[ ksrele @ 04.05.2016. 16:49 ] @
Ljudi pomagajte ako znate. Jako mi je hitno. Do nedelje mi treba neko resenje bukvalno BILO kakvo, dolazi u obzir i kupivina nove opreme (ako stize do nedelje).

Naime, jedna firma posluje na dve udaljene lokacije (A i B).

Na lokaciji A mreza je uradjena tako da su postavljeni aktivni switchevi i kompletna mreza je podeljena u 3 VLAN-a. U VLAN-u 1 su racunari a u VLAN-u 3 su SIP telefoni i server (kojem ja nemam pristup za konfiguraciju), VLAN 2 me ne zanima.
U toj mrezi takodje postoje i dva routera. Jednom ja nemam pristup i on ce uskoro biti uklonjen a jedan sam ja postavio (Cisco RV320).

Ova udaljena lokacija je VPN konekcijom (router na router) povezana sa lokacijom B gde se nalazi router (firewall) Cisco ASA 5506-X.

Moj cilj je povezati ove dve lokacije tako da sa lokacije B imam pristup racunarima a i telefonima (znaci i VLAN-u 1 i VLAN-u 3) na lokaciji A.

Najveci problem mi je sto izgleda da Cisco RV320 nema opciju da mu se kreira VLAN sa ID-om 3. Znam da treba da mu na jedan port podesim VLAN 3 a na drugi VLAN 1 i da sa dva LAN kabla ga spojim u switch u odgovarajuce portove.

Imate li neki predlog sta dalje da pokusam?

Kada stignem nacrtacu vam dijagram sada nemam bas vremena.

[ ksrele @ 05.05.2016. 11:07 ] @
Uspeo sam da na A strani na Router-u Cisco RV320 podesim novi VLAN sa ID-om 3 (pomocu JavaScript hackovanja) i podesio sam na portu LAN4 da je frameing VLAN3 Untagged. Onda sam taj LAN4 port spojio u Switch u port koji je podesen za VLAN3 i Untagged.
Podesio sam IP adresu tj virtualnu mrezu za taj VLAN3 na router-u.

Mreza radi bez problema, nista se nije blokiralo, ali kada sa router-a pokusam da pingujem server koji je u tom VLAN3 i istom IP opsegu ping ne prolazi...

Bas mi je zao sto niko od vas ne moze da mi pomogne.
[ Aleksandar Đokić @ 05.05.2016. 14:25 ] @
Ako do porta uredjaja koji drzi tunel dovedes oba VLAN-a, dalje firewall ili stagod ne interesuje vlan, vec samo kazes (u acess listi) da prenese oba opsega preko tunela.

Nisi, bar meni, najjasniji.
[ ksrele @ 05.05.2016. 15:14 ] @
Kako dva VLAN-a da prenesem preko jednog LAN porta?

Ajde da uprostim problem: na prvoj lokaciji je switch, pola potrova je na VLAN1 a pola na VLAN3 meni oba VLAN-a trebaju na udaljenoj lokaciji (da se oba VLAN-a spoje u jedan ako je moguce). Kako?
Lokacije su spojene VPN tunelom, sad kojim tacno ne znam, znam samo da je standardnan Cisco VPN Gateway to Gateway.

Sa jedne strane je Cisco RV320 sa druge Cisco ASA 5506-X.

1. Da li mi trebaju dva LAN kabla iz routera u dva porta u switch-u?
2. Da li treba da pravim VLAN-ove na routeru?
3. Na koji port za koji VLAN da stavim "tagged" ili "untagged" ili "excluded"?
4. Sta da radim na drugoj lokaciji? Da li i tamo praviti dva VLAN-a ili ne?
[ anjat @ 05.05.2016. 19:41 ] @
Meni nije baš najjasnije....Da li si probao sa subinterface ? Na fizičkom interface napraviš logičke subinteface (na ruteru, naravno) kažeašta š koji su vlan i koja je IP address-a , a na ,,prihvatnom" portu na switch-u staviš trunk....Ustvari, možda pišem svašta jer mi nije najjasnija situacija. Koji su svitch-evi? Nacrtaj dijagram
[ Aleksandar Đokić @ 05.05.2016. 20:11 ] @
Citat:
Da li mi trebaju dva LAN kabla iz routera u dva porta u switch-u?


