Zagłębiłeś się w temat, który ostatnio poruszyłem w komentarzu.. Dziękuję ;) Łapa w górę! Wszelkie eksperymenty z VLAN zawsze mile widziane, szczególnie w połączeniu z przykładowymi konfigami Firewall.
No właśnie kolega dotknął sedna tematu. Dlaczego wszyscy czepiają się Mikrotika, że dziwnie obsługuje VLANy ? A zróbcie to na routerach CISCO ? Pokażcie mi konfigurację ROUTERA cisco na którym robicie z portów 1,2,3 access w VLAN 10 dla klientów, na porcie 4 trunk z VLANami 10 i 20 i na portach 5,6,7 access w VLAN 20. Router jest urządzeniem L3 i jako taki podchodzi do tematu na poziomie IP, a nie do łączenia ramek L2. Bridge w Mikrotiku to załatwienie funkcjonalności switcha w urządzeniu które jest routerem !!! Switchchip to też dołożenie funkcji switcha do routera !!! Proponuję taką konfigurację. port 1,2 i 3 trunki na MIKROTIKu, na każdym VLANY 10,20,30 i teraz podepnijcie sobie switche z obsługą trunk/access zapnijcie PC do portów access w VLAN 10 na switchach i spróbujcie się połączyć nie robiąc bridge na routerze. NIE DA SIĘ ! to jest router dla niego VLAN 10 na każdym porcie jest innym VLANem 10.
@@krzysztofstasiak8810 Ja mam wrażenie, że to czepianie się dotyczy dwóch kwestii: 1. Mikrotik ma w swojej ofercie, nie tak znowu dużą, ilość platform, a co najmniej 3 możliwości konfiguracji tak prostej funkcji. Ja rozumiem, że to efekt pewnej ewolucji, ale przyznacie, że jest to leciutko za dużo i po prostu mało spójne jak na niewielkie portfolio. Po drugie, Mikrotik wystawia kowalskiemu czasami bardzo niskopoziomowe ustawienia, co inni producenci przykrywają ładną powłoką i jednym poleceniem konsolowym. Czasami jest to wada, czasami zaleta - chodzi tylko o to, że kupując switch Cisco nie zastanawiam się czy użyć metody na Bridgeu czy bezpośrednio na Switch-Chipie - po prostu daje urządzeniu polecenie, a co jest pod spodem, nie wnikam. Fakt, faktem, że jak się zrozumie już (po kilku wulgarnych słowach) działanie Mikrotika, a co za tym idzie Linuxa, to sieciowanie na każdym dowolnym sprzęcie sprowadza się nie do nauki teorii, a nauki klikania. Nauka MT zmusza do głębokiego poznania teorii sieci.
@@tcpipdotcom Troszkę się nie zrozumieliśmy. Ale cenię dyskusję. Jak raczyłeś zauważyć "kupując switch Cisco..." No właśnie. Wydaje mi się, że chyba wiem o co w tym chodzi. Ludzie widząc dużo portów (powyżej 2) myślą że maja do czynienia ze switchem. Próbują VLANów a przy okazji IP czyli taki Switch L3. No nie. Próbuje to wyraźnie zaznaczyć mamy do czynienia z RouterBoardem i RouterOSem a nie ze "SwitchBoardem" i SwitchOSem. Tu jest pies pogrzebany. Absolutnie nie miałem zamiaru się czepiać. Samemu mi to troszkę zajęło zanim "wgryzłem się" w Mikrotika, ale zrozumienie tej subtelnej różnicy dużo daje. Mamy do czynienia w 95% przypadków (poza użytkownikami SwOS) z routerem i wymaganie od niego prostej konfiguracji VLANów porównując do switcha CISCO jest nieporozumieniem. Jak wcześniej pisałem, spróbujcie sobie nawet w PacketTracer wziąć ROUTER Cisco z 10 portami i połączyć dwa razy po 4 porty w jeden VLAN i 9 portem wypuścić jako trunk. Łatwo ? Pozdrawiam i dziękuję za reakcje.
