Ne mogu da izadjem sa VLAN na internet.

[ notebookFun @ 26.05.2018. 13:30 ] @

Evo citav dan se mucim da rijesim problem i nikako ne ide.

Podesavam Mikrotik router koji ce ici u smart switch.
Na ether1 mi dolazi internet od drugog rutera koji je na adresi: 192.168.1.1

Na ether3 i ether 4 sam napravio bonding backup link, ako padne ether3 da se sav saobracaj prebaci na ether 4.
Unutar Bonding1 interface sam napravio nekoliko VLAN mreza i napravio DHCP za svaku od njih, kao i odredjeni pool.

Na racunaru imam USB lan karticu koja podrzava VLAN-ove i kad podesim broj VLAN-a dobijam odgovarajuci ip iz to DHCP-a ali nikako ne mogu da izadjem na net.
Na ethernet2 sam stavio probni DHCP i na njemu uspjesno izlazim na net, ether1 ima ping do 8.8.8.8

Evo podesavanja:

Code:
/interface ethernet
set [ find default-name=ether4 ] mac-address=CC:2D:E0:09:0E:98

/interface bonding
add mode=active-backup name=bonding1 slaves=ether3,ether4

/interface vlan
add interface=bonding1 name=vlan9 vlan-id=9
add interface=bonding1 name=vlan10 vlan-id=10
add interface=bonding1 name=vlan20 vlan-id=20
add interface=bonding1 name=vlan30 vlan-id=30
add interface=bonding1 name=vlan40 vlan-id=40
add interface=bonding1 name=vlan50 vlan-id=50

/ip pool
add name=vlan9 ranges=192.168.0.20-192.168.9.254
add name=vlan10 ranges=192.168.10.1-192.168.19.254
add name=vlan20 ranges=192.168.20.1-192.168.29.254
add name=vlan30 ranges=192.168.30.1-192.168.39.254
add name=vlan40 ranges=192.168.40.1-192.168.49.254
add name=vlan50 ranges=192.168.50.1-192.168.59.254
add name=dhcp_pool6 ranges=192.168.88.2-192.168.88.254

/ip dhcp-server
add address-pool=vlan10 disabled=no interface=vlan10 name=dhcp-vlan10
add address-pool=vlan20 disabled=no interface=vlan20 name=dhcp-vlan20
add address-pool=vlan30 disabled=no interface=vlan30 name=dhcp-vlan30
add address-pool=vlan40 disabled=no interface=vlan40 name=dhcp-vlan40
add address-pool=vlan50 disabled=no interface=vlan50 name=dhcp-vlan50
add address-pool=dhcp_pool6 disabled=no interface=ether2 name=dhcp1

/ip address
add address=192.168.1.115/16 interface=ether1 network=192.168.0.0
add address=192.168.0.10/16 interface=vlan9 network=192.168.0.0
add address=192.168.0.11/16 interface=vlan10 network=192.168.0.0
add address=192.168.0.12/16 interface=vlan20 network=192.168.0.0
add address=192.168.0.13/16 interface=vlan30 network=192.168.0.0
add address=192.168.0.14/16 interface=vlan40 network=192.168.0.0
add address=192.168.0.15/16 interface=vlan50 network=192.168.0.0
add address=192.168.88.1/24 interface=ether2 network=192.168.88.0

/ip dhcp-server network
add address=192.168.0.0/16 gateway=192.168.0.10
add address=192.168.88.0/24 dns-server=8.8.8.8 gateway=192.168.88.1

/ip firewall nat
add action=masquerade chain=srcnat log=yes
/ip route
add distance=1 gateway=192.168.1.1

[ notebookFun @ 26.05.2018. 17:53 ] @

Ocigledno da mi problem pravi maska 255.255.0.0 ili 192.168.0.0/16, ne znam na koji nacin bi mogao razvrstati ove VLAN mreze jer moram da imam sledece pool-ove

mreza 1 - > staticka od 192.168.0.10 - 192.168.9.254
mreza 2 -> dhcp 192.168.10.1 - 192.168.10.254
mreza 3 -> dhcp 192.168.20.1 - 192.168.20.254

Glava me vise boli od razmisljanja. Castim cevapima i pivom onog ko mi pomogne da rijesim ovaj problem.

[ nkrgovic @ 26.05.2018. 17:59 ] @

Ne znam da kucam mikrotik ali 'ic - ali znad da ti kazem da ne moze takav netmask. Mozes da imas 192.168.0.0/21 , to ti je od 192.168.0.0. do 192.168.7.255, ili mozes da imas 192.168.0.0/20 , sto je do 192.168.15.255 . U drugom slucaju ne mozes da imas .10 jer ce se preklapati.

Skrati na /21, to mi deluje najlogicnije? Uostalom 21 bit je vec povelik broadcast domen, treba li ti subnet sa vise od 2000 IP-ova u istom VLAN-u?

