Jump to content
  • 0

VLAN "рутиране"

DoubleD

Запитване от DoubleD,

 Сподели

Въпрос

DoubleD Новобранец

DoubleD

Публикувано
Публикувано (Редактирано)

Така, какво се опитвам да направя:

HAP Ac2

  • - WAN ether1 - ISP-то дава до 5 ИП-та, 1-вото ИП трябва да го вземе рутера (DHCP-клиент)
  • - LAN ether2-5 - DHCP-сървър + NAT (ънтагнат "дефолт" влан)

Отделно на портове 2-5 - във тагнат влан 500 да върви директно "WAN" порта - т.е. бодваме 1 кабел в порт 3 примерно, нагласяме ланката на "клиента" във VLAN 500 - трябва да си вземе реално ИП по DHCP през WAN-а, като трафика който излиза от WAN не трябва да е във VLAN (тагнат/ънтагнат).

Защо цялата тази въртележка - на "сървър-на" машина - само 1 лан порт и никакви свободни PCIe слотове. Там работи Proxmox (хост) с "vlan-aware vmbr0" заедно със 5 VM-a трябва да си вземат локални ИП от микротик (т.е. да ползват NAT), като, от същия порт - в тагнат влан (vmbr0.500) - 6-тия ВМ да си вземе реален ИП по DHCP от директно ISP-то.

Някакви идеи? 10 души казаха "става" но никой не се нае да помогне или обясни точно как, цял ден изгубих днес в опити да го подкарам (безуспешно).

Редактирано от DoubleD
Адрес на коментара
Сподели в други сайтове

12 отговори на този въпрос

Recommended Posts

  • 0
  • Собственик
Влади Изследовател

Влади

Отговорено
  • Собственик
Отговорено

Здрасти

Аз имам подобно работещо решение, но не те съветвам Микротик-VM-а ти да рутира целия трафик.

При мен в момента от дейта центъра ми дават ип-тата на eth0 и натам да се спасявам, 

етх0 е в bridge0 , Реално ИП на Bridge0 за проксмоск-а, а от там вече и ИП-та към VM-мите, отделно имам няколко bridge1.2.3 и т.н за Микротик-VM-а, за да отделя един трафик за едни тунели дето търкалям, но в основния bridge0 са само реалните адреси, 

Mikrotik-VM 

eth0 > Bridge0-Proxmox

eth1 > Bridge1-Proxmox- вътрешен трафик след като пристигне трафика към микротика от eth0 да се изолира и ходи само единствено през Микротика до примерно Windows-server-VM-а по бридж1, пък в бридж1 е вкаран тунел където идва от друго място и така работата става, пада тунела и повече никой не може да види тези VM-ми, че съществуват изобщо. 

Bridge2 пък пак от Микритка за друго друг изолиран трафик за други VM-ми който нямат нищо общо с VM-мите от bridge1

ПС, даже форума е на този proxmox :) 

Разликата между английските ,руските и българските форуми:

в английския форум задаваш въпрос, отговарят

в руския задваш въпрос ,отговарят ти и на свой ред те питат нещо

в българския форум, като зададеш въпрос всички започват да ти обясняват колко си прост

Недей да спориш с глупака. Първо ще те приравни до неговото ниво, после ще те бие с опита си.

-------------------

Когато фактите говорят и боговете мълчат

Адрес на коментара
Сподели в други сайтове
  • 0
DoubleD
Новобранец

DoubleD

Отговорено
  • Автор
Отговорено (Редактирано)
14 minutes ago, Влади said:

Здрасти

Аз имам подобно работещо решение, но не те съветвам Микротик-VM-а ти да рутира целия трафик.

При мен в момента от дейта центъра ми дават ип-тата на eth0 и натам да се спасявам, 

етх0 е в bridge0 , Реално ИП на Bridge0 за проксмоск-а, а от там вече и ИП-та към VM-мите, отделно имам няколко bridge1.2.3 и т.н за Микротик-VM-а, за да отделя един трафик за едни тунели дето търкалям, но в основния bridge0 са само реалните адреси, 

Mikrotik-VM 

eth0 > Bridge0-Proxmox

eth1 > Bridge1-Proxmox- вътрешен трафик след като пристигне трафика към микротика от eth0 да се изолира и ходи само единствено през Микротика до примерно Windows-server-VM-а по бридж1, пък в бридж1 е вкаран тунел където идва от друго място и така работата става, пада тунела и повече никой не може да види тези VM-ми, че съществуват изобщо. 

Bridge2 пък пак от Микритка за друго друг изолиран трафик за други VM-ми който нямат нищо общо с VM-мите от bridge1

ПС, даже форума е на този proxmox :) 

 

Та, микротика ми не е VM, а дивайс - хап ац2.

