MikroTik RBD52G-5HacD2HnD-TC hAP ac²

2. Un switch cu management are ce ip vrei tu sa aiba numai sa fie din subnetul care trebuie (nu cred ca vrei sa ii pui management ip din guest network) - btw, switch-ul are un singur ip prin care il accesezi indiferent de cate vlan-uri trec prin el sau din cate vlan-uri vrei sa il poti accesa (daca vorbim strict layer2 - ca un switch layer3 poate avea cate ip-uri vrei tu). In general, daca nu mentionez altfel, cand zic switch ma refer strict la layer2.

Daca treci reteaua ta printr-un switch cu management (ca altfel nu ai cum folosi vlan-urile create) trebuie sa fi atent ca si porturile switch-ului respectiv sa fie tagged (marcate) cu vlan-urile ce trec prin portul respectiv.
Ca un exemplu:
eth1 router cu vlan10 --> port 1 switch tag cu vlan10 --> echipament care trebuie sa fie in vlan10
eth2 router cu vlan20 --> port 2 switch tag cu vlan20 --> echipament care trebuie sa fie in vlan20
poti trece mai multe vlan-uri prin acelasi switch port (vezi mai jos)
(din ce vad eu, dar nu m-am uitat f atent,  tu ai cate un vlan pe fiecare interfata deci nu iti trebuie un trunk port in switch (adica mai multe vlan-uri care trec prin acelasi port)

Vlan over-simplificat (layer2):
porturile unui switch pot fi:  tagged/untagged si excluded vis-a-vis de vlan-uri (cand 'trec' mai multe vlan-uri prin acelasi port al unui switch (de-obicei e un core switch care face tot managementul layer2 al rețelei sau vlan-urile respective sunt "carate" la destinatie prin mai multe switch-uri), acel port se numeste trunk, adica sunt tagged cu fiecare vlan care il poarta (ca asa i-a zis cisco: trunk port)). Revenind, porturile poti fi:

-tagged: trec prin portul respectiv al switch-ului doar pachetele marcate cu vlan-ul/vlan-urile respectiv(e) si marcheaza toate pachetele ce intra in el (daca nu sunt marcate) cu vlan-ul/vlan-urile respectiv(e)  (cisco ii zice trunk port cand cara TOATE vlan-urile ce trec prin switch-ul respectiv) - simplu: un port este tagged cand conecteaza 2 echipamente ce stiu vlan-uri (router-switch, switch-swtich, switch-ap ce stie vlan-uri, switch-server ce stie vlan-uri)

-untagged - nu trece/nu transmite (nu se asteapta ca vreun pachet sa fie marcat cu vlan si nici nu marcheaza pachetele cu vreun vlan specific) vreun pachet marcat cu vlan  tag (teoretic asta e starea default al oricari switch cu management sau nu - deobicei vlan1 care nu poate fi setat de user - nu poti alege tu vlan1) (cisco ii zice acces port) - simplu - portul este untagged cand 1)nu poarta niciun vlan si 2) conecteaza echipamente ce nu stiu (deobicei) vlan-uri: end user; telefoane, calculatoare, etc

- excluded - portul nu este membru al  vlan-lui X dar participa in alte vlan-uri: ex; port 2 poate fi membru (tagged) vlan20,vlan30 si excluded in vlan40. (in cisco cred ca e switchport trunk allowed vlan )

Am dat forme generale ale definitiilor deoarece vei gasi mai multe moduri de exprimare in documentatiile online: cisco userland mode vs restul.

1. mai bine fa-ne un desen cum ai vrea sa arate reteaua (e mult mai straightforward ca sa putem intelege ce si cum vrei sa-ti iasa).

Multumesc mult Ogo pentru raspunsul detaliat. Iti datorez o bere (sau ami multe .

M-a lasat fica-mea sa fac o schita... .

Inainte de asta, am cateva intrebari legate de router, ca sa nu ajungem mai departe...
1. Pentru fiecare vlan eu am creat cate un brigde. Este corect?
2. Ce fac cu portul care va merge catre un switch cu management? Carui bridge il asociez? Aici cred ca ceva nu am facut corect.
3. Ar trebui sa pun IP-urile de administrare ale switch-urilor si routerului din pool-ul unui vlan?
4. PVID are vreo treaba in planul meu?

PS am doar primul switch cu mng. Voi merge tot pe tplink, ca si primul.

Edited by joystick, 03 January 2019 - 19:40.

iti recomand sa pleci cu toate vlan-urile  din router dintr-un singur eth catre un  singur port switch (e "mai" uzual) - router on a stick ii zice. dar poti poti avea si pe fiecare eth cate un vlan (sau mai multe). your choice.