Czy włączając vlan filtering jestem w stanie dopuścić później ruch dla konkretnego urządzenia/ip w tym vlanie między innymi vlanami? (np. regułą forward)
0:32.. Odnośnie producentów switch-òw. Brak jednolitego nazewnictwa terminologii VLAN. CISCO swoje, a inne firmy swoje. Cisco używa TRUNK / ACCESS. Natomiast większość producentów używa TAG / UNTAG. Taki stan wprowadza zamieszanie dla początkujących.
No tak nie do końca. W Cisco to jest proste i przejrzyste. W połączeniu typu trunk mogą być zarówno vlan tag i untag (jeden ale może być), natomiast u reszty producentów jest inaczej, a już mikrotik to .....
Warto też wspomnieć o tym że po staremu konfigurowanie vlanów nie działa dobrze stp/rstp. Dopiero po nowemu tzn vlany na bridge zaczyna to działać. Mikrotik wspiera hw offload tylko na jednym bridge-u dlatego warto to robić po nowemu.
HW offload działa na jednym bridge-u na switch chip, więc jeśli urządzenie ma ich więcej, więcej może być też offloadowanych bridge-y. Inna sprawa, że takich urządzeń Mikrotik ma niewiele :)
wydaje mi sie ze vlan na bridgu jest problemem. Tez walczylem z wersja 7.16beta na CSSR1009 bez powodzenia. Vlan na bridgu z adresacja lan nie dziala. Tylko vlany od wifi dzialaja.
wszystko fajnie tylko irytuja mnie te nazwy jak dexpeki adepeki axeny 590tki 850tki itd. ciezka sprawa dla uzytkownikow niewtajemniczonych :), nie mozna po prostu router 1 router 2 router 3 ?
dobra robota ale css lepiej nie ruszać, nawet na szkoleniach ze switchy mikrotika jest tylko wzmianka że coś takiego jest, proponuję zrobić tutka z prawdziwej topologii - czyli router 3011 lub 2011 i crs serii 3x; seria 1x i 2x w starej wersji switch chipa już umarła pozdrawiam Daniel
Cześć, super robota jak zawsze. Ja np. chciałem sobie rozdzielić na hAP ac³ sieć na 3 VLANy. Sieć domowa, sieć dla gości i IoT. Problem był z tym, że wszystkie poradniki były na starym sofcie (6-) i nic mi nie chciało działać. Oczywiście proste VLANy na samych portach fizycznych ok, ale żeby to spiąć jeszcze po WiFi (3 podsieci). Jak już wszystko zaczęło działać to się okazało, że sieci mimo różnych adresacji i tak się widzą i musiałem użyć reguł firewalla a i tak nie do końca to działa jak bym chciał. Takiego poradnika niestety kompletnego brakuje mi się zdaje ;) Pozdrawiam i dzięki za dzielenie się wiedzą!!! - Masz rację, że najlepiej spędzić sporo dupogodzin samemu, żeby dobrze poznać temat, ale nie każdy jest lub chce być specjalistą w temacie a i czasu na to brak niestety :)
Windows tak naprawdę nie ma obsługi VLANów dlatego masz taki problem, po prostu on każdy tag usuwa. Można sie bawić w vSwitche w Hyper-V w konsoli ale to taka troche proteza, która przyszła z Windows Server a i tam to dobrze nie działa w dodatku nie wiem czy nie tylko na Windows PRO. VLAN ustawia sie w windowsie w sterowniku karty sieciowej, bo po prostu windows nie rozumie co to vlan. Żeby bylo smieszniej Intel postanowił, ze nie da obslugi vlanów na Windowsa 11 :)
Właśnie dlatego uważam, że jedyne słuszne miejsce ms windows to maszyna wirtualna na Linux KVM. Jedyna "sieciowość" w ms windows warta uwagi to Active Directory.
czyli jeżeli chciałem użyć na hap ac2 vlanów do oddzielenia urządzeń IOT od normalnej sieci to lepiej ograniczyć dostęp firewallem a nie bawić się w VLAN?