Ne, pogledaj router-on-a-stick konfiguraciju.
[ ksrele @ 05.05.2016. 21:47 ] @
Citat:
anjat: Meni nije baš najjasnije....Da li si probao sa subinterface ? Na fizičkom interface napraviš logičke subinteface (na ruteru, naravno) kažeašta š koji su vlan i koja je IP address-a , a na ,,prihvatnom" portu na switch-u staviš trunk....Ustvari, možda pišem svašta jer mi nije najjasnija situacija. Koji su svitch-evi? Nacrtaj dijagram


Izgleda da nisam dovoljno strucan, ja se izvinjavam... ja jos uvek ove napredne stvari u vezi networkinga. Ne znam sta je subinterface moracu da pogledam posle na netu.

Na lokaciji A swithcevi su NetGear (mogu samo da vidim koji su portovi u kom VLAN-u i da li su T ili U ali ne mogu da menjam podesavanja) + router Cisco RV320
Na lokaciji B switchevi su Cisco i Dlink (cini mi se) a router je Cisco ASA 5506-X
Izmedju je VPN preko interneta.

Prvi put se susrecem sa VLAN-ovima i prvo sam mislio da sam ih lako skontao a sada vidim da nemam pojma...

Upravo crtam dijagram.
[ ksrele @ 05.05.2016. 22:19 ] @
Evo dijagrama.
Ne znam kako se crtaju VLAN-ovi i na dijagramu je nacrtano da je jedan switch samo za jedan VLAN ali u stvarnosti je izmesano, ali ovo sam ja samo uprostio malo. Znaci u stvarnosti na jednom switch-u ima vise VLAN-ova.

Meni treba pristup telefonima i SIP serveru koji su na lokaciji A sa lokacije B, kako to da izvedem... Ja ne znam...

I jedno jos pitanje, da li se na jedan port na svitchu mogu postaviti vise VLAN-ova? Recimo, nikako da uklavirim razliku izmedju Tagged i Untagged portova. Kontam da Tagged portovi stavljaju VLAN ID u frame ali da li to znaci da jedan port na switchu moze da podrzi vise VLAN-ova?

Ne znam, glup sam...


[Ovu poruku je menjao ksrele dana 05.05.2016. u 23:46 GMT+1]
[ milosbeo @ 05.05.2016. 23:28 ] @
Ajd da ti pomognem za VLAN-ove, kad imas na tom switchu Untagged vlan1, to je isto kao na ciscu switchport access vlan1, to znaci da iza takvog porta mozes da zakacis direktno masinu i ona pripada VLAN-u 1.


Kad imas tagged vlan 1, to znaci da ti sa tog porta izlazi "tagovan" saobracaj, i potreban ti je iza tog porta uredjaj koji skida tag, recimo ruter sa subinterface-om, trunk port na nekom switch-u, linux sa subinterface-om...

Za VPN ima vise varijanti, uglanom koliko vidim ovaj RV ruter je neki noviji sa GUI-jem, tu se samo klikće. Pogledaj neki tutorijal za site to site VPN konfig.

[ laminator @ 05.05.2016. 23:49 ] @
Ima tu mnogo nedoumica u svakom slučaju.S obzirom da ne znaš (bez ljutnje) ni u teoriji kako bi to trebalo da uradiš,
uzmi lepo i plati da ti neko to uradi.Nisu to stvari ko je se radi preko noći ,potrebno je malo planiranja i znanja u svakom slučaju.
1. Kakva je to Vpn konekcija '' router na router ''
2. Čak i da to uspeš da uradiš treba ti QOS na oba routera da bi Voip radio kako treba.
i još mnogo toga iza.

[ Aleksandar Đokić @ 06.05.2016. 00:30 ] @
Citat:
nikako da uklavirim razliku izmedju Tagged i Untagged portova. Kontam da Tagged portovi stavljaju VLAN ID u frame ali da li to znaci da jedan port na switchu moze da podrzi vise VLAN-ova


Ne verujem da nikad nisi cuo za "trunk"?

Kao sto rekose "tagged" port ubacuje 802.1q tag u ethernet heder, dok "untagged" jok. Koji vlanovi mogu da prodju kroz "trunk" definises sa "vlan-allowed".
[ ksrele @ 06.05.2016. 07:08 ] @
Citat:
laminator: Ima tu mnogo nedoumica u svakom slučaju.S obzirom da ne znaš (bez ljutnje) ni u teoriji kako bi to trebalo da uradiš,
uzmi lepo i plati da ti neko to uradi.Nisu to stvari ko je se radi preko noći ,potrebno je malo planiranja i znanja u svakom slučaju.
1. Kakva je to Vpn konekcija '' router na router ''
2. Čak i da to uspeš da uradiš treba ti QOS na oba routera da bi Voip radio kako treba.
i još mnogo toga iza.