1. bridge e cand asociezi/grupezi mai multe interfete/retele (fizice sau/si logice) intr-una singura creeind o interfata/retea unica
in cazul tau se aplica (cred) cand asociezi vlan10 cu wlan10

2. raspunsul depinde in functie de ce alegi: pleci cu toate din router catre switch => portul din switch e trunk si il faci membru in toate vlanlurile tale  ce intra in el (din interfata switch-ului il faci membru ca sa nu te incurc) sau in varianta 2 (fiecare eth din router are asociat cate un vlan sau mai multe) => fiecare port din switch il faci membru doar in vlan-urile care vrei sa treaca efectiv prin el. daca ai vrut sa intrebi altceva, reformuleaza....

3. da. ar trebui sa ai un vlanX - de management (el standard e vlan1 toate porturile sunt untagged) - poti lasa asa, sa ramana vlan1 sau poti creea altul, ideea e ca UZUAL toate echipamentele de management sunt in acelasi vlan

4. depinde. pvid e cand pe pe portul switch-ului respectiv se primesc atat pachete tagged (adica vlan-uri, deci de la echipamente ce stiu nativ vlan) cat si pachete untagged (fara sa fie marcate intr-un vlan) de la echipamente ce nu stiu/inteleg vlan-uri.
De exemplu situatia poate apare cad conectezi in acelasi port (trec prin acelasi port) pachete diferite, unde pachetul1 e marcat cu un vlan dar pachetul 2 nu.

vlan10: VoIP
vlan50: retea calculatoare contabilitate
poza:
fizic: switch ---> port 1 telefon voip  (astea au deobicei 2 porturi si stiu vlan nativ) ---> telefon voip port2 ------> PC1 contabilitate

din lan catre client (asta e simplu si fara pvid):
logic:  --->vlan10/vlan50---->switch--->switch-ul face untagged la pachetul cu vlan50 (pt ca vlan50 e o retea de calculatoare iar un calculator nu intelege vlan) si trimite mai departe 2 pachete unul cu vlan10 pt VOIP si unul untagged catre PC----> telefon ip isi ïa pt el" pachetul marcat cu vlan10 si trimite mai departe pachetul untagged catre ----> PC1

din client catre lan (aici apare pvid)
PC1 ---pachet untagged catre retea ca nu stie sa marcheze pachete doar---> port voip telefon (asta vede ca pachetul e untagged deci nu e destinat catre el, telefonul voip fiind in vlan10, si il trmite mai departe catre switch) --> (ACUM APARE PVID)    switch-ul primeste un pachet untagged (deci fara niciun vlan) si trebuie sa stie ce face cu el, carui vlan apartine si catre cine trebuie sa-l trimita mai departe si pentru asta se uita in setarea lui pvid pt portul care primeste pachetul, unde este mentionat ca orice pachet untagged care intra in portul asta face parte si se marcheaza cu vlan50 (in cazul nostru)
  
Cam asta e pvid (port vlan): ii zici switch-ului ca pachetele untagged ce intra in portul X trebuie marcate cu vlan Y.
Un port al unui switch poate fi membru in acelasi timp in toate vlan-urile posibile dar membru numai intr-un singur pvid

Si mai simplu: orice switch nou cu management are toate porturile sale (uzual) in pvid1/vlan1

Revenind la reteaua ta, cum ziceam si mai sus, iti recomand ceva de genul:
vlan10 AIA BUNI
vlan20 AIA RAI
eth0 --> vlan10/vlan20 iar fiecare vlan il asociezi wlan-urile necesare (wifi)

pleci din eth0 catre switch in port0
setezi port0 din switch sa fie trunk (adica il faci membru in toate vlna-urile ce intra in el i.e. 10 si 20)
apoi din switch setezi:
port1 daca pleaca spre echipamente ce nu stiu vlan-uri il faci untagged si pvid10 (daca vrei ce e dupa el sa fie in vlan10)  
port2 daca pleaca spre echipamnte ce nu stiu vlan-uri il faci untagged si pvid20  (daca vrei ce e dupa el sa fie in vlan20)
port3 daca pleaca spre echipamente ce STIU vlan-uri (deobicei alt switch - am dat exemple in postul anterior) il faci tagged cu vlan-ul ce vrei sa treaca prin el
port4 daca vrei sa nu aiba acces la niciun vlan il pui excluded din vlan10 si20
etc/etc

cu restul de ethX din router poti face ce vrei le poti asocia (bridge) cu cele deja existente facandu-le parte din vlan-urile respective  sau le poti asocia altor vlan-uri separate.