Czy w zakładce VLANs koniczne jest dodawanie portów nietagowanych? Bo jak podam PVID w zakładce VLAN portu to z automatu wskakuje na Current Untagged co ułatwia konfigurację bo chcąc przypisać VLAN do portu robię to tylko w jednym miejscu
Domyślnie będzie tak jak piszesz - tworzy się dynamiczna reguła i wskakuje na untagged. Ja wolę dla świętego spokoju też ręcznie dodać, bo wystarczy, że Mikrotik coś zmieni przy jakiejś aktualizacji i będzie problem.
@@TechGlobuz No i stało się... w 7.14.2 wszystko działało tak jak @bartekwojcik8820 jeszcze dopytywał a dzisiaj odkryłem, że update do 7.15.2 wszystko sypie i mimo zdefiniowanego VLANa, obok powstaje dynamiczny VLAN zawierający porty current untagged bez portów tagged. Niby wszystko działało bez zmian ale wspomniane zmiany przy aktualizacji właśnie nadeszły.
Mnie np. VLAN uratował u klienta, gdzie dostawca łącza wpuścił łącze gdzieś na hali - wtedy WAN wrzucam na switcha i przepuszczam do serwerowni osobnym VLANEM do routera firmowego.
Inny scenariusz użycia VLAN to tzw. "router na patyku". Cienki PieCyk z CPU x86_64 robi za firewall, ale posiada tylko jeden port RJ45, który obsługuje dwa "wirtualne" interfejsy: LAN oraz WAN. Reszta portów RJ45 znajduję się na switch-u zarządzalnym.
Nie. Natomiast ten film nie dotyczył MTU. MTU to czasem potrafi być bardzo problematyczne i powodować, że niektóre strony www nie działają. Kiedyś na pewno poruszę ten temat, bo są sytuacje, gdzie trzeba ręcznie dodać regułę firewalla, która zrobi clamping MSS.
Panie . Tak opowiadasz, że wczoraj oglądając materiał ten. Zasnąłem jak dziecko w polowie 😂. Nie wiem czy to z nudy ,ale myślę że nie .czy może byłem zwyczajnie zmeczony 😂
Cześć, mam u klienta MikroTik hEX S RB760IGS, konfigurowałem go od 0 według dostępnych poradników i mojej wiedzy ale poległem na oznaczeniu/numeracji portów eth ?? Przykładowo do MT kabel mam wpięty w port oznaczony numerem 2 a w winboxie widzę że dane lecą z niego na interface 1, podobnie z portem eth POE OUT oznaczony jako 5 na obudowie mt, a w winboxie widnieje on jako interface 4. Jak zrobić z tym porządek ?? Mogę podesłać SS z configu
Zagłębiłeś się w temat, który ostatnio poruszyłem w komentarzu.. Dziękuję ;) Łapa w górę! Wszelkie eksperymenty z VLAN zawsze mile widziane, szczególnie w połączeniu z przykładowymi konfigami Firewall.
Ktoś mi kiedyś powiedział: "Młody... bo słicze są do słiczowania a rutery są do rutowania" . Swietny materiał!
Brzmi trochę jak "truizm". ;-)
Czy mógłbyś uzupełnić kontekst?
No właśnie kolega dotknął sedna tematu. Dlaczego wszyscy czepiają się Mikrotika, że dziwnie obsługuje VLANy ? A zróbcie to na routerach CISCO ? Pokażcie mi konfigurację ROUTERA cisco na którym robicie z portów 1,2,3 access w VLAN 10 dla klientów, na porcie 4 trunk z VLANami 10 i 20 i na portach 5,6,7 access w VLAN 20. Router jest urządzeniem L3 i jako taki podchodzi do tematu na poziomie IP, a nie do łączenia ramek L2. Bridge w Mikrotiku to załatwienie funkcjonalności switcha w urządzeniu które jest routerem !!! Switchchip to też dołożenie funkcji switcha do routera !!! Proponuję taką konfigurację. port 1,2 i 3 trunki na MIKROTIKu, na każdym VLANY 10,20,30 i teraz podepnijcie sobie switche z obsługą trunk/access zapnijcie PC do portów access w VLAN 10 na switchach i spróbujcie się połączyć nie robiąc bridge na routerze. NIE DA SIĘ ! to jest router dla niego VLAN 10 na każdym porcie jest innym VLANem 10.
