Indice   FAQ  
Iscriviti  Login
Indice RouterOS RouterOS

vlan management access

Tutto su questo sistema operativo linux based - Configurazioni, dubbi, problematiche &....

vlan management access

Messaggioda zippoalice » lun 4 mar 2019, 23:42

Buona sera a tutti,

vi chiedo un aiuto

sono riuscito a configurare 3 rb (nel caso 3x rb941-2nd-tc) con vlan filtering

lo scopo era poter accedere ad una certa subnet in base all'ssid (ssid1 - vlan 20- subnet 192.168.20.xx ssid2 - vlan 30 - subnet 192.168.30.xx) in modo da poter accedere a stampanti e nas di quella determinata subnet

in sintesi al momento la configurazione è:

rb1 collegata su eth1 untagged verso isp in dhcp client

rb1 ha 2 dhcp server, uno su vlan20 e l'altro su vlan30, entrambe in trunk su eth2


rb2 riceve il trunk su eth1, ed è configurata con eth2 (vlan20), eth3 (vlan 20)e wlan (con 2 ssd il primo su vlan20 e l'altro su vlan30) come vlan access port, mentre eth4 è il trunk verso rb3

rb3 riceve il trunk su eth1 ed è configurata con eth2 (vlan30),3(vlan30),4(vlan30) e wlan (con 2 ssd il primo su vlan20 e l'altro su vlan30)come access port

rb2 e rb3 non hanno ip (come da configurazione consigliata dal wiki) per cui non riesco ad accedervi ameno che dalla porta eth1.

dal wiki leggo che dovrei configurare un'altra vlan da utilizzare per l'acceso di management alle rb ma non riesco a completare la configurazione

avete consigli?

grazie a tutti e buona serata
zippoalice
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 22
Iscritto il: sab 8 dic 2018, 11:16
Uso routerOS dalla Versione: v6.x

Re: vlan management access

Messaggioda abbio90 » ven 29 mar 2019, 23:14

Puoi creare un.altra vlan che devi inserire nel trunk di tutte le rb..
Ad ogni rb assegni un.ip sulla nuova vlan..
Sulla rb1 crei una wlan virtuale magari nascosta e la unisci alla vlan famosa per il management..cosi collegandosi alla Wi-Fi nascosta della rb1 fai il management delle altre rb
Scopri https://foisfabio.it - Tutorial sul Network
Avatar utente
abbio90
Mikrotik-Pro 1° Liv
Mikrotik-Pro 1° Liv
 
Messaggi: 517
Iscritto il: lun 26 giu 2017, 19:11
Località: Oristano
Uso routerOS dalla Versione: v4.x
Certificazioni Mikrotik: MTCNA

Re: vlan management access

Messaggioda zippoalice » sab 30 mar 2019, 0:51

Perfetto provo, grazie
zippoalice
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 22
Iscritto il: sab 8 dic 2018, 11:16
Uso routerOS dalla Versione: v6.x

Re: vlan management access

Messaggioda zippoalice » dom 31 mar 2019, 20:10

Ho provato,

Funziona su una ma non sulla seconda

Ma, Mi é venuto u dubbio...

Sul wiki https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table

Mi pare di aver capito che su una
singola rb, posso associare solo una porta a una Vlan, ad esempio:

Rb con 4 ethernet

Eth1:porta trunk tagged con vlan 10, 20 e 30

Eth2 untagged con vlan 10
Eth3 untagged con vlan 20
Eth4 Trunk vs altra rb target vlan 10, 20 e 30

Posso farlo,

Mentre se facessi

Eth1:porta trunk tagged con vlan 10, 20 e 30

Eth2 untagged con vlan 10
Eth3 untagged con vlan 10
Eth4 Trunk vs altra rb target vlan 10, 20 e 30

Quindi con vlan 10 su 2 porte untagged non sarebbe corretto giusto? Dovrei mettere un normale switch su eth2 e da lì utilizzare tutte le porte che voglio (che avranno i dirizzo sotto dhcp vlan10)

Ho capito bene?

