Спасибо за мануал. Смотрел и читал других, но по вашему мануалу получилось. Вариантов настройки Вланов на микротике определенно поражает. В циске все намного проще.
Да, кстати, в видео не сообразил что-то, надо было проверять работу сети пингуя с vm1 (192.168.10.100) свой ноут (192.168.10.102). Это значило бы что через транк KVM -> mikrotik1 -> mikrotik2 трафик идет как положено. И я это проверил уже после создания видео, все норм :) Но исправлять видео уже как-то сил не хватило.
Много лет администрирую микротики, сколько не пытался разобрать тему вланов, это просто дремучий лес. В Интерфейсах вланы, на вкладке Интерфейсов отдельно вкладка вланов, в бридже вланы, в разделе свитч - вланы, в этих разделах еще есть позиции....В голове каша, сейчас попытался понять, опять каша в голове, опять закину на неопределенный срок это дело...
топчик, за 5 минут наглядно понял аксес и тагед, интерестно было бы рассмотреть вариант с приходом n каналов белых адресов через аксес и транк их на crs по разным портам и бриджам...
@bozza8654 надо заметить, что только один BRIDGE будет работать аппаратно. Всё же на таком слабом устройстве лучше использовать свитч-чип и основную часть настроек делать во вкладке SWITCH.
@@SERVICE_KARELIA свитч-чипы менее универсальные в плане воспроизводимости на разных устройствах. С vpn бы разобраться, а тут еще на этой железке так, на этой - иначе. К тому же каждая новая железка может быть со своими приколами. А если чипа два? Опять усложняем. Кто выжимает максимум из железа, тот понимает, что он делает и зачем.
Я не помню, сейчас негде это проверить. Я бы сделал так: не заработает, поставьте :) Главное - не потерять линк со своего компа к миротику. Один порт по возможности всегда держите как management, не включайте его в фильтрующие схемы.
А как правильно пропустить Voice VLAN если в сети в отдельном VLAN-е находится IP-телефон? Т.е., схема такая - ПК соединен через второй порт на телефоне, а первый порт телефона соединен сразу в Mikrotik (без свитча). При этом подсеть телефона в одном VLAN-е, а подсеть ПК в другом VLAN-е. Соот-но, чтобы можно было говорить по телефону и одновременно выходить в Интернет через ПК.
То есть: ПК в одном влане, а телефон - в другом, но они физически подключены к одному порту микротика? Если порт микротика - untagged (то есть не trunk, а access), то при выходе с порта микротик удалит информацию о vlan, и что дальше будет? IP-телефон получит нетегированный трафик для себя или для компьютера. Но если порт микротика будет в т.н. hybrid режиме (например, tagged для vlan 100, но untagged для vlan 200), то может получиться. Например, если IP-телефонный адаптер позволяет разделять трафик - например, трафик с тегом 200 адаптер отправит на порт, к которому подключен компьютер, а трафик без тега будет считать своим трафиком (т.е. ip-телефонии). Вы это имели в виду?
@@bozza8654 "Вы это имели в виду?" - да, именно этот вариант. Микротик в гибридном режиме. VLAN 100 с адресацией 192.168.100.x для SIP-телефона, VLAN 200 с адресацией 192.168.200.x для ПК. Я правильно понимаю, что кроме настройки в гибридном режиме в микротике , нужно подбирать какую-то специфическую модель SIP-телефона ? У меня модель такая www.fanvil-russia.ru/fanvil_x1sp Я настроил в гибридном режиме, но проходит просто интернет-трафик для ПК, но телефон не работает. Он не может зарегиться на SIp-сервере. Если же подключить телефон и ПК через отдельные патч-корды на выделенные два порта с каждым своим VLAN-ом, то оба девайса работают нормально.
@@osada96 Решил дополнить теории. В cisco свичах существует понятие смарт порт. Где как раз есть правило указывающее, что порт свича смотрит на конечный хост (телефона) и есть возможность выбрать влан для пк. По микроту нужно почитать.... интересная задачка.