@@krzysztofstasiak8810 Ja mam wrażenie, że to czepianie się dotyczy dwóch kwestii: 1. Mikrotik ma w swojej ofercie, nie tak znowu dużą, ilość platform, a co najmniej 3 możliwości konfiguracji tak prostej funkcji. Ja rozumiem, że to efekt pewnej ewolucji, ale przyznacie, że jest to leciutko za dużo i po prostu mało spójne jak na niewielkie portfolio. Po drugie, Mikrotik wystawia kowalskiemu czasami bardzo niskopoziomowe ustawienia, co inni producenci przykrywają ładną powłoką i jednym poleceniem konsolowym. Czasami jest to wada, czasami zaleta - chodzi tylko o to, że kupując switch Cisco nie zastanawiam się czy użyć metody na Bridgeu czy bezpośrednio na Switch-Chipie - po prostu daje urządzeniu polecenie, a co jest pod spodem, nie wnikam. Fakt, faktem, że jak się zrozumie już (po kilku wulgarnych słowach) działanie Mikrotika, a co za tym idzie Linuxa, to sieciowanie na każdym dowolnym sprzęcie sprowadza się nie do nauki teorii, a nauki klikania. Nauka MT zmusza do głębokiego poznania teorii sieci.
@@tcpipdotcom Troszkę się nie zrozumieliśmy. Ale cenię dyskusję. Jak raczyłeś zauważyć "kupując switch Cisco..." No właśnie. Wydaje mi się, że chyba wiem o co w tym chodzi. Ludzie widząc dużo portów (powyżej 2) myślą że maja do czynienia ze switchem. Próbują VLANów a przy okazji IP czyli taki Switch L3. No nie. Próbuje to wyraźnie zaznaczyć mamy do czynienia z RouterBoardem i RouterOSem a nie ze "SwitchBoardem" i SwitchOSem. Tu jest pies pogrzebany. Absolutnie nie miałem zamiaru się czepiać. Samemu mi to troszkę zajęło zanim "wgryzłem się" w Mikrotika, ale zrozumienie tej subtelnej różnicy dużo daje. Mamy do czynienia w 95% przypadków (poza użytkownikami SwOS) z routerem i wymaganie od niego prostej konfiguracji VLANów porównując do switcha CISCO jest nieporozumieniem. Jak wcześniej pisałem, spróbujcie sobie nawet w PacketTracer wziąć ROUTER Cisco z 10 portami i połączyć dwa razy po 4 porty w jeden VLAN i 9 portem wypuścić jako trunk. Łatwo ? Pozdrawiam i dziękuję za reakcje.
Czy włączając vlan filtering jestem w stanie dopuścić później ruch dla konkretnego urządzenia/ip w tym vlanie między innymi vlanami? (np. regułą forward)
0:32..
Odnośnie producentów switch-òw.
Brak jednolitego nazewnictwa terminologii VLAN.
CISCO swoje, a inne firmy swoje.
Cisco używa TRUNK / ACCESS.
Natomiast większość producentów używa TAG / UNTAG.
Taki stan wprowadza zamieszanie dla początkujących.
Zgadza się. Brał standardu na to
No tak nie do końca. W Cisco to jest proste i przejrzyste. W połączeniu typu trunk mogą być zarówno vlan tag i untag (jeden ale może być), natomiast u reszty producentów jest inaczej, a już mikrotik to .....