Ne ljutim se, priznajem da neke stvari ne znam i hocu da ih naucim ali, nazalost, nemam vremena da polako sednem i citam literaturu vec moram brzinski u letu da ucim. To nije moj izbor vec stvar posla.

1. https://supportforums.cisco.co...-site-vpn-wizard-demonstration
2. Ajd da zanemarimo QoS na momenat. Znam da bi mi trebao ali recimo da mi je to najmanji prioritet jer kroz VPN nece ici mnogo saobracaja vec samo podaci iz SQL-a i slicno, nikakvi ogromni fajlovi i slicno.

Citat:
Aleksandar Đokić: Ne verujem da nikad nisi cuo za "trunk"?

Kao sto rekose "tagged" port ubacuje 802.1q tag u ethernet heder, dok "untagged" jok. Koji vlanovi mogu da prodju kroz "trunk" definises sa "vlan-allowed".


Gde se to definise?

Ljuti, da vam ponovim, ja imam nekakav ogranicen pristup switchevima (nisam full admin), taman toliko da vidim koji je port na kom VLAN-u i tali je Tagged ili Untagged. Koliko sam ja video nema treceg statusa portova. Druga stvar sto na toj udaljenoj lokaciji trenutno fizicki nema nikog "strucnog" da premesta kablove po portovima switch-a.

Sad cu da procitaj sta je to "trunk". Znam sta je SIP Trunk ali ne i sta je VLAN-trunk.

Inace, nisi mi odgovorio da li na jedan port mogu da se stave vise VLAN-ova?

A ja i dalje ne znam kakva podesavanja da stavim na router na udaljenoj lokaciji i kako fizicki da ga spojim u mrezu. Da mu pravim neke VLAN-ove ili ne? Da ga spojim sa jednim LAN kablom ili sa dva?
[ ksrele @ 06.05.2016. 07:53 ] @
OK, mislim da sam konacno shvatio neke stvari u vezi ovih VLAN-ova. Napisacu ovde sta sam shvatio a vas samo molim da mi potvrdite da li sam dobro shvatio.

Dakle, ako u mrezi imam aktivni switch sa 4 porta (recimo) i imam 3 VLAN-a, a portovi su podesni na sledeci nacin:
LAN1: VLAN1 (U), VLAN2(T), VLAN3(T)
LAN2: VLAN1 (T), VLAN2(U), VLAN3(T)
LAN3: VLAN1 (T), VLAN2(T), VLAN3(U)
LAN4: VLAN1 (T), VLAN2(U), VLAN3(U)

Ako racunar (glupi uredjaj) spojim na LAN1 on ce biti u VLAN1 mrezi. Ako ga spojim na LAN2 bi ce u VLAN2 mrezi, na LAN3 i LAN4 portovima ce biti na VLAN3 mrezi.
Ako router ili switch spojim na bilo koji LAN port imace pristup bilo kom VLAN-u? Naravno ako je na router-u na portu koji se koristi za spajanje podeseno toliko "subinterface"-ova koliko ima VLAN-ova. Tada ce router po tag-u u frame-u znati sa kojeg VLAN-a dolazi paket i moci ce da ga otvori.

Da li sam ovo dobro shvatio?

Samo jedan port moze da bude Untagged ka jednom VLAN-u?
[ anon115774 @ 06.05.2016. 10:38 ] @
Mislim da je ovde mnogo zakomplikovano VLAN-ovima potpuno nepotrebno...

Gledam ovaj dijagram i postavlja se prvo jedno pitanje: Da li tebi treba da uredjaji na udaljenoj lokaciji budu u istom kolizionom domenu ili ne?

Ako ne treba onda zaboravi da VLAN-ovi uopste postoje i napravi klasicno rutiranje i to je to. Jednostavno na oba rutera podesis rute koje su na drugoj strani i to je to.
[ anon115774 @ 06.05.2016. 10:45 ] @
Citat:
ksrele:Inace, nisi mi odgovorio da li na jedan port mogu da se stave vise VLAN-ova?


Moze da se stavi vise ako uredjaj sa druge strane ima sposobnost za 802.1q odnosno da radi segregaciju na osnovu VLAN taga. Ako uredjaj nije sposoban za to onda ce samo da ignorise pakete koji dolaze sa VLAN tagom.

Ali pre nego sto udjes dublje u pricu - procitaj moju prethodnu poruku.
[ Aleksandar Đokić @ 06.05.2016. 11:36 ] @
Citat:
Samo jedan port moze da bude Untagged ka jednom VLAN-u?


