Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: zaba v mixeru 28. 07. 2016, 15:12:29
-
Ahoj,
Jsem nucen se zabyvat nastavenim dle SUBJ. RouterBoard puvodne bezel s jednim bridgem + NAT do internetu. Vse bez problemu. Zkousim na volny port pridat dalsi bridge + dhcp server a nastavit nat pro pristup ven stejne jako to ma jiz drive pouzity port. Vsechno mam nastavene stejne jako uz ma ten puvodni port, az na to, ze mnou vytvoreny bridge je "root bridge" a nema "root port", kdezto puvodni to ma naopak. Na mnou nove pouzivanem portu je pripojen primo kabelem pc, ke kteremu momentalne nemam pristup, protoze na nej z mikrotiku ani nepingnu, pritom vidim, ze adresu z dhcp sliznul (a normalne na nej pingnout slo). Takze moje otazky:
Umi vubec RouterBoard 750 vice bridgu na ruznych portech natovane ven?
Jak mam nastavit bridge, aby mel mnou urceny "root port" a nebyl "root bridge"?
Nebo spatne je uz vubec to, ze se snazim vytvorit naklonovany bridge (adresy a porty jsou samozrejme jine)?
Dekuji moc
PS vnitrni hw switch (Atheros 7240) ma nastaveno Switch All Ports: no
Puvodni a doted funkcni porty: 1 a 5
Port, ktery se snazim zprovoznit: 3
Kdyz dam "ip arp print", vidim ip i mac adresu toho pripojeneho pc a nevidim mac ani ip adresu bridge (ani kdyz si na adresu bridge predtim pingnu - ping na ip adresu bridge funguje)
Kdyz dam "interface bridge host print", vidim ruzne mac adresy z puvodniho bridge (bridge-LAN) vcetne mac adresy vlastniho bridge a vidim take mac adresu noveho bridge (bridge-79) ale ne mac adresu pripojeneho pc.
interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU MAC-ADDRESS
0 R ether1-WAN ether 1500 1600 4076 MAC-1
1 S ether2 ether 1500 1598 2028 MAC-2
2 RS ether3 ether 1500 1598 2028 MAC-3
3 S ether4 ether 1500 1598 2028 MAC-4
4 RS ether5 ether 1500 1598 2028 MAC-5
5 R bridge-79 bridge 1500 1598 MAC-3
6 R bridge-LAN bridge 1500 1598 MAC-4
+
interface ethernet print
Flags: X - disabled, R - running, S - slave
# NAME MTU MAC-ADDRESS ARP MASTER-PORT SWITCH
0 R ether1-WAN 1500 MAC-1 enabled
1 S ether2 1500 MAC-2 enabled none switch1
2 RS ether3 1500 MAC-3 enabled none switch1
3 S ether4 1500 MAC-4 enabled none switch1
4 RS ether5 1500 MAC-5 enabled none switch1
+
interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic
# INTERFACE BRIDGE PRIORITY PATH-COST HORIZON
0 I ether4 bridge-LAN 0x80 10 none
1 ether5 bridge-LAN 0x80 10 none
2 I ether2 bridge-79 0x80 10 none
3 ether3 bridge-79 0x80 10 none
+
ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address=LAN1_NET/24
1 chain=dstnat action=dst-nat to-addresses=VNITRNI_IP to-ports=VNITRNI_PORT protocol=tcp dst-address=VNEJSI_IP dst-port=VNEJSI_PORT
2 chain=srcnat action=masquerade src-address=LAN2_NET/24
-
MK samozřejmě více Bridge umí. Ve tvém případě je ten ETH3 a Bridge2, ale už do něj nic nevede. Proto pravděpodobně nejde pingnout. Ale je to jen odhad.
Obvykle dělám bridge proto, abych odstínil sítě a pak do Bridge připojuji buď tunely, nebo vlany (nebo obojí) a patřičný segment (adresně oddělený - vlastní IP adresa, Vlastní DHCP) v MK naroutuji.
Problém je, že maškaráda vždycky půjde přes hlavní/první IP adresu MK, jak nastavit, aby různé rozsahy měly různé adresy ven, jsem nenašel (snad jedině - co síť ven, to ETH ven, tedy 2 sítě / 2IP /2 ETH).
Ale k tvému dotazu. Pokud je smyslem druhého bidge odstínit ETH3 od zbytku sítě, pak se k němu chovej jako k oddělené síti - tedy urči IP, vytvoř DHCP a vytvoř Routu. NAT bude OK, tím se zabývat nemusíš.
A pak můžeš ve Firewallu udělat omezení na ten Bridge (pokud je to třeba).
Jen nezapomeň, že těžko se ti bude routovat do různých sítí stejná podsít/adresa - to prostě dost dobře nejde.
Jinak doporučuji (ze zkušenosti) hledat na Google, většina tam je, hodně i česky a hodně je i videonávodů (EN).
PS: Sám používám BR na oddělení Wifi firmy a Guestů, kdy Wifi Guest je virtuální a proto používám VLAN + Bridge a ta je na routeru MK NATována a Firewalována (hnusné slovo ten počeštěný výraz ... ??? )
-
Dekuji za odpoved. Google jsem samozrejme zkousel a ne zrovna malo, ale nic relevantniho k druhemu bridgi u RouterBoardu 750 jsem nenasel. Navic 750 tam ma vnitrni hw switch, coz mohlo znamenat ruzna omezeni.
Nicmene k veci: dnes uz to bez jakychkoli zmen chodi. Vcera jsem zkousel i restart a nic. Napada me snad jen, ze si to pc za mikrotikem slizlo ip adresu v dobe, kdy byla konfigurace jeste neuplna/spatna nebo ja nevim co a mikrotik si pak myslel, ze to neni jim pridelena adresa, protoze jedine, co se pres noc stalo, je, ze si pc obnovilo ip adresu.
Kazdopadne dik.
Problém je, že maškaráda vždycky půjde přes hlavní/první IP adresu MK, jak nastavit, aby různé rozsahy měly různé adresy ven, jsem nenašel (snad jedině - co síť ven, to ETH ven, tedy 2 sítě / 2IP /2 ETH).
Vzhledem k tomu, ze mikrotik je zalozen na linuxu, tak jsem si jistej, ze by stacilo nastavit v ip / firewall / nat pravidle jako "Action" misto maskarady "src-nat" a napsat do "To Addresses" prislusnou vnejsi adresu nebo rozsah.
Hezky den