[ notebookFun @ 26.05.2018. 19:06 ] @

Hvala, isti odgovor sam dobio i na freenode irc-u :)

Treba u jednoj firmi da radim mrezu i trojica pametnjakovica su mi trazila da im napravim opseg od 2000 ip adresa, a trenutno imaju 50 racunara u firmi. Kazem im ja da je dovoljno 254 ali ne vrijedi sa tvrdoglavima.
Sve zivo hoce da razdvoje po VLAN-ovima, stampace, DVR...itd

Ovako sam napravio:

Code:
/ip address
add address=192.168.0.10/21 interface=vlan9 network=192.168.0.0
add address=192.168.8.1/21 interface=vlan10 network=192.168.8.0
add address=192.168.16.1/21 interface=vlan20 network=192.168.16.0
add address=192.168.24.1/21 interface=vlan30 network=192.168.24.0
add address=192.168.32.1/21 interface=vlan40 network=192.168.32.0
add address=192.168.40.1/21 interface=vlan50 network=192.168.40.0

/ip pool
add name=dhcp_pool1 ranges=192.168.0.11-192.168.7.254
add name=dhcp_pool2 ranges=192.168.8.2-192.168.15.254
add name=dhcp_pool3 ranges=192.168.16.2-192.168.23.254
add name=dhcp_pool4 ranges=192.168.24.2-192.168.31.254
add name=dhcp_pool5 ranges=192.168.32.2-192.168.39.254
add name=dhcp_pool6 ranges=192.168.40.2-192.168.47.254

/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=vlan9 name=dhcp1
add address-pool=dhcp_pool2 disabled=no interface=vlan10 name=dhcp2
add address-pool=dhcp_pool3 disabled=no interface=vlan20 name=dhcp3
add address-pool=dhcp_pool4 disabled=no interface=vlan30 name=dhcp4
add address-pool=dhcp_pool5 disabled=no interface=vlan40 name=dhcp5
add address-pool=dhcp_pool6 disabled=no interface=vlan50 name=dhcp6

[ nkrgovic @ 26.05.2018. 19:31 ] @

Osecam da ce biti zanimljivo ako stampac ode u drugi VLAN od racunara. :) Ne znam mikrotik, ali nadam se da mozes da forwardujes mDNS zahteve, inace ce ti stampaci biti jedno zabavno iskustvo :) .

Da se razumemo, razdvojiti sve po VLAN-ovima je odlicna ideja, to se tako radi. I ne samo DVR-ove i stampace od racunara, vec i grupe korisnika. Problem je sto to zahteva da inter-VLAN rutiranje radi kako treba i da ima kapacitete. Koliko sam shvatio ti imas "smart switch", tj. neki L2 switch koji zna sta je VLAN i trunk port, ali nema L3 i nema inter-VLAN rutiranje, nego sve to hoces da radis na ruteru? :) Nadam se da je jasno koliko ce taj muceni ruter da bude usko grlo.

Razlog zasto postoje L3 switchevi je upravo inter-VLAN rutiranje, sa access listama i helperima u hardveru (ASIC-u). Postavi neke metrike da, kad ruter pocne da se koci, ne budes ti kriv.

[ notebookFun @ 26.05.2018. 21:08 ] @

Imaju dva u stack-u Layer 3 smart switch-a, u njih je spojeno jos 8 Access switcheva, koji su povezani preko LACP na oba Smart switch-a.
U Mikrotik sam podesio Bonding (Backup link), jedan link ide u prvi smart a backup u drugi. Na smart je podesen trunk port za Mikrotik. Na Access switchevima je podeseni pristupni VLAN-ovi. Znaci switcheve sam bukvalno fizicki odvojio po VLAN-ovima. Mikrotik mi sluzi kao DHCP i firewall.

U Mikrotiku cu da blokiram sabracaje izmedju odredjenih opsega. Zar mislis da CCR1009-7G-1C-1S+ moze da optereti trenutnih 50 racunara :)

[ Aleksandar Đokić @ 27.05.2018. 00:40 ] @

Citat:

ti imas "smart switch", tj. neki L2 switch koji zna sta je VLAN i trunk port, ali nema L3 i nema inter-VLAN rutiranje, nego sve to hoces da radis na ruteru

Router-on-a-stick sa Tik-om :). Zasto da ne :).

[ notebookFun @ 27.05.2018. 01:01 ] @

Citat:

nkrgovic:
Osecam da ce biti zanimljivo ako stampac ode u drugi VLAN od racunara. :) Ne znam mikrotik, ali nadam se da mozes da forwardujes mDNS zahteve, inace ce ti stampaci biti jedno zabavno iskustvo :) .

Da se razumemo, razdvojiti sve po VLAN-ovima je odlicna ideja, to se tako radi. I ne samo DVR-ove i stampace od racunara, vec i grupe korisnika. Problem je sto to zahteva da inter-VLAN rutiranje radi kako treba i da ima kapacitete. Koliko sam shvatio ti imas "smart switch", tj. neki L2 switch koji zna sta je VLAN i trunk port, ali nema L3 i nema inter-VLAN rutiranje, nego sve to hoces da radis na ruteru? :) Nadam se da je jasno koliko ce taj muceni ruter da bude usko grlo.

Razlog zasto postoje L3 switchevi je upravo inter-VLAN rutiranje, sa access listama i helperima u hardveru (ASIC-u). Postavi neke metrike da, kad ruter pocne da se koci, ne budes ti kriv.

Ne vidim razlog zasto sve ovo ne bi dobro radilo sa Mikrotikom. Prihvatam svaku sugestiju.

[ nkrgovic @ 27.05.2018. 07:05 ] @

Ma samo me performanse brinu. :) Ako si uveren da taj ruter radi fino, sjajno, racunaj da nista nisam rekao. :)

[ bmarkovic06 @ 27.05.2018. 07:28 ] @

Javi se kad uposlis taj ruter u takvom srtup-u na vise od 5% i castim te pivom :).

[ Aleksandar Đokić @ 27.05.2018. 16:16 ] @

Ko to pominje pivo?

[ notebookFun @ 27.05.2018. 20:36 ] @

Dodjite u NS i ja castim sa gajbom piva, svakako mi je u utorak rodjendan :)

[ Aleksandar Đokić @ 27.05.2018. 21:27 ] @

E ako drug nije vec pobego nazad za CZ, dolazim.