Warto też wspomnieć o tym że po staremu konfigurowanie vlanów nie działa dobrze stp/rstp. Dopiero po nowemu tzn vlany na bridge zaczyna to działać. Mikrotik wspiera hw offload tylko na jednym bridge-u dlatego warto to robić po nowemu.
Cenna uwaga. Autor filmu powinien zrobić kurs online bo tłumaczyć teorie i praktykę.
@@Roofi25 moze by kurs zrobic online typu mctna, mctre
@@montiedj polecasz ?
@@Roofi25 robilem mtcna na ślasku , fajna rzecz, duzo sie mozna dowiedziec
HW offload działa na jednym bridge-u na switch chip, więc jeśli urządzenie ma ich więcej, więcej może być też offloadowanych bridge-y. Inna sprawa, że takich urządzeń Mikrotik ma niewiele :)
Dziękujemy.
wydaje mi sie ze vlan na bridgu jest problemem. Tez walczylem z wersja 7.16beta na CSSR1009 bez powodzenia. Vlan na bridgu z adresacja lan nie dziala. Tylko vlany od wifi dzialaja.
wszystko fajnie tylko irytuja mnie te nazwy jak dexpeki adepeki axeny 590tki 850tki itd. ciezka sprawa dla uzytkownikow niewtajemniczonych :), nie mozna po prostu router 1 router 2 router 3 ?
dobra robota ale css lepiej nie ruszać, nawet na szkoleniach ze switchy mikrotika jest tylko wzmianka że coś takiego jest, proponuję zrobić tutka z prawdziwej topologii - czyli router 3011 lub 2011 i crs serii 3x;
seria 1x i 2x w starej wersji switch chipa już umarła
pozdrawiam
Daniel
Cześć, super robota jak zawsze. Ja np. chciałem sobie rozdzielić na hAP ac³ sieć na 3 VLANy. Sieć domowa, sieć dla gości i IoT. Problem był z tym, że wszystkie poradniki były na starym sofcie (6-) i nic mi nie chciało działać. Oczywiście proste VLANy na samych portach fizycznych ok, ale żeby to spiąć jeszcze po WiFi (3 podsieci). Jak już wszystko zaczęło działać to się okazało, że sieci mimo różnych adresacji i tak się widzą i musiałem użyć reguł firewalla a i tak nie do końca to działa jak bym chciał. Takiego poradnika niestety kompletnego brakuje mi się zdaje ;) Pozdrawiam i dzięki za dzielenie się wiedzą!!! - Masz rację, że najlepiej spędzić sporo dupogodzin samemu, żeby dobrze poznać temat, ale nie każdy jest lub chce być specjalistą w temacie a i czasu na to brak niestety :)
Dzięki za fajne materiały, ale za ten szczególne dzięki! Mogłem zoptymalizować swoje dotychczasowe ustawienia ;-)
cześ miło tu się wraca żeby wspomóc się tematem
Windows tak naprawdę nie ma obsługi VLANów dlatego masz taki problem, po prostu on każdy tag usuwa. Można sie bawić w vSwitche w Hyper-V w konsoli ale to taka troche proteza, która przyszła z Windows Server a i tam to dobrze nie działa w dodatku nie wiem czy nie tylko na Windows PRO. VLAN ustawia sie w windowsie w sterowniku karty sieciowej, bo po prostu windows nie rozumie co to vlan. Żeby bylo smieszniej Intel postanowił, ze nie da obslugi vlanów na Windowsa 11 :)
Właśnie dlatego uważam, że jedyne słuszne miejsce ms windows to maszyna wirtualna na Linux KVM.
Jedyna "sieciowość" w ms windows warta uwagi to Active Directory.
czyli
jeżeli chciałem użyć na hap ac2 vlanów do oddzielenia urządzeń IOT od normalnej sieci to lepiej ograniczyć dostęp firewallem a nie bawić się w VLAN?
