Jump to content
  • 0

VLAN "рутиране"

DoubleD

Asked by DoubleD,

 Share

Question

DoubleD Rookie

DoubleD

Posted
Posted (edited)

Така, какво се опитвам да направя:

HAP Ac2

  • - WAN ether1 - ISP-то дава до 5 ИП-та, 1-вото ИП трябва да го вземе рутера (DHCP-клиент)
  • - LAN ether2-5 - DHCP-сървър + NAT (ънтагнат "дефолт" влан)

Отделно на портове 2-5 - във тагнат влан 500 да върви директно "WAN" порта - т.е. бодваме 1 кабел в порт 3 примерно, нагласяме ланката на "клиента" във VLAN 500 - трябва да си вземе реално ИП по DHCP през WAN-а, като трафика който излиза от WAN не трябва да е във VLAN (тагнат/ънтагнат).

Защо цялата тази въртележка - на "сървър-на" машина - само 1 лан порт и никакви свободни PCIe слотове. Там работи Proxmox (хост) с "vlan-aware vmbr0" заедно със 5 VM-a трябва да си вземат локални ИП от микротик (т.е. да ползват NAT), като, от същия порт - в тагнат влан (vmbr0.500) - 6-тия ВМ да си вземе реален ИП по DHCP от директно ISP-то.

Някакви идеи? 10 души казаха "става" но никой не се нае да помогне или обясни точно как, цял ден изгубих днес в опити да го подкарам (безуспешно).

Edited by DoubleD
Link to comment
Share on other sites

12 answers to this question

Recommended Posts

  • 0
  • Owner
Влади Explorer

Влади

Posted
  • Owner
Posted

Здрасти

Аз имам подобно работещо решение, но не те съветвам Микротик-VM-а ти да рутира целия трафик.

При мен в момента от дейта центъра ми дават ип-тата на eth0 и натам да се спасявам, 

етх0 е в bridge0 , Реално ИП на Bridge0 за проксмоск-а, а от там вече и ИП-та към VM-мите, отделно имам няколко bridge1.2.3 и т.н за Микротик-VM-а, за да отделя един трафик за едни тунели дето търкалям, но в основния bridge0 са само реалните адреси, 

Mikrotik-VM 

eth0 > Bridge0-Proxmox

eth1 > Bridge1-Proxmox- вътрешен трафик след като пристигне трафика към микротика от eth0 да се изолира и ходи само единствено през Микротика до примерно Windows-server-VM-а по бридж1, пък в бридж1 е вкаран тунел където идва от друго място и така работата става, пада тунела и повече никой не може да види тези VM-ми, че съществуват изобщо. 

Bridge2 пък пак от Микритка за друго друг изолиран трафик за други VM-ми който нямат нищо общо с VM-мите от bridge1

ПС, даже форума е на този proxmox :) 

Разликата между английските ,руските и българските форуми:

в английския форум задаваш въпрос, отговарят

в руския задваш въпрос ,отговарят ти и на свой ред те питат нещо

в българския форум, като зададеш въпрос всички започват да ти обясняват колко си прост

Недей да спориш с глупака. Първо ще те приравни до неговото ниво, после ще те бие с опита си.

-------------------

Когато фактите говорят и боговете мълчат

Link to comment
Share on other sites
  • 0
DoubleD
Rookie

DoubleD

Posted
  • Author
Posted (edited)
14 minutes ago, Влади said:

Здрасти

Аз имам подобно работещо решение, но не те съветвам Микротик-VM-а ти да рутира целия трафик.

При мен в момента от дейта центъра ми дават ип-тата на eth0 и натам да се спасявам, 

етх0 е в bridge0 , Реално ИП на Bridge0 за проксмоск-а, а от там вече и ИП-та към VM-мите, отделно имам няколко bridge1.2.3 и т.н за Микротик-VM-а, за да отделя един трафик за едни тунели дето търкалям, но в основния bridge0 са само реалните адреси, 

Mikrotik-VM 

eth0 > Bridge0-Proxmox

eth1 > Bridge1-Proxmox- вътрешен трафик след като пристигне трафика към микротика от eth0 да се изолира и ходи само единствено през Микротика до примерно Windows-server-VM-а по бридж1, пък в бридж1 е вкаран тунел където идва от друго място и така работата става, пада тунела и повече никой не може да види тези VM-ми, че съществуват изобщо. 

Bridge2 пък пак от Микритка за друго друг изолиран трафик за други VM-ми който нямат нищо общо с VM-мите от bridge1

ПС, даже форума е на този proxmox :) 

 

Та, микротика ми не е VM, а дивайс - хап ац2.