Po ovome se vidi da ne razumeo. Untagged znaci nema VLAN-a tj. nema tag-a u ethernet hederu. Tagged znaci da paket pripada nekom VLAN-u zbog toga sto doda tag u ethernet hederu - tagged - oznacen.

Kod npr konfiguracije router-on-a-stick imas upravo tu varijantu gde na svicu stavis trunk, a na ruteru pravis sub-interface-e i svaki stavis u odgovarajuci vlan (valjda bese komanda encapsulation dot1q vlan).

A ako ovo uredjaji ne podrzavaju onda pricamo u prazno. Kupi bolju opremu (mozes da stavis i 2 mikrotika).
[ ksrele @ 06.05.2016. 16:14 ] @
OK ljudi, vi tvrdite da je ovo prosto a nekako a nikako da mi prosto i objasnite.
Svakako vam hvala i na do sadasnjoj pomoci, nesto mi je pomoglo nesto me jos vise zbunilo...
Uzgred, ne mogu cak ni da nadjem nekog koga bi platio da mi ovo resi. Prosto niko nece da se bakce sa Cisco uredjajima u mojoj okolini.


Jedni kazu da je Tagged port samo za routere da router zna odakle stizu paketi. Pa ako je port na VLAN3 ne mogu mu stizati paketi za VLAN1 nikako... ali OK... sta ja znam...
A kao, racunari i telefoni su glupi i oni se moraju nakaciti na Untagged port i radice na VLAN3 mrezi.

Moj router nema Subinterface-ing ima samo VLAN memership opciju... ma poludeo sam vec od svega, odustajem...
[ ksrele @ 06.05.2016. 22:14 ] @
Samo da vas sve obavestim da je ovaj problem danas pokusao da resi jedan veoma strucan covek kada je rec o mrezama. Kada sam ga pitao da li bi mi znao pomoci kao iz topa je rekao da to nije nikakav problem i onda smo probali i prakticno da ga resimo.
Ne znam da li mi verujete, ali mi smo barem 2 sata sedeli i razmisljali i pokusavali sve i svasta ali jedino sto smo uspevali da uradimo jeste da zablokiramo deo mreze na udaljenoj lokaciji. Naravno, kada ponistimo poslednju operaciju koja je dovela do blokade sve se vrati kako je i pre bilo, ali od pristupa VLAN3 nema ni govora...

Problem jeste prost teoretski ali je prakticno zbog pojedinih sitnica (nemogucnost pristupa glavnom routeru i nemogucnost kompletne configuracije switcheva i nemogucnost fizicke promene porta na switchu u koji je ukljucen router kojem ja imam pristup i preko kojeg se ostvaruje VPN) postao nemoguc za resiti... :(

Ako bude imao, covek ce mi sutra pozajmiti neki Mikrotik i ja cu otici na lice mesta na udaljenu likaciju (koja uopste nije blizu) i pokusati sa njim. Jedino se postavlja pitanje da li ce Mikrotik uspeti ostvariti VPN konekciju sa Cisco router-om na blizoj lokaciji.

Ja cu pisati novosti pa onaj koga zanima neka cita.
[ Fabolous @ 07.05.2016. 08:21 ] @
Samo nastavi pisanje, bas me zanima sta i kako odraditi
[ Aleksandar Đokić @ 07.05.2016. 19:23 ] @
IPSec hoce, ali to, bar ranije, nije radilo narocito stabilno. Trebalo bi, kao, da je sada reseno.
[ ksrele @ 07.05.2016. 19:28 ] @
Nista od Mikrotika...

Ja svakako sutra idem na "udaljenu" lokaciju i tamo cu nekako pokusati da ubedim ljude koji postavljau i podesavaju VoIP server da server spoje i na VLAN1 mrezu kojoj imamo pristup iz "blize" lokacije. Mada, vec sam ih pitao i rekli su da na serveru imaju samo dva porta, jedan je u VLAN1 a drugi im treba za nesto drugo i ne mogu da iskorisiti za VLAN3.
[ Aleksandar Đokić @ 08.05.2016. 13:38 ] @
Ako ti nesto treba u 2 VLAN-a potpuni je nonsense vezivati ga na 2 razlicita porta na svicu.
[ nkrgovic @ 08.05.2016. 14:35 ] @
Pazi, bilo bi da moze da napravi trunk port, ali izgleda da ne moze... Ili mu switch iza to ne da, ili sta god....