Odpowiedź jak zwykle brzmi: to zależy. W przypadku hAP ac2 różnicy w wydajności nie powinno być, więc konfiguruj jak ci wygodniej.
@@TechGlobuz dzięki za odpowiedź i za świetne filmy ;)
Automatyczne przełączania wanow by się przydało
Przecież materiał o dual WAN jest od dawna na kanale.
Czy w zakładce VLANs koniczne jest dodawanie portów nietagowanych? Bo jak podam PVID w zakładce VLAN portu to z automatu wskakuje na Current Untagged co ułatwia konfigurację bo chcąc przypisać VLAN do portu robię to tylko w jednym miejscu
Domyślnie będzie tak jak piszesz - tworzy się dynamiczna reguła i wskakuje na untagged. Ja wolę dla świętego spokoju też ręcznie dodać, bo wystarczy, że Mikrotik coś zmieni przy jakiejś aktualizacji i będzie problem.
@@TechGlobuz No i stało się... w 7.14.2 wszystko działało tak jak @bartekwojcik8820 jeszcze dopytywał a dzisiaj odkryłem, że update do 7.15.2 wszystko sypie i mimo zdefiniowanego VLANa, obok powstaje dynamiczny VLAN zawierający porty current untagged bez portów tagged. Niby wszystko działało bez zmian ale wspomniane zmiany przy aktualizacji właśnie nadeszły.
Mnie np. VLAN uratował u klienta, gdzie dostawca łącza wpuścił łącze gdzieś na hali - wtedy WAN wrzucam na switcha i przepuszczam do serwerowni osobnym VLANEM do routera firmowego.
Inny scenariusz użycia VLAN to tzw. "router na patyku".
Cienki PieCyk z CPU x86_64 robi za firewall, ale posiada tylko jeden port RJ45, który obsługuje dwa "wirtualne" interfejsy: LAN oraz WAN.
Reszta portów RJ45 znajduję się na switch-u zarządzalnym.
@@AdrianuX1985 masz postawione wszystko jako CHR ?
5:53..
Czy dzisiaj wartość MTU jest istotna TYLKO w przypadku tzw. "JUMBO FRAMES" (wartość 9000)??
Nie. Natomiast ten film nie dotyczył MTU. MTU to czasem potrafi być bardzo problematyczne i powodować, że niektóre strony www nie działają. Kiedyś na pewno poruszę ten temat, bo są sytuacje, gdzie trzeba ręcznie dodać regułę firewalla, która zrobi clamping MSS.
@@TechGlobuz Poruszyłeś dygresje o MTU, więc zapytałem.
O super 👍🏻
o nie, nawet tu czerwcowy miesiąc dumy
Serio? Użyłem kolorów żeby zilustrować o co chodzi, a ktoś tak to odebrał 🤦
@@TechGlobuz Tak, teraz w czerwcu trzeba uważać :)
Panie . Tak opowiadasz, że wczoraj oglądając materiał ten. Zasnąłem jak dziecko w polowie 😂. Nie wiem czy to z nudy ,ale myślę że nie .czy może byłem zwyczajnie zmeczony 😂
Nie jest łatwo nadążyć za tak trudnymi tematami ;)
@@mechlopak tak ja wiem . Niestety ale cała tematyka it ,potrafi być nudząca . Taki jej urok. Brak nudy robi się, jak coś zdechnie 🤣
+ add pls tp link 105e/108e or dlink 1100
Cześć, mam u klienta MikroTik hEX S RB760IGS, konfigurowałem go od 0 według dostępnych poradników i mojej wiedzy ale poległem na oznaczeniu/numeracji portów eth ?? Przykładowo do MT kabel mam wpięty w port oznaczony numerem 2 a w winboxie widzę że dane lecą z niego na interface 1, podobnie z portem eth POE OUT oznaczony jako 5 na obudowie mt, a w winboxie widnieje on jako interface 4. Jak zrobić z tym porządek ?? Mogę podesłać SS z configu
dodatkowo w konfiguracji MT widzę 2x interface 1