Ca sa intelegi vlan-urile trebuie sa intelegi cum circula pachetele printr-un switch: in/out sau ingress/egress mai uzual si unde si la cine vrei sa ajunga acele pachete; daca te lamuresti cu asta, ai inteles 99% din vlan-uri.
Ca un rezumat la rezumat si simplificand la "minim": orice pachet destinat unui echipament ce stie vlan-uri e tagged (in 99% din cazuri echipamentele astea sunt doar switch-uri), orice pachet destinat unui utizator ce nu stie vlan-uri e untagged.

btw
vezi ca iti ramane reteaua veche, aia cu 192.168.*  => aia o sa fie vlan-ul tau de management

Mie mi se pare complicat setup-ul ... si posibila sursa de ... inadvertente. As merge pe un singur switch L2 mai "incapator", conectat la un singur port al routerului, si managementul VLAN-urilor sa-l faci strict la cele doua. Sau, daca e musai, as trage ambele switch-uri direct din router, nu stiu de ce mi se pare mai "curat" asa.

Da, router on a stick (cum ziceam in postul anterior) - vezi poza atasata ca sa iti dai seama

din eth1 pleaca un sigur cablu catre switch cu 4 vlanuri
vlan10 - iot - chinezii tai
vlan20 - guest - cei ce vin in vizita la tine
vlan30 - home - tel/calculatoare/etc
van40 - mgm - management
disclaimer: n-am testat configuratia, nu folosesc mkr
ar mai trebui facut bridging wlan-urile cu vlan-urile pe eth1 si deci o sa ai nevoie de 3-4 retele wifi:
iot: doar 2.4 ghz ca astea nu stiu 5g
guest: 2.4 + 5
home: 2.4+5
management: daca vrei sa te poti conecta via wifi la router/switch daca nu ramane prin cablu = your choice

/interface vlan
add name=IOT vlan-id=10 interface=ether1 disable=no
add name=GUEST vlan-id=20 interface=ether1 disable=no
add name=HOME vlan-id=30 interface=ether1 disable=no
add name=MGM vlan-id=40 interface=ether1 disable=no

/ip address
add address=10.0.10.1/24 interface=IOT
add address=10.0.20.1/24 interface=GUEST
add address=10.0.30.1/24 interface=HOME
add address=10.0.40.1/24 interface=MGM

/ip pool
add name=pool1 ranges=10.0.10.100-10.0.10.200 interface=IOT
add name=pool2 ranges=10.0.20.100-10.0.20.200 interface=GUEST
add name=pool3 ranges=10.0.30.100-10.0.30.200 interface=HOME
add name=pool4 ranges=10.0.40.100-10.0.40.200 interface=MGM

/ip dhcp-server
add authoritative=yes name=dhcpIOT interface=IOT address-pool=pool1 disabled=no
add authoritative=yes name=dhcpGUEST interface=GUEST address-pool=pool2 disabled=no
add authoritative=yes name=dhcpHOME interface=HOME address-pool=pool3 disabled=no
add authoritative=yes name=dhcpMGM interface=MGM address-pool=pool4 disabled=no

/ip dhcp-server network
add address=10.0.10.0/24 getaway=10.0.10.1 dns-server=10.0.10.1,1.1.1.1 comment="IOT Network"
add address=10.0.20.0/24 getaway=10.0.20.1 dns-server=10.0.20.1,1.1.1.1 comment="Guest Network"
add address=10.0.30.0/24 getaway=10.0.30.1 dns-server=10.0.30.1,1.1.1.1 comment="Home Network"
add address=10.0.40.0/24 getaway=10.0.40.1 dns-server=10.0.40.1,1.1.1.1 comment="MGM Network"

Nu mai tin minte ce tp-link ai dar cred ca era ceva de genul smart switch
Daca da, te duci tab-ul vlan > 802.1q vlan -> enable apply
dupa pe portul in care intra cablu de la router (presupunem ca port1) il selectezi si ii dai tag cu toate vlan-urile tale. pe rand ca nu cred ca stie deodata (vezi tu)
dupa care: in port 2 conectezi un client vlan10 si in port 3 un client vlan20
te duci in switch in tabul 802.1q pvid setting si la port 2 selectezi pvid10 si la port 3 pvid20
salvezi si fa un test, daca isi iau ip/merge internetul chestii/trestii. Daca da aplici mai departe la ce si cum vrei.
Daca vrei sa transporti toate vlna-urile in alt switch atunci alegi un port liber si ii dai tag cu toate vlan-urile ce vrei sa treaca mai departe spre switch2.
In sw2 in portul in care intra cablu din sw1 ii dai tag cu toate vlan-urile ce intra in el din sw1.

