Amigos tudo bem?
Gostaria de criar uma vlan no meu MK, para que meus clientes não enxerguem um aos outros pela rede local... como faço isso?
Versão Imprimível
Amigos tudo bem?
Gostaria de criar uma vlan no meu MK, para que meus clientes não enxerguem um aos outros pela rede local... como faço isso?
aCitação:
Postado originalmente por thiagotgc
Tmbem queria muito mais informação a esse respeito
vamos esperar uma gatao para nos ajudar =)
trabalhe com maskara /30 que não terá este´problema.
Amigos, trabalhar com /30 é praticamente inviavel.
Tenho poucos IPs, não posso ficar perdendo IPs assim... realmente gostaria de implantar a solução VLan no MK
Alguem poderia nos ajudar? =)
Citação:
Postado originalmente por thiagotgc
Ate nao digo a questão de ips mas torna a rede muito limitada
Galera ja testei vlans aqui, mas nao entendi muito como funciona no MK...
Ninguem usa isso?
Defina o que é sua rede local.
Bom quando falo rede local, eu digo que são meus clientes..
Por ex..
tenho uma faxa
200.200.200.0/24
aonde tenho por ex 10 clientes nele
200.200.200.2/3/4 e assim vai (o final 1 eh o MK)
Quero que os ips 2/3/4 e assim por diante nao se "enxerguem" como rede local... quero fazer a vlan para separarem...
unica forma efetiva de se bloquear clientes por cabo eh usando switches gerenciaveis...
quero saber por qual meio seus "clientes" estão ligados, por cabo ou wireless?
Tenho clientes por cabo e wireless!!
Alguma sugestao?
por cabo somente se você usar switch gerenciável.
wireless você pode usar PPPoE
PPPoE nao vira muito, sei la..
Meus clientes são empresariais, todos com Servidores Linux...
Olá,
VLAN só é usado em rede quando vc tem um switch que suporta tal tecnologia, a IEEE estipula um padrão específico para esta tecnologia. Um switch com tal requerimento é caro, portanto, sugiro ver se vale a pena. Se nao valer, utilize as dicas dos colegas... trabalhe com IP, pois o MK consegue gerenciar uma interface ETH com vários IP's. Se valer a pena comprar um switch com suporte a VLAN, sugiro estudar essa tecnologia pois é outro padrão, mas possuindo o MK e o switch vc verá que não é muito complicado.
Se for usando wireless não existe a necessidade de VLAN, pois no Access-list de sua WLAN você consegue desmarcar uma opção chamada "Forwarding". Desmarcando, aquele cliente não enxergará outro e outros não enxergaram ele.
Efren Langsdorf Júnior
Analista/Consultor JAVA
MEG@NET - Serviços em desenvolvimento de software e telecomunicações.
Site: http://www.assinesuatv.com.br
No MK 3.x, ele ja vem com a opção de VLAN integrada com o sistema.
Neste caso não daria para ja montar as VLANs diretamente nele? afinal ele é um roteador.
Galera... to me quebrando aqui, pois nao quero que meus clientes com a mesma faixa de IP se enxerguem!!!
Exatamente!Citação:
Postado originalmente por gustavinho69
O MK tem a opção de VLAN. Então atenção...:
Se for usar cabo(ETH): você precisa que as duas pontas aceitem VLAN's, o MK e o switch...
Como disse anteriormente esse padrão é especifico, vc não consegue fazer uma placa de rede comum enxergar isso.
se for usar wireless(WLAN): Não precisa de VLAN, use o atributo "forwarding" da interface wireless.
Só esqueci de dizer duas coisas na outra resposta:
1 - Já precisei usar essa tecnologia, procurei no ML não encontrei switch que me atendesse, fui então em alguns fornecedores aqui em Brasíla, nada tb, encontrei na representação CISCO aqui, o preço não compensava, +- R$ 2400,00. Decidi entrar em uma loja que nunca vou CTIS, encontrei um peba da D-link por R$ 1200,00...
2 - A nomenclatura do padrão VLan é 802 1Q
Efren Langsdorf Júnior
Analista/Consultor JAVA
MEG@NET - Serviços em desenvolvimento de software e telecomunicações.
Site: http://www.assinesuatv.net
mas por exemplo, tendo vlan no mkt e o switch que suporta vlan, configurado para comunicar com a vlan do mkt. e eu tenho uma estação windows. como faço pra todo meu trafego dessa estação ser encaminhada pra essa vlan?
configuração no switch?
obrigado
Citação:
Postado originalmente por thenet
Nos dois...