Oppure posso farlo creando 2 bridge?
zippoalice
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 22
Iscritto il: sab 8 dic 2018, 11:16
Uso routerOS dalla Versione: v6.x

Re: vlan management access

Messaggioda abbio90 » lun 1 apr 2019, 22:02

Io creo i bridge e lavori a livello software...
Caso due creo un bridge con dentro la vlan 10 e la eth2 e 3..
Per comodità lo nomino bridge vlan10 o comunque un.etichetta che descrive la vlan
Scopri https://foisfabio.it - Tutorial sul Network
Avatar utente
abbio90
Mikrotik-Pro 1° Liv
Mikrotik-Pro 1° Liv
 
Messaggi: 517
Iscritto il: lun 26 giu 2017, 19:11
Località: Oristano
Uso routerOS dalla Versione: v4.x
Certificazioni Mikrotik: MTCNA

Re: vlan management access

Messaggioda zippoalice » mer 3 apr 2019, 1:46

ok

quindi posso fare in entrambi i modi?

ho provato con 2 bridge,
ho creato un interfaccia vlan20, messa poi in bridge2 con eth2 e eth3 :
funziona ma da eth2 e eth3 posso entrare con winbox e gtramite mac adress configurare la RB cosa che volevo evitare e gestire con la vlan_mng (id99)
sotto l'export

Codice: Seleziona tutto
/interface bridge
add fast-forward=no name=bridge1 vlan-filtering=yes
add fast-forward=no name=bridge2
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface vlan
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan_mng vlan-id=99
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge2 interface=ether3
add bridge=bridge1 interface=ether4 pvid=30
add bridge=bridge1 interface=ether1
add bridge=bridge2 interface=ether2
add bridge=bridge2 interface=vlan20
/interface bridge vlan
add bridge=bridge1 tagged=ether1 untagged=vlan20 vlan-ids=20
add bridge=bridge1 tagged=ether1 untagged=ether4 vlan-ids=30
add bridge=bridge1 tagged=ether1,bridge1 vlan-ids=99
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=vlan_mng
/system clock
set time-zone-name=Europe/Rome
/system identity
set name=Ufficio_test
/system routerboard settings
set silent-boot=no



oppure come dicevamo assegnando piu porte alla stessa vlan, funziona ma non so se è corretto (se ho letto e compreso bene il wiki potrei creare problemi)

Codice: Seleziona tutto
/interface bridge
add fast-forward=no name=bridge1 vlan-filtering=yes
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface vlan
add interface=bridge1 name=vlan_mng vlan-id=99
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether3 pvid=20
add bridge=bridge1 interface=ether4 pvid=30
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2 pvid=20
/interface bridge vlan
add bridge=bridge1 tagged=ether1 untagged=ether3,ether2 vlan-ids=20
add bridge=bridge1 tagged=ether1 untagged=ether4 vlan-ids=30
add bridge=bridge1 tagged=ether1,bridge1 vlan-ids=99
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=vlan_mng
/system clock
set time-zone-name=Europe/Rome
/system identity
set name=Ufficio_test
/system routerboard settings
set silent-boot=no


quale è l'approccio piu corretto?
zippoalice
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 22
Iscritto il: sab 8 dic 2018, 11:16
Uso routerOS dalla Versione: v6.x

Re: vlan management access

Messaggioda abbio90 » gio 4 apr 2019, 21:13

secondo me la soluzione 1 che hai postato, poi vai su ip service e le dici che a winbox puoi accedere solo da determinata subnet e ci spari quella di mng con finale 0/24
io disabilitertei poi tutti gli altri servizi che ti appaiono se entri solo da winbox, sopratutto se la rb ha attestato un'ip pubblico magari ti tieni le api e winbox specificando da che subnet ci vuoi entrare
Scopri https://foisfabio.it - Tutorial sul Network
Avatar utente
abbio90
Mikrotik-Pro 1° Liv
Mikrotik-Pro 1° Liv
 
Messaggi: 517
Iscritto il: lun 26 giu 2017, 19:11
Località: Oristano
Uso routerOS dalla Versione: v4.x
Certificazioni Mikrotik: MTCNA

Re: vlan management access

Messaggioda abbio90 » gio 4 apr 2019, 21:15

se usi la soluzione uno devi cancellare questa parte
/interface bridge vlan
add bridge=bridge1 tagged=ether1 untagged=vlan20 vlan-ids=20
add bridge=bridge1 tagged=ether1 untagged=ether4 vlan-ids=30
add bridge=bridge1 tagged=ether1,bridge1 vlan-ids=99
non è necessaria..
Scopri https://foisfabio.it - Tutorial sul Network
Avatar utente
abbio90
Mikrotik-Pro 1° Liv
Mikrotik-Pro 1° Liv
 
Messaggi: 517
Iscritto il: lun 26 giu 2017, 19:11
Località: Oristano
Uso routerOS dalla Versione: v4.x
Certificazioni Mikrotik: MTCNA



Torna a RouterOS

Chi c’è in linea

Visitano il forum: Google Adsense [Bot] e 8 ospiti