после объединения портов в бридж, правила firewall, примененные непосредственно к портам распространяются на траффик по ним? что я не понял - объединение портов в бридж как-то влияет непосредственно на сами порты или это тоже "сущность" над портами как vlan, но с другими свойствами?
Я бы сказал, не очень академично, если порт не назначен ни в какой бридж, то firewall правила применяются к порту (дальше порта - только процессор микротика, роутинг), если порты в бридже - к бриджу. Выше бриджа - процессор. ЗЫ: bridge -> firewall посмотрите, там можно. Но там свои приколы.
@@overburndz В такой постановке вопроса нет правильного ответа. Если у вас один интрефейс внешний, то он сам по себе, а остальные интерфейсы можно в бридж. Но это не обязательно! Может, у вас роутер соединяет 4 разные сети - внешний, локалка1, dmz (почта), тестовый nextcloud. И вы просто настраиваете маршрутизацию между интерфейсами? Кто знает, как вам надо. А может быть так, что все порты в бридже, но на один порт надо ограничить какую-то железку, например, по mac-адресу. Когда порт в бридже, filter может сказать, что фильтровать по отдельному интерфейсу он не будет. И тогда уже останется фильтровать в bridge. Или перестроить схему подключения. Или.... "Или" тут миллион, и каждый раз индивидуально.
Видео полезное, но в терминологии плаваешь. Путаешь интерфейсы и порты. Я тебе спокойно езернет1 на 5 порт настрою. И влан это тоже интерфейс, только виртуальный)
Для интереса - где я перепутал интерфейс и порт? Это не очень принципиально, если честно, но для саморазвития. И второе - зачем ethernet1 настраивать на 5 порт?! И не стоит с ходу на «ты», это невежливо.
@@bozza8654 Это не принципиально? После подобных роликов на собесы приходят Джуны, которые на простейшие вопросы несут лютую ересь. Сорян, я уже не буду больше пересматривать твоё видео. Тем более, раз это не принципиально.
1. Странная привычка называть виртуальный интерфейс (SVI) VLAN бриджом. Дикость какая-то. Как после этого кто-то будет документы разбирать или настройки. Рука-лицо.жпг 2. Ни слова про настройку портов PVID. А без указания PVID работать вообще не будет.
А по поводу бриджа - это с какой стороны смотреть, мне, например, виртуальный интерфейс при коммутации пакетов так же не ложится, как и вам - бридж. Берется офиц. документация, пара мануалов в сети и формулировки уже не имеют большого значения.
Чтец был точно трезв :) Я раньше был уверен, что качественная речь в видео - не так и сложно. Оказалось, что показалось. Чем больше материал сидит в голове, тем свободнее речь, но это прямо пропорционально затраченному времени на подготовку к созданию видео. В общем, с тех пор, как стал делать контент сам, по другому смотрю, как кто-то что-то объясняет, неважно, на какую тему. Спасибо за отзыв!
единственный мануал который понятно обЪясняет )). спасибо большле!
Спасибо, разложил всё по полочкам лучше всех) 👍
Спасибо за мануал.
Смотрел и читал других, но по вашему мануалу получилось.
Вариантов настройки Вланов на микротике определенно поражает. В циске все намного проще.
Единственный адекватный мануал без "воды"
Все понятно. Про настройку vlan kvm очень интересно посмотреть. Спасибо.
Понятно. Поставил в планы. Надеюсь, хватит времени.
Да, кстати, в видео не сообразил что-то, надо было проверять работу сети пингуя с vm1 (192.168.10.100) свой ноут (192.168.10.102). Это значило бы что через транк KVM -> mikrotik1 -> mikrotik2 трафик идет как положено. И я это проверил уже после создания видео, все норм :) Но исправлять видео уже как-то сил не хватило.
Много лет администрирую микротики, сколько не пытался разобрать тему вланов, это просто дремучий лес. В Интерфейсах вланы, на вкладке Интерфейсов отдельно вкладка вланов, в бридже вланы, в разделе свитч - вланы, в этих разделах еще есть позиции....В голове каша, сейчас попытался понять, опять каша в голове, опять закину на неопределенный срок это дело...