VLAN é "rede virtual", ou seja, vc cria sub-redes dentro do mesmo tunelamento físico. Por isso vc precisa que as duas pontas aceitem esse padrão.
Nesse caso, eu possuo aqui em minha rede um roteador linksys RV-082 que tem suporte a VLAN, então vc configura uma identidade no MK e a mesma identidade no switch. No RV-082 ele vem com algumas identidades pré-configuradas, então só tive que colocá-lo no MK. Mas este é o padrão do RV-082, cada switch deve ter uma maneira de tratar esse assunto, mas a idéa não deve mudar.
Efren Langsdorf Júnior
Analista/Consultor JAVA
MEG@NET - Serviços em desenvolvimento de software e telecomunicações.
Site: http://www.assinesuatv.net
Caro thiagotgc,
Como voce mesmo disse que seus cliente sao empresariais com servidores linux, usa vlan tag, ativa no mikrotik e ativa nos servidores linux tb, axo que resolve seu problema.
Galera quero agradecer a todos que estao me ajudando e vou ser um pouco mais claro pra vcs...
Tenho um Switch D-LINK 3526 com 24portas 10/100 e 2 10/100/1000
Tenho configurado 2 VLAN neles, sendo que uma fica os "clientes" e outras fica meus servidores.
Porem, aonde ficam Clientes, tenho ali, clientes de CABO, e Wireless... sendo assim, minha rede Servidores (aonde fica o Nagios por ex) nao enxerga localmente as APs dos clientes nem nada.
Quero que... OU minha porta de rede enchergue TODO o switch, OU... que nao tenha VLAN no Switch, e sim no MK para cada cliente UTP/WAN . . .
Entendem? nao quero que meu cliente de IP 200.200.200.200 enxergue via "local" meu cliente 200.200.200.201 . . porem...... EU POSSO enxergar LOCALmente TODOS . ..
Fui claro???
Então beleza...
Vamos supor algo:
Você tenha as seguintes interfaces..
id | IP | interface
-------------------------------------
VLAN1 | 192.168.1.0/24 | eth0
-------------------------------------
VLAN2 | 192.168.2.0/24 | eth1
-------------------------------------
WLAN | 192.168.3.0/24 | wlan0
adicione as seguintes regras:
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Marca requisicoes para a VLAN1" disabled=no dst-address=192.168.1.0/24 new-routing-mark=VLAN1 passthrough=yes
add action=mark-routing chain=prerouting comment="Marca requisicoes para a VLAN2" disabled=no dst-address=192.168.2.0/24 new-routing-mark=VLAN2 passthrough=yes
add action=mark-routing chain=prerouting comment="Marca requisicoes para a WLAN" disabled=no dst-address=192.168.3.0/24 new-routing-mark=WLAN passthrough=yes
/ip route
add comment="Rota VLAN1" disabled=no distance=1 dst-address=0.0.0.0/0 \
gateway=eth0 routing-mark=VLAN1
add comment="Rota VLAN2" disabled=no distance=1 dst-address=0.0.0.0/0 \
gateway=eth1 routing-mark=VLAN2
add comment="Rota WLAN" disabled=no distance=1 dst-address=0.0.0.0/0 \
gateway=wlan0 routing-mark=WLAN
Ah legal... nesse seu caso, voce diz que todo trafego originado da rede 192.168.1.0/24 , só saira para ETh0 e sua propria rede.. e assim por diante certo?
Não amigo VLAN não depende de duas pontas para funcionar....ela apenas virtualiza o trafego na porta do switch....então o usuario que conectar naquela porta fara parte da VLAN.Citação:
Postado originalmente por efrenjunior
Citação:
Postado originalmente por gustavinho69
Pois é..
vc disse...
"então o usuario que conectar naquela porta fara parte da VLAN"
e o que eu disse é que o switch tem que reconhecer o id da vlan criada no MK.... Você postou apenas pra dizer o que eu disse... Vem do MK uma VLAN, passa pelo switch a mesma VLAN e vai para o usuario. Mas é a maquina cliente que reconhece a VLAN ou o switch....?
Nós temos três equipamentos em questão:
1 - o MK;
2 - o Switch, que aceita vlan;
3 - o usuario;
Na sua contagem me diga me diga onde temos apenas um equipamento...?
