Problem s routovanim VLAN

shacool

Zdravim, som v mikrotiku novy a chcem vas poprosit o pomoc. Mam trochu specificku situaciu, tak sa to budem snazit co najjednoduchsie objasnit.

Na mikrotiku RB750GL mam 3 siete na troch bridge interfacoch. (+ defaultna do internetu).

Bridge10 a zaroven VLAN10 10.54.1.0/24 - je hostovska siet wifi s pristupom iba na internet.

Bridge20 a zaroven VLAN20 10.54.10.0/24 - je druha siet pre zamestnancov, ktora ma okrem pristupu na internet aj pristup do internej firemnej siete 10.53.0.0/16.

Bridge250 10.54.250.0/24 - je management siet, v ktorej su pripojene Unifi AP anteny, aby distribuovali dve nizsie uvedene siete.

Problem je ten, ze zatial co zo siete Bridge20 sa do internej 10.53.0.0 v pohode dostanem, z bridge250 nie. Skusal som sa hrat uz s routovanim, Vlanami co som nasiel na internete, no nic nepomohlo.

Vidim dva sposoby ako problem vyriesit, no ani jeden sa mi nepodarilo uspesne zrealizovat.

1. Pridam AP anteny priamo do siete bridge20 (co nam nevadi) a zrusim siet bridge250. Stane sa vsak to, ze vtedy su APcka v rovnakej sieti ako je jedna z VLAN, ktoru distribuuju. AP sa vtedy dostane do stavu, kedy sa pri pingani z mikrotiku striedaju nepravidelne timeouty s pinganim. A ked sa ako klient s mobilom prihlasim do tejto siete VLAN20, sice dostanem adresu, pripoji ma, no nemam pristup ani na internet ani do internej siete.

2. Druha moznost je uz spominane routovanie. Necham AP v sieti bridge250, no z nej sa nevedia dostat do 10.53.0.0 a neviem ako nastavit routovanie. V prilohe je cela konfiguracia.

Niekto nejake napady prosim? Diky moc

rsaf

Je to celé nějak moc na prase. Co za box je 10.54.10.2? Jsou na něm nastaveny odpovídající routy?

Best practice v takové síti s více routery je propojení mezi routery udělat jako P2P na samostatných IP adresách a na obou routerech nastavit "do kříže" routy na sítě, které jsou na tom druhém.

shacool

Sorry zabudol som doplnit. 10.54.10.2 je ether2 na mikrotiku, pretoze 10.54.10.1 je interface na Cisco ASA - co je nas interny firewall. Na nom je nastavenie rovnake pre obe siete, ktore sa maju dostat dnu, teda bridge 20 aj 250. Ked vsak skusam z 250tky, ani sa na ASU nedostane, v logoch ani dopyt nevidno. Zaujimave ale je, ze z bridge250 int. na ASe pingnem, no ked dam traceroute na tu istu cestu, skonci na svojej vlastnej gateway, teda 10.54.250.1.

rsaf

Nechce se mi nad takovou prasečinou moc přemýšlet. ASA může mít problém s "hairpin" provozem, který se v ní jen otáčí a leze stejným interface ven.

shacool

To ale nevysvetluje, preco ked dame traceroute z bridge250, skonci uz na svojej gateway, a nedostane sa ani len do siete bridge20, v ktorej je aj interface na ASA. A pravidla na ASA su nastavene totozne pre obe siete, no jednu pusti dnu a druha sa tam ani nedostane. Pustil som aj detailne logovanie na ASA, no tak sa nic ani nedostane z bridge250. Podla mna bude problem s routovanim v mikrotiku.

ludvik

Ono mít v bridgi fyzické ethernety i na nich posazené VLANy je pro mikrotik nemožné (pokud se tedy nic nezměnilo, ale kdysi jsem si dost naběhl). Předělej si to na VLANy na tom bridge. Případně všechno pomocí VLAN (ty fyzické ether nahradíš untagged VLANou konfigurovanou na switch čipu).

https://wiki.mikrotik.com/wiki/Manual ... figuration

A naprosto netuším, jak funguje routa zadaná pomocí interface, nikoliv pomocí IP. Ale pokud ti to z jiné sítě tohoto mikrotiku jde, tak to problém routování na něm nebude.

Unifi je též lepší udělat tak, že každé SSID má vlastní VLAN a netagovaně běhá jen jejich management, nikoliv lidská data.