Так и есть. В ZYXEL и Keenetic всё проще.
@@SERVICE_KARELIA ZYXEL и Keenetic нафиг не нужны, так как владельцы кенетика из рф.
топчик, за 5 минут наглядно понял аксес и тагед, интерестно было бы рассмотреть вариант с приходом n каналов белых адресов через аксес и транк их на crs по разным портам и бриджам...
При каких событиях используется Ingress Filtering?
а у меня не получает почему-то DHCP на аксес порты, хотя все прописал, DHCP Client получил адрес, другие порты нетегированные не получают.
Всё же в данном случае все порты в один BRIDGE можно добавить, а далее клепать VLAN с понтами.
Конечно, можно. Можно по-разному. Из-за этого, в том числе, путаница бывает. Тут только один вариант из возможных.
@bozza8654 надо заметить, что только один BRIDGE будет работать аппаратно. Всё же на таком слабом устройстве лучше использовать свитч-чип и основную часть настроек делать во вкладке SWITCH.
@@SERVICE_KARELIA свитч-чипы менее универсальные в плане воспроизводимости на разных устройствах. С vpn бы разобраться, а тут еще на этой железке так, на этой - иначе. К тому же каждая новая железка может быть со своими приколами. А если чипа два? Опять усложняем.
Кто выжимает максимум из железа, тот понимает, что он делает и зачем.
Спасибо, Друг!
А на первом микротике нужно ставить vlan filtering?
Я не помню, сейчас негде это проверить. Я бы сделал так: не заработает, поставьте :) Главное - не потерять линк со своего компа к миротику. Один порт по возможности всегда держите как management, не включайте его в фильтрующие схемы.
Было бы яснее если показали ip/adress
этот ip и dhcp нужно присвоить bridge или vlan 10 ?
для влана нужно присвоить
А как правильно пропустить Voice VLAN если в сети в отдельном VLAN-е находится IP-телефон? Т.е., схема такая - ПК соединен через второй порт на телефоне, а первый порт телефона соединен сразу в Mikrotik (без свитча). При этом подсеть телефона в одном VLAN-е, а подсеть ПК в другом VLAN-е. Соот-но, чтобы можно было говорить по телефону и одновременно выходить в Интернет через ПК.
То есть: ПК в одном влане, а телефон - в другом, но они физически подключены к одному порту микротика? Если порт микротика - untagged (то есть не trunk, а access), то при выходе с порта микротик удалит информацию о vlan, и что дальше будет? IP-телефон получит нетегированный трафик для себя или для компьютера.
Но если порт микротика будет в т.н. hybrid режиме (например, tagged для vlan 100, но untagged для vlan 200), то может получиться. Например, если IP-телефонный адаптер позволяет разделять трафик - например, трафик с тегом 200 адаптер отправит на порт, к которому подключен компьютер, а трафик без тега будет считать своим трафиком (т.е. ip-телефонии). Вы это имели в виду?
@@bozza8654 "Вы это имели в виду?" - да, именно этот вариант. Микротик в гибридном режиме. VLAN 100 с адресацией 192.168.100.x для SIP-телефона, VLAN 200 с адресацией 192.168.200.x для ПК.
Я правильно понимаю, что кроме настройки в гибридном режиме в микротике , нужно подбирать какую-то специфическую модель SIP-телефона ? У меня модель такая www.fanvil-russia.ru/fanvil_x1sp
Я настроил в гибридном режиме, но проходит просто интернет-трафик для ПК, но телефон не работает. Он не может зарегиться на SIp-сервере. Если же подключить телефон и ПК через отдельные патч-корды на выделенные два порта с каждым своим VLAN-ом, то оба девайса работают нормально.
@@osada96 Решил дополнить теории. В cisco свичах существует понятие смарт порт. Где как раз есть правило указывающее, что порт свича смотрит на конечный хост (телефона) и есть возможность выбрать влан для пк. По микроту нужно почитать.... интересная задачка.
@@kot6897 Если у вас будут новости по Микротику, то дайте сразу знать.
