Caro thiagotgc,
Como voce mesmo disse que seus cliente sao empresariais com servidores linux, usa vlan tag, ativa no mikrotik e ativa nos servidores linux tb, axo que resolve seu problema.
Versão Imprimível
Caro thiagotgc,
Como voce mesmo disse que seus cliente sao empresariais com servidores linux, usa vlan tag, ativa no mikrotik e ativa nos servidores linux tb, axo que resolve seu problema.
Galera quero agradecer a todos que estao me ajudando e vou ser um pouco mais claro pra vcs...
Tenho um Switch D-LINK 3526 com 24portas 10/100 e 2 10/100/1000
Tenho configurado 2 VLAN neles, sendo que uma fica os "clientes" e outras fica meus servidores.
Porem, aonde ficam Clientes, tenho ali, clientes de CABO, e Wireless... sendo assim, minha rede Servidores (aonde fica o Nagios por ex) nao enxerga localmente as APs dos clientes nem nada.
Quero que... OU minha porta de rede enchergue TODO o switch, OU... que nao tenha VLAN no Switch, e sim no MK para cada cliente UTP/WAN . . .
Entendem? nao quero que meu cliente de IP 200.200.200.200 enxergue via "local" meu cliente 200.200.200.201 . . porem...... EU POSSO enxergar LOCALmente TODOS . ..
Fui claro???
Então beleza...
Vamos supor algo:
Você tenha as seguintes interfaces..
id | IP | interface
-------------------------------------
VLAN1 | 192.168.1.0/24 | eth0
-------------------------------------
VLAN2 | 192.168.2.0/24 | eth1
-------------------------------------
WLAN | 192.168.3.0/24 | wlan0
adicione as seguintes regras:
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Marca requisicoes para a VLAN1" disabled=no dst-address=192.168.1.0/24 new-routing-mark=VLAN1 passthrough=yes
add action=mark-routing chain=prerouting comment="Marca requisicoes para a VLAN2" disabled=no dst-address=192.168.2.0/24 new-routing-mark=VLAN2 passthrough=yes
add action=mark-routing chain=prerouting comment="Marca requisicoes para a WLAN" disabled=no dst-address=192.168.3.0/24 new-routing-mark=WLAN passthrough=yes
/ip route
add comment="Rota VLAN1" disabled=no distance=1 dst-address=0.0.0.0/0 \
gateway=eth0 routing-mark=VLAN1
add comment="Rota VLAN2" disabled=no distance=1 dst-address=0.0.0.0/0 \
gateway=eth1 routing-mark=VLAN2
add comment="Rota WLAN" disabled=no distance=1 dst-address=0.0.0.0/0 \
gateway=wlan0 routing-mark=WLAN
Ah legal... nesse seu caso, voce diz que todo trafego originado da rede 192.168.1.0/24 , só saira para ETh0 e sua propria rede.. e assim por diante certo?
Pois é..
vc disse...
"então o usuario que conectar naquela porta fara parte da VLAN"
e o que eu disse é que o switch tem que reconhecer o id da vlan criada no MK.... Você postou apenas pra dizer o que eu disse... Vem do MK uma VLAN, passa pelo switch a mesma VLAN e vai para o usuario. Mas é a maquina cliente que reconhece a VLAN ou o switch....?
Nós temos três equipamentos em questão:
1 - o MK;
2 - o Switch, que aceita vlan;
3 - o usuario;
Na sua contagem me diga me diga onde temos apenas um equipamento...?
Amigo se o roteamente é feito na VLAN, o cliente ja estara fazendo parte dele. Ou seja o trafego dele ja pasou por essa interface que esta virtualizada, fazendo as rotas.
Se o MK é o router que estra criando a VLAN o switch só fara o papel de encaminhar o trafego correto? Por isso que eu comentei no primeiro post que o MK nas versões 3x ja vem com suporte a VLAN.
Ou seja, parte dela isso chegando ao usuario final.
O que eu comentei sobre o seu post foi o que você postou aqui.
"Se for usar cabo(ETH): você precisa que as duas pontas aceitem VLAN's, o MK e o switch...
Como disse anteriormente esse padrão é especifico, vc não consegue fazer uma placa de rede comum enxergar isso."
Isso não tem nada a ver.
Estou tentando a dias fazer uma Vlan entre duas RB´s, adiciono a Vlan nos 2 Mikrotik com uma ID, exemplo 200, aponto a Vlan para as interfaces do enlace que estão conectadas certim, e não dá certo, não consigi pingar de um no outro, estou seguindo este manual:
http://www.mikrotik.com/testdocs/ros...rface/vlan.php
Qual o segredo? Porque não dá certo?
tb to enteressado em saber pois to precisando q os clientes da minha rede cabeada nao se enxerguem
Alexandre correa colocou um video no blog dele ensinando a fazer VLAN entre MKs.
deem uma olhada por lá.
Configurar VLAN em mikrotik
o endereço do video é esse acima, esse video é bom mas acho q nao serve para o q eu quero, eu tenho uma rede cabeada e quero criar vlans na rede interna, isto é uma vlan para cada cliente de x.x.x.1 a x.x.x.254 para q nenhum cliente enxergue o outro.
O pessoal está só complicando rsrs...
Olha,para que nenhum cliente se enxergue o outro é muito simples, crie a seguinte faixa de ips:
192.168.1.1/32 + PPPoE
Com isso alem de deixar cada cliente individual, o servidor não irá fazer a requisição do broadcast e quem irá fazer é o próprio computador do cliente.
Abraço!!
Criei um post no blog sobre como criar VLANs no Mikrotik para rotea-las, vejam se ajuda:
Roteando VLANs no Mikrotik
Gente, consegui fazer a Vlan funcionar, para isso deixei de usar wds e fiz as conexões através das Vlan´s, usei os modo bridge e pseudo bridge. Minha aplicação e colocar 2 cabo de rede em cada Router Board e correr 2 links isolados num enlace, não tem nada com isolar clientes. Para min foi 100 % de sucesso.
pessoal,
se vcs querem bloquear realmente a comunicacao entre os clientes, devem fazer isso na camada2.
no caso de rede wireless bloqueando o relay entre os clientes, e no caso de rede cabeada com switchs gerenciaveis utilizando vlan.
Se utilizar um roteador em NAT em cada saída para os clientes, você consegue! No Access List, como sugeriu o amigo antes, desabilite Forward.
Espero ter ajudado! ;)
Bem pessoal o cenario mudou eu tenho um mikrotik RB750G, tenho 5 portas, porta 5 link, as outras 4 porta sao 4 ramificacoes da minha rede, porta 1 rede 10, porta 2 rede20, porta 3, rede 30 e porta 4 rede 40 com os respectivos ips 10.10.0.0/16, 10.20.0.0/16, 10.30.0.0/16 e 10.40.0.0/16, uma rede em cada porta com dhcp separado e hotspot separado agora eu queria criar no mk 4 vlans ou seja uma vlan em cada porta, as portas de 1 a 4 nao se enxergam mas todas enxergam a porta 5 e tb queria implementar spanning tree nas minha 4 rede para qdo tiver problema em uma das quatro redes nao interferir nas outras tres e outra coisa eu so preciso ter essas configuracoes na RB ou eu preciso configurar mais alguma coisa pq o q eu quero mesmo é transformar a minha RB num switch gerenciavel com portas vlan fixar e spanning tree.