Caro thiagotgc,
Como voce mesmo disse que seus cliente sao empresariais com servidores linux, usa vlan tag, ativa no mikrotik e ativa nos servidores linux tb, axo que resolve seu problema.
Caro thiagotgc,
Como voce mesmo disse que seus cliente sao empresariais com servidores linux, usa vlan tag, ativa no mikrotik e ativa nos servidores linux tb, axo que resolve seu problema.
Galera quero agradecer a todos que estao me ajudando e vou ser um pouco mais claro pra vcs...
Tenho um Switch D-LINK 3526 com 24portas 10/100 e 2 10/100/1000
Tenho configurado 2 VLAN neles, sendo que uma fica os "clientes" e outras fica meus servidores.
Porem, aonde ficam Clientes, tenho ali, clientes de CABO, e Wireless... sendo assim, minha rede Servidores (aonde fica o Nagios por ex) nao enxerga localmente as APs dos clientes nem nada.
Quero que... OU minha porta de rede enchergue TODO o switch, OU... que nao tenha VLAN no Switch, e sim no MK para cada cliente UTP/WAN . . .
Entendem? nao quero que meu cliente de IP 200.200.200.200 enxergue via "local" meu cliente 200.200.200.201 . . porem...... EU POSSO enxergar LOCALmente TODOS . ..
Fui claro???
Então beleza...
Vamos supor algo:
Você tenha as seguintes interfaces..
id | IP | interface
-------------------------------------
VLAN1 | 192.168.1.0/24 | eth0
-------------------------------------
VLAN2 | 192.168.2.0/24 | eth1
-------------------------------------
WLAN | 192.168.3.0/24 | wlan0
adicione as seguintes regras:
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Marca requisicoes para a VLAN1" disabled=no dst-address=192.168.1.0/24 new-routing-mark=VLAN1 passthrough=yes
add action=mark-routing chain=prerouting comment="Marca requisicoes para a VLAN2" disabled=no dst-address=192.168.2.0/24 new-routing-mark=VLAN2 passthrough=yes
add action=mark-routing chain=prerouting comment="Marca requisicoes para a WLAN" disabled=no dst-address=192.168.3.0/24 new-routing-mark=WLAN passthrough=yes
/ip route
add comment="Rota VLAN1" disabled=no distance=1 dst-address=0.0.0.0/0 \
gateway=eth0 routing-mark=VLAN1
add comment="Rota VLAN2" disabled=no distance=1 dst-address=0.0.0.0/0 \
gateway=eth1 routing-mark=VLAN2
add comment="Rota WLAN" disabled=no distance=1 dst-address=0.0.0.0/0 \
gateway=wlan0 routing-mark=WLAN
Ah legal... nesse seu caso, voce diz que todo trafego originado da rede 192.168.1.0/24 , só saira para ETh0 e sua propria rede.. e assim por diante certo?
Pois é..
vc disse...
"então o usuario que conectar naquela porta fara parte da VLAN"
e o que eu disse é que o switch tem que reconhecer o id da vlan criada no MK.... Você postou apenas pra dizer o que eu disse... Vem do MK uma VLAN, passa pelo switch a mesma VLAN e vai para o usuario. Mas é a maquina cliente que reconhece a VLAN ou o switch....?
Nós temos três equipamentos em questão:
1 - o MK;
2 - o Switch, que aceita vlan;
3 - o usuario;
Na sua contagem me diga me diga onde temos apenas um equipamento...?
Amigo se o roteamente é feito na VLAN, o cliente ja estara fazendo parte dele. Ou seja o trafego dele ja pasou por essa interface que esta virtualizada, fazendo as rotas.
Se o MK é o router que estra criando a VLAN o switch só fara o papel de encaminhar o trafego correto? Por isso que eu comentei no primeiro post que o MK nas versões 3x ja vem com suporte a VLAN.
Ou seja, parte dela isso chegando ao usuario final.
O que eu comentei sobre o seu post foi o que você postou aqui.
"Se for usar cabo(ETH): você precisa que as duas pontas aceitem VLAN's, o MK e o switch...
Como disse anteriormente esse padrão é especifico, vc não consegue fazer uma placa de rede comum enxergar isso."
Isso não tem nada a ver.
Estou tentando a dias fazer uma Vlan entre duas RB´s, adiciono a Vlan nos 2 Mikrotik com uma ID, exemplo 200, aponto a Vlan para as interfaces do enlace que estão conectadas certim, e não dá certo, não consigi pingar de um no outro, estou seguindo este manual:
http://www.mikrotik.com/testdocs/ros...rface/vlan.php
Qual o segredo? Porque não dá certo?
tb to enteressado em saber pois to precisando q os clientes da minha rede cabeada nao se enxerguem
Alexandre correa colocou um video no blog dele ensinando a fazer VLAN entre MKs.
deem uma olhada por lá.
Configurar VLAN em mikrotik
o endereço do video é esse acima, esse video é bom mas acho q nao serve para o q eu quero, eu tenho uma rede cabeada e quero criar vlans na rede interna, isto é uma vlan para cada cliente de x.x.x.1 a x.x.x.254 para q nenhum cliente enxergue o outro.
O pessoal está só complicando rsrs...
Olha,para que nenhum cliente se enxergue o outro é muito simples, crie a seguinte faixa de ips:
192.168.1.1/32 + PPPoE
Com isso alem de deixar cada cliente individual, o servidor não irá fazer a requisição do broadcast e quem irá fazer é o próprio computador do cliente.
Abraço!!
Criei um post no blog sobre como criar VLANs no Mikrotik para rotea-las, vejam se ajuda:
Roteando VLANs no Mikrotik
Gente, consegui fazer a Vlan funcionar, para isso deixei de usar wds e fiz as conexões através das Vlan´s, usei os modo bridge e pseudo bridge. Minha aplicação e colocar 2 cabo de rede em cada Router Board e correr 2 links isolados num enlace, não tem nada com isolar clientes. Para min foi 100 % de sucesso.
pessoal,
se vcs querem bloquear realmente a comunicacao entre os clientes, devem fazer isso na camada2.
no caso de rede wireless bloqueando o relay entre os clientes, e no caso de rede cabeada com switchs gerenciaveis utilizando vlan.
Se utilizar um roteador em NAT em cada saída para os clientes, você consegue! No Access List, como sugeriu o amigo antes, desabilite Forward.
Espero ter ajudado!
Bem pessoal o cenario mudou eu tenho um mikrotik RB750G, tenho 5 portas, porta 5 link, as outras 4 porta sao 4 ramificacoes da minha rede, porta 1 rede 10, porta 2 rede20, porta 3, rede 30 e porta 4 rede 40 com os respectivos ips 10.10.0.0/16, 10.20.0.0/16, 10.30.0.0/16 e 10.40.0.0/16, uma rede em cada porta com dhcp separado e hotspot separado agora eu queria criar no mk 4 vlans ou seja uma vlan em cada porta, as portas de 1 a 4 nao se enxergam mas todas enxergam a porta 5 e tb queria implementar spanning tree nas minha 4 rede para qdo tiver problema em uma das quatro redes nao interferir nas outras tres e outra coisa eu so preciso ter essas configuracoes na RB ou eu preciso configurar mais alguma coisa pq o q eu quero mesmo é transformar a minha RB num switch gerenciavel com portas vlan fixar e spanning tree.
Última edição por maxmelo; 30-07-2011 às