после объединения портов в бридж, правила firewall, примененные непосредственно к портам распространяются на траффик по ним? что я не понял - объединение портов в бридж как-то влияет непосредственно на сами порты или это тоже "сущность" над портами как vlan, но с другими свойствами?
Я бы сказал, не очень академично, если порт не назначен ни в какой бридж, то firewall правила применяются к порту (дальше порта - только процессор микротика, роутинг), если порты в бридже - к бриджу. Выше бриджа - процессор.
ЗЫ: bridge -> firewall посмотрите, там можно. Но там свои приколы.
@@bozza8654 подЕлитесь, если не секрет? с точки зрения уже опытного администратора, как можно сконфигурировать и в каких случаях есть полюсы и минусы
@@bozza8654 кстати про vlan - я так понял, что выше бриджа vlan, если бридж назначен в vlan?
@@overburndz В такой постановке вопроса нет правильного ответа. Если у вас один интрефейс внешний, то он сам по себе, а остальные интерфейсы можно в бридж. Но это не обязательно! Может, у вас роутер соединяет 4 разные сети - внешний, локалка1, dmz (почта), тестовый nextcloud. И вы просто настраиваете маршрутизацию между интерфейсами? Кто знает, как вам надо.
А может быть так, что все порты в бридже, но на один порт надо ограничить какую-то железку, например, по mac-адресу. Когда порт в бридже, filter может сказать, что фильтровать по отдельному интерфейсу он не будет. И тогда уже останется фильтровать в bridge. Или перестроить схему подключения. Или....
"Или" тут миллион, и каждый раз индивидуально.
@@overburndz [долго подбирал ответ, но если очень осторожно, то] можно и так сказать.
Видео полезное, но в терминологии плаваешь. Путаешь интерфейсы и порты. Я тебе спокойно езернет1 на 5 порт настрою. И влан это тоже интерфейс, только виртуальный)
Для интереса - где я перепутал интерфейс и порт? Это не очень принципиально, если честно, но для саморазвития. И второе - зачем ethernet1 настраивать на 5 порт?! И не стоит с ходу на «ты», это невежливо.
@@bozza8654 Это не принципиально? После подобных роликов на собесы приходят Джуны, которые на простейшие вопросы несут лютую ересь.
Сорян, я уже не буду больше пересматривать твоё видео. Тем более, раз это не принципиально.
Опять «тыкаете». И без фактуры. Нечего сказать - не лезьте. Есть - говорите, но по факту.
1. Странная привычка называть виртуальный интерфейс (SVI) VLAN бриджом. Дикость какая-то. Как после этого кто-то будет документы разбирать или настройки. Рука-лицо.жпг
2. Ни слова про настройку портов PVID. А без указания PVID работать вообще не будет.
Будет-будет, поверьте. Кроме того, на дату создания видео просто терминология могла быть другой в ходу.
А по поводу бриджа - это с какой стороны смотреть, мне, например, виртуальный интерфейс при коммутации пакетов так же не ложится, как и вам - бридж. Берется офиц. документация, пара мануалов в сети и формулировки уже не имеют большого значения.
бро, респ. наглядно и быстро.
Нужна ваша помощь. Не могу разобраться.
Здравствуйте! bozza.ru/contacts.html - там есть email. Или пишите здесь, как вам удобнее.
@@bozza8654 Написал вам на почту.
@@ТимурТ-л2ю Ничего не получил. Если актуально еще, пишите на t.me/i3bzzz
после пяти минут полыхнула жопа. какое то растягивание соплей
А тут на любителя. Совсем кратко - текстовая инструкция по настройке.
Мне показалось, что чтец не трезв. :) Не, говорит всё правильно, но речь.... ;)
Чтец был точно трезв :) Я раньше был уверен, что качественная речь в видео - не так и сложно. Оказалось, что показалось. Чем больше материал сидит в голове, тем свободнее речь, но это прямо пропорционально затраченному времени на подготовку к созданию видео. В общем, с тех пор, как стал делать контент сам, по другому смотрю, как кто-то что-то объясняет, неважно, на какую тему. Спасибо за отзыв!
@@bozza8654 Без обид. Верю. :)