Dupa ce ai facut toate astea, stupoare, toate echipamentele se vad intre ele. normal
Iti trebuie reguli de firewall: setezi cine/ce pe unde are voie.
Atentie: o sa ai nevoie de reguli pt fiecare vlan in parte.

Succes!!

Edited by ogo, 04 January 2019 - 20:30.

Iti multumesc mult de tot ogo pentru timpul consumat pentru a-mi explica.
Sper sa am suficent timp maine ca sa readuc routerul la setarea initiala si sa ma apuc sa recreez totul de la inceput. Asa este mai sanatos.
O sa imi ia ceva timp pana cand voi reusi sa rumeg tot ce mi-ai scris.

O singura intrebare inainte sa ma apuc sa studiez: pentru reteaua de management, trebuie sa mia fac inca un vlan?
Mie imi lipseste ceva elementar, insa nu stiu ce.

Sunt curios de cate ori o sa imi tai accesul la router ))

@Tyby
Problema este ca nu as vrea nici eu sa cascadez switch-uri insa sunt nevoit sa o fac datorita infrastructurii existente. Toate cablurile sunt ingropate in sapa.
OFF: cand am renovat apartamentul nu aveam nicio idee despre pozitionarea lucrurilor princ asa asa ca mi-am dus doar 2-3 cabluri de retea in fiecare camera. In living am doar 2 cabluri si vreo 7-8 dispozitive. Nu am cum sa ajung la ele. Toata "mataraia" o am pe balcon.

Edited by joystick, 04 January 2019 - 21:36.

Parca am "facut" mai sus retea management: vlan40

Pai ca sa fi sigur ca nu patesti nimic lucrezi pe eth1 dar inainte pe eth0 iti faci o retea de back-up (un server de dhcp dintr-o alta clasa ca vlan-urile tale). Gresesti ceva, te conectezi la eth0 modifici la loc, iesi, si te conectezi iar la eth1.
Accesul nu ti-l tai decat din regulile de firewall care le implementezi. Cum ziceam, la inceput se vor vedea taote vlan-urile intre ele.

Poti avea ceva de genul:
vlan10 (IOT) - sa nu aiba access in niciun alt vlan, sa nu aiba acces la interfata routerului (pactehele cu destinatia local) dar sa poata iesi pe internet (+ ap isolation ceva de genul default-forwarding=no in interfata wifi) / sau sa nu poate iesi pe internet depinde cum iti trebuie
vlan20(guest) - sa nu aiba access in niciun alt vlan, sa nu aiba acces la interfata routerului  dar sa aiba access la imprimanta/tv (pt printing / cast) si sa poata iesi pe internet  (+ip isolation)
vlan30(home) - reteaua ta de acasa: sa aiba acces in vlan10 si vlan20, internet dar nu in vlan40 si nici in interfata router-ului
vlan40(mgm) - mgm = management - sa aiba acces oriunde (in orice vlan si in interfata routerului si internet).

Sa faci prima oara vlan-urile si dupa wlan-urile si bridge-urile aferente. (o sa ai toate wlan-urile in bridge cu eth1 - cred- )

Mulțumesc.
Stii cum făceam în generala, la gramatica?
Luam o fraza și o desparteam in propozitii. Apou analizam fiecare subunitate in parte...
Asa voi face eu cu cele 2 posturi in parte.
Trebuie sa reusesc...

Stii de ce m-am legat initial de wlan? Am pe desktop și placa wifi și e mai usor sa schimb retelele wifi decât sa merg pe balcon sa ma jic cu mufele...Dar cu incerca sa iti urmez sfatul.

Edited by joystick, 04 January 2019 - 23:50.

Posibil sa ma bag ca musca in lapte insa in legatura cu "taiatul cracii de sub picioare" la Cisco cand erau comenzi care ar fi putut sa provoace asa ceva intotdeauna executam inainte un restart/reload in x min ; dupa asta executam ce doream si daca comanda problematica nu-mi provoca nici o problema anulam restart-ul si dadeam write/commit la comanda noua in config-ul permanent al echipamentului (presupun ca si la Mk situatia e similara si comenzile sunt scrise/executate intai in RAM si abia la cerere scrise in NVRAM).
Ideea era sa nu fiu nevoit sa merg fizic la echipament in caz de probleme .

Edited by me_iauras, 05 January 2019 - 00:04.