Amigo se o roteamente é feito na VLAN, o cliente ja estara fazendo parte dele. Ou seja o trafego dele ja pasou por essa interface que esta virtualizada, fazendo as rotas.Citação:
Postado originalmente por efrenjunior
Se o MK é o router que estra criando a VLAN o switch só fara o papel de encaminhar o trafego correto? Por isso que eu comentei no primeiro post que o MK nas versões 3x ja vem com suporte a VLAN.
Ou seja, parte dela isso chegando ao usuario final.
O que eu comentei sobre o seu post foi o que você postou aqui.
"Se for usar cabo(ETH): você precisa que as duas pontas aceitem VLAN's, o MK e o switch...
Como disse anteriormente esse padrão é especifico, vc não consegue fazer uma placa de rede comum enxergar isso."
Isso não tem nada a ver.
Estou tentando a dias fazer uma Vlan entre duas RB´s, adiciono a Vlan nos 2 Mikrotik com uma ID, exemplo 200, aponto a Vlan para as interfaces do enlace que estão conectadas certim, e não dá certo, não consigi pingar de um no outro, estou seguindo este manual:
http://www.mikrotik.com/testdocs/ros...rface/vlan.php
Qual o segredo? Porque não dá certo?
tb to enteressado em saber pois to precisando q os clientes da minha rede cabeada nao se enxerguem
Alexandre correa colocou um video no blog dele ensinando a fazer VLAN entre MKs.
deem uma olhada por lá.
Poste ai o video amigo....Citação:
Postado originalmente por gustavinho69
Configurar VLAN em mikrotik
o endereço do video é esse acima, esse video é bom mas acho q nao serve para o q eu quero, eu tenho uma rede cabeada e quero criar vlans na rede interna, isto é uma vlan para cada cliente de x.x.x.1 a x.x.x.254 para q nenhum cliente enxergue o outro.
Citação:
Postado originalmente por maxmelo
O pessoal está só complicando rsrs...
Olha,para que nenhum cliente se enxergue o outro é muito simples, crie a seguinte faixa de ips:
192.168.1.1/32 + PPPoE
Com isso alem de deixar cada cliente individual, o servidor não irá fazer a requisição do broadcast e quem irá fazer é o próprio computador do cliente.
Abraço!!
to pedindo pra vc fazer um exemplo como o abaixo
Citação:
Postado originalmente por efrenjunior
Criei um post no blog sobre como criar VLANs no Mikrotik para rotea-las, vejam se ajuda:
Roteando VLANs no Mikrotik
Gente, consegui fazer a Vlan funcionar, para isso deixei de usar wds e fiz as conexões através das Vlan´s, usei os modo bridge e pseudo bridge. Minha aplicação e colocar 2 cabo de rede em cada Router Board e correr 2 links isolados num enlace, não tem nada com isolar clientes. Para min foi 100 % de sucesso.
Para criar a VLAN, o dispositivo que interconecta ambos os computadores que deve faze-lo.Citação:
Postado originalmente por maxmelo
Se vc usa rede cabeada, precisava de um switch gerenciavel.
Na linkteck tem deles por menos de R$ 200,00.
pessoal,
se vcs querem bloquear realmente a comunicacao entre os clientes, devem fazer isso na camada2.
no caso de rede wireless bloqueando o relay entre os clientes, e no caso de rede cabeada com switchs gerenciaveis utilizando vlan.
Se utilizar um roteador em NAT em cada saída para os clientes, você consegue! No Access List, como sugeriu o amigo antes, desabilite Forward.
Espero ter ajudado! ;)
Bem pessoal o cenario mudou eu tenho um mikrotik RB750G, tenho 5 portas, porta 5 link, as outras 4 porta sao 4 ramificacoes da minha rede, porta 1 rede 10, porta 2 rede20, porta 3, rede 30 e porta 4 rede 40 com os respectivos ips 10.10.0.0/16, 10.20.0.0/16, 10.30.0.0/16 e 10.40.0.0/16, uma rede em cada porta com dhcp separado e hotspot separado agora eu queria criar no mk 4 vlans ou seja uma vlan em cada porta, as portas de 1 a 4 nao se enxergam mas todas enxergam a porta 5 e tb queria implementar spanning tree nas minha 4 rede para qdo tiver problema em uma das quatro redes nao interferir nas outras tres e outra coisa eu so preciso ter essas configuracoes na RB ou eu preciso configurar mais alguma coisa pq o q eu quero mesmo é transformar a minha RB num switch gerenciavel com portas vlan fixar e spanning tree.
To na Mesma dificuldade aki Maxmelo se souber de algo posta ai!!!
Conseguiu?Citação:
Postado originalmente por maxmelo