси, но в моя случай няма да свърши работа.

Някой сблъсквал ли се е с този проблем? 
Какъв тип трябва да са портовете към Ubiquiti оборудването - Trunk, Access или дори Hybrid ?

Текущата версия е ROS 6.42.6.

Поздрави !

Здравейте,

Като начало можете да ъбдейтните борда до последен стейбъл рилийз и да пшостнете някакъв експорт на борда ! 

[johnnie]

Здравейте,

Знам, че версията е старичка, но не искам да се забърквам с повече проблеми. Както споменах обещах да помогна само с това, има доста VPN тунели и няколко Site-to-Site тунела, които най-вероятно ще трябва да се оправят след версия 6.44 ( или в която версия беше промяната в IPSec).

Относно експорт-а ... снощи за пореден път върнах всички настройки от бекъп за да има Wi-Fi :).

Ориентировъчно, това е което следвах като записки подготвени преди да започна:

 

ether3 - Ubiguiti Cloud Key
ether6 - Ubiguiti AP1
ether7 - Ubiguiti AP2
ether8 - Ubiguiti AP3

 

#######################################
# VLAN Overview
#######################################

# 111 = Guest
# 106 = Isolated
# 101 = BASE (MGMT) VLAN

#######################################
# Bridge
#######################################

# create one bridge, set VLAN mode off while we configure
/interface bridge add name=bridge protocol-mode=none vlan-filtering=no

#######################################
# -- Access Ports --
#######################################

# ingress behavior
/interface bridge port

# MGMT VLAN
add bridge=bridge interface=ether3 pvid=101

# egress behavior
/interface bridge vlan

# MGMT, Guest VLAN
add bridge=bridge untagged=ether3 vlan-ids=101

#######################################
# -- Trunk Ports --
#######################################

# ingress behavior
/interface bridge port

# Trunk. Leave pvid set to default of 1
add bridge=bridge interface=ether6,ether7,ether8

# egress behavior
/interface bridge vlan

# Trunk. These need IP Services (L3), so add Bridge as member
add bridge=bridge tagged=bridge,ether6,ether7,ether8 vlan-ids=101
add bridge=bridge tagged=bridge,ether6,ether7,ether8 vlan-ids=106
add bridge=bridge tagged=bridge,ether6,ether7,ether8 vlan-ids=111

#######################################
# IP Addressing & Routing
#######################################

# MGMT_VLAN
/interface vlan add interface=bridge name=vlan101 vlan-id=101
/ip address add address=192.168.1.1/24 interface=vlan101

# Isolated VLAN
/interface vlan add interface=bridge name=vlan106 vlan-id=106
/ip address add address=192.168.6.1/24 interface=vlan106

# LAN facing router's IP address on the MGMT_VLAN
/interface vlan add interface=bridge name=vlan111 vlan-id=111
/ip address add address=192.168.111.1/24 interface=vlan111

.... Add /ip pool, /ip dhcp-server and  /ip dhcp-server network for corresponding VLANS...

#######################################
# VLAN Security
#######################################

# Only allow ingress packets without tags on Access Ports
/interface bridge port
set bridge=bridge ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=ether3]

# Only allow packets with tags over the Trunk Ports
/interface bridge port
set bridge=bridge ingress-filtering=yes frame-types=admit-only-vlan-tagged [find interface=ether6]
set bridge=bridge ingress-filtering=yes frame-types=admit-only-vlan-tagged [find interface=ether7]
set bridge=bridge ingress-filtering=yes frame-types=admit-only-vlan-tagged [find interface=ether8]

#######################################
# Turn on VLAN mode
#######################################
/interface bridge set bridge vlan-filtering=yes

 

Поздрави.

[JohnTRIVOLTA]

До колкото виждам имаш 2 бриджа, а филтъринг можеше май само на един да се ползва. Аз бих пробвал следното на твое място:

/interface bridge port 
add bridge=bridge_trunk interface=ether6
add bridge=bridge_trunk interface=ether7
add bridge=bridge_trunk interface=ether8
/interface vlan 
add interface=bridge_trunk vlan-id=101 name=vlan101
add interface=bridge_trunk vlan-id=106 name=vlan106
add interface=bridge_trunk vlan-id=111 name=vlan111
/interface bridge add name=bridge_MGMT
/interface bridge port
add bridge=bridge_MGMT interface=ether3
add bridge=bridge_MGMT interface=vlan101
/ip address add address=192.168.1.1/24 interface=bridge_MGMT
/ip address add address=192.168.6.1/24 interface=vlan106
/ip address add address=192.168.111.1/24 interface=vlan111

и т.н , като изолацията на L3 мрежите ще се направи в рутинг таблицата:

/ip route rule
add action=drop dst-address=192.168.6.0/24 src-address=192.168.1.0/24
add action=drop dst-address=192.168.1.0/24 src-address=192.168.6.0/24
add action=drop dst-address=192.168.6.0/24 src-address=192.168.11.0/24
add action=drop dst-address=192.168.11.0/24 src-address=192.168.0.0/24
add action=drop dst-address=192.168.11.0/24 src-address=192.168.6.0/24
add action=drop dst-address=192.168.1.0/24 src-address=192.168.11.0/24

 

[bezimenen]

Портовете трябва да са trunk с native vlan 101 (да си комуникират ап-тата с контролера). Съответно ап-тата ще са в мрежата 101. SSID-тата ги правиш в другите мрежи.

Редактирано 16 Януари, 2020 от bezimenen