Foarte posibil, cum ziceam nu sunt utilizator routeros.
In edgeos e commit-confirm (seamana cu IOS) (avand default 10 minute timp sa confirmi comanda - se poate seta ce timp vrei, iar daca nu o confirmi (i.e. ti-ai taiat singur accesul), router-ul isi da reboot singur si revine la configuratia anterioara ):

admin@gw# delete service lldp
admin@gw# commit-confirm 5
commit-confirm will automatically reboot in 5 minutes unless confirmed
Proceed? [yes]n
commit-confirm canceled
[edit]
admin@gw#
admin@gw# exit discard
exit
admin@gw:~$

oricum dupa commit mai e si save pt a scrie configuratia in boot/startup deci  mai e o sansa: il scoti din priza

https://wiki.mikroti...ct=no#Safe_Mode

joystick, am inteles ideea cu switch-urile cascadate. La fel e si la mine in casa, dar acolo nu am management, nu am avut nevoie (desi am in casa o infrastructura pe care o au putine SMBuri )

Da, cred ca voi abandona. Mi-am pierdut o jumatate de zi...
Ce am facut:
A. Router
1. Am creat cele 2 vlan-uri
2. Am creat 2 pool-uri de adrese
3. Am creat serverul dhcp

--------------
B. Switch
portul 8 e cel care e legat la router (pe eth 2).
Portul 4 e singurul care face parte acum din vlan20.

Rezultat? Nimni nu primeste IP din pool-urile vlan.
Cu PVID am incercat toate combinatiile...=> imi tai conexiunea la net.

Am si un AP virtual, si daca ii pun tag si ID20...primesc IP de genul: 169.254.226.45 (link local)....Deci pana sa ajung la switch e ceva extrem de gresit in router....

Edited by joystick, 05 January 2019 - 16:27.

A. Ok. (Nu folosi inca wlan-uri).
B. Conecteaza eth2 (sau pe care ai facut vlan-urile in router) in portul 1 switch.
Portul 1 switch ii dai tagged cu toate vlan-urile (nu setezi niciun pvid la el, ramane default1)
Portul 2 switch ii pui pvid20 (sau cum e primul vlan)
Portul 3 switch ii pui pvid30 (sau cum e al 2lea vlan)
Conecteaza in portul 2 switch via cablu un laptop si il seteaza-I sa isi ia automat dhcp. Isi ia ip din vlan20?
Muta laptop-ul in portul 3, isi ia ip din vlan30?

Merge???
(N-am acces la niciun tplink pana diseara, poate zic ceva gresit dar verifica prima oara cum am zis mai sus).

@joystick din cate-mi dau seama teoretic exemplul 2 e exact situatia ta .
Din ce vad din screenshot-urile tale la ultimul ai uitat sa faci assignment-ul porturilor la PVID (se bifeaza casuta din dreptul portului , completeaza VLAN-ul dorit sus in caseta si Apply).
L.E. Am vazut ulterior ca ai zis ca ai incercat cu PVID si ca nu-ti merge ; incearca totusi sa pui adrese statice din fiecare VLAN in parte si vezi daca ai conxiune/ping in GW (lasa DHCP-ul momentan ; one step at a time) . Daca da atunci problema e de rute din vlan-uri catre exterior si eventual inter-vlan routing in functie de cum doresti sa comunice VLAN-urile unele cu celelalte

Edited by me_iauras, 05 January 2019 - 17:29.

AAAA. Am uitat ceva (am presupus in gand).
in switch:
PORTUL 1: in care intra cablul din router: II DAI TAG cu toate vlan-urile
PORTUL 2: IN CARE PUI UN CLIENT II DAI UNTAGGED  SI PVID IN VLAN-UL CARE VREI SA FIE CLIENTUL
PORTUL 3: IN CARE PUI UN CLIENT II DAI UNTAGGED  SI PVID IN VLAN-UL CARE VREI SA FIE CLIENTUL

Edited by ogo, 05 January 2019 - 17:33.

Nu, nu merge.

Cam asa arata interfata switch-ului cu modificarile de rigoare.

LE: stai asa ca acum am ami vazut ce ai mai scris...
REvin .

Edited by joystick, 05 January 2019 - 18:18.

joystick, on 05 ianuarie 2019 - 17:59, said:

Din ce vad in ex (si din ce-mi amintesc cam asa ar trebui sa fie) portul de uplink al switch-ului (portul 1) ar trebui sa fie TAG-at pe VLAN-ul de management (VLAN 1) ; la tine vad ca e TAG-at cu VLAN 10/20

Explic alfel:
Vlan10: tag port 1, untag restul
Vlan20: tag port 1, untag restul
Port2: pvid10
Port3: pvid20