Да слагам 2 ИП-та директно в микротика също не е решение защото във самия ВМ трябва да е сложен IP адреса, иначе не работи софтуера.

Та, търся точно по описания начин как да се направи.

Edited by DoubleD
Link to comment
Share on other sites
  • 0
DoubleD
Rookie

DoubleD

Posted
  • Author
Posted (edited)
8 minutes ago, iv. said:

Вкарарай ISP-то във избран от теб VLAN и след това си го прехвърляй където ти трябва.

Сефте ползвам микротик, затова съм тук да питам как да го направя, все пак "вкарай това" и аз знам че трябва да го вкарам ама незнам как... :)

Кога да се тагва кога да се разтагва.. щото във "ван"-а тагнат пакет ако пратиш - нищо няма да стане.., там всичко е без влан.

И къде трябва да има "влан филтри" "ингрес филтри" и тн - въобще..

Edited by DoubleD
Link to comment
Share on other sites
  • 0
  • Administrator
kokaracha Enthusiast

kokaracha

Posted
  • Administrator
Posted

Виртуалките могат да си вземат публичен адрес директно от доставчика. Вкарай виртуалните интерфейси във бриджа на хоста.

 

 

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites
  • 0
DoubleD
Rookie

DoubleD

Posted
  • Author
Posted

Идеята е да не си вземат.

Реално ИП №1 си взема микротика.

Хоста + 5 виртуаклки да си вземат локални ИП-та от микротика, само 1 виртуалка във влан Х тагнат която трафика и винаги ще е тагнат - да си вземе реално ИП №2

Link to comment
Share on other sites
  • 0
slevin Newbie

slevin

Posted
Posted (edited)

Може да опиташ следната конфигурация:

/interface bridge

add name=bridge-vlan500 vlan-filtering=yes pvid=500

/interface bridge port

add bridge=bridge-vlan500 interface=ether0 pvid=500 
add bridge=bridge-vlan500 vlan-ids=500 tagged=bridge-vlan500,ether1 untagged=ether0 

Командите правят следното:
Създава бридж, върху който можеш да назначиш директно IP Address(DHCP,etc.от доставчика). 
На eth0 untagged L2 пакетите, който постъпват се вмъкват във vlan 500, съответно пакеките ще излязат от eth1 с tag vlan id 500 в обратна посока е противоположното.
На eth1 си вдигаш частната мрежа, а тя ще работи върху untagged L2.

П.п. Aко предпочиташ да вдигнеш IP адреса върху vlan интерфейс, вместо на брижда, то си вдигни vlan интерфейс, направи го член на бриджа. 

/interface vlan
add name=vlan500 interface=bridge-vlan500 vlan-id=500

Адаптирай конфигурацията според твойте нужди. 

П.П. Върни отговор дали това решение ще решава задачата, нямам възможност да го пробвам/симулирам. 

Edited by slevin
Link to comment
Share on other sites
  • 0
DoubleD
Rookie

DoubleD

Posted
  • Author
Posted

Във микротик форума по-рано ми дадоха това, работи перфектно:

- bridge all ports together
- bridge itself is your untagged LAN
- give PVID 2 to bridge port ether1
- add VLAN interface with id 2 on bridge
- VLAN interface is your new WAN
- configure VLAN assigment on bridge (in Bridge->VLANs), add VLAN 2 as untagged on ether1 and tagged on ether2-5 and bridge
- enable bridge VLAN filtering

Благодаря на всички за помоща! :)

Link to comment
Share on other sites
  • 0
mysticall Newbie

mysticall

Posted
Posted
Преди 8 часа, DoubleD написа:

Интересно дали това същото може да се направи през Switch ..?

Зависи какво искаш да направиш. Ако искаш да пуснеш даден VLAN на няколко порта, почти всеки management switch ще ти свърши работа.

Примерно с правилен Cisco суич може да направиш много повече неща и ще е по-надеждно от микротик. Всичко зависи от конкретните нужди и схемата по която се работи.

Link to comment
Share on other sites
  • 0
DoubleD
Rookie

DoubleD

Posted
  • Author
Posted
1 hour ago, mysticall said:

Зависи какво искаш да направиш. Ако искаш да пуснеш даден VLAN на няколко порта, почти всеки management switch ще ти свърши работа.

Примерно с правилен Cisco суич може да направиш много повече неща и ще е по-надеждно от микротик. Всичко зависи от конкретните нужди и схемата по която се работи.

Имах в предвид същото което по-горе направихме, само че през "switch" менюто на микротика, не на някой си managed суич.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.

  I accept