Да слагам 2 ИП-та директно в микротика също не е решение защото във самия ВМ трябва да е сложен IP адреса, иначе не работи софтуера.

Та, търся точно по описания начин как да се направи.

Редактирано от DoubleD
Адрес на коментара
Сподели в други сайтове
  • 0
DoubleD
Новобранец

DoubleD

Отговорено
  • Автор
Отговорено (Редактирано)
8 minutes ago, iv. said:

Вкарарай ISP-то във избран от теб VLAN и след това си го прехвърляй където ти трябва.

Сефте ползвам микротик, затова съм тук да питам как да го направя, все пак "вкарай това" и аз знам че трябва да го вкарам ама незнам как... :)

Кога да се тагва кога да се разтагва.. щото във "ван"-а тагнат пакет ако пратиш - нищо няма да стане.., там всичко е без влан.

И къде трябва да има "влан филтри" "ингрес филтри" и тн - въобще..

Редактирано от DoubleD
Адрес на коментара
Сподели в други сайтове
  • 0
  • Администратор
kokaracha Ентусиаст

kokaracha

Отговорено
  • Администратор
Отговорено

Виртуалките могат да си вземат публичен адрес директно от доставчика. Вкарай виртуалните интерфейси във бриджа на хоста.

 

 

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Адрес на коментара
Сподели в други сайтове
  • 0
DoubleD
Новобранец

DoubleD

Отговорено
  • Автор
Отговорено

Идеята е да не си вземат.

Реално ИП №1 си взема микротика.

Хоста + 5 виртуаклки да си вземат локални ИП-та от микротика, само 1 виртуалка във влан Х тагнат която трафика и винаги ще е тагнат - да си вземе реално ИП №2

Адрес на коментара
Сподели в други сайтове
  • 0
slevin Новак

slevin

Отговорено
Отговорено (Редактирано)

Може да опиташ следната конфигурация:

/interface bridge

add name=bridge-vlan500 vlan-filtering=yes pvid=500

/interface bridge port

add bridge=bridge-vlan500 interface=ether0 pvid=500 
add bridge=bridge-vlan500 vlan-ids=500 tagged=bridge-vlan500,ether1 untagged=ether0 

Командите правят следното:
Създава бридж, върху който можеш да назначиш директно IP Address(DHCP,etc.от доставчика). 
На eth0 untagged L2 пакетите, който постъпват се вмъкват във vlan 500, съответно пакеките ще излязат от eth1 с tag vlan id 500 в обратна посока е противоположното.
На eth1 си вдигаш частната мрежа, а тя ще работи върху untagged L2.

П.п. Aко предпочиташ да вдигнеш IP адреса върху vlan интерфейс, вместо на брижда, то си вдигни vlan интерфейс, направи го член на бриджа. 

/interface vlan
add name=vlan500 interface=bridge-vlan500 vlan-id=500

Адаптирай конфигурацията според твойте нужди. 

П.П. Върни отговор дали това решение ще решава задачата, нямам възможност да го пробвам/симулирам. 

Редактирано от slevin
Адрес на коментара
Сподели в други сайтове
  • 0
DoubleD
Новобранец

DoubleD

Отговорено
  • Автор
Отговорено

Във микротик форума по-рано ми дадоха това, работи перфектно:

- bridge all ports together
- bridge itself is your untagged LAN
- give PVID 2 to bridge port ether1
- add VLAN interface with id 2 on bridge
- VLAN interface is your new WAN
- configure VLAN assigment on bridge (in Bridge->VLANs), add VLAN 2 as untagged on ether1 and tagged on ether2-5 and bridge
- enable bridge VLAN filtering

Благодаря на всички за помоща! :)

Адрес на коментара
Сподели в други сайтове
  • 0
mysticall Новак

mysticall

Отговорено
Отговорено
Преди 8 часа, DoubleD написа:

Интересно дали това същото може да се направи през Switch ..?

Зависи какво искаш да направиш. Ако искаш да пуснеш даден VLAN на няколко порта, почти всеки management switch ще ти свърши работа.

Примерно с правилен Cisco суич може да направиш много повече неща и ще е по-надеждно от микротик. Всичко зависи от конкретните нужди и схемата по която се работи.

Адрес на коментара
Сподели в други сайтове
  • 0
DoubleD
Новобранец

DoubleD

Отговорено
  • Автор
Отговорено
1 hour ago, mysticall said:

Зависи какво искаш да направиш. Ако искаш да пуснеш даден VLAN на няколко порта, почти всеки management switch ще ти свърши работа.

Примерно с правилен Cisco суич може да направиш много повече неща и ще е по-надеждно от микротик. Всичко зависи от конкретните нужди и схемата по която се работи.

Имах в предвид същото което по-горе направихме, само че през "switch" менюто на микротика, не на някой си managed суич.

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
 Сподели
Go to question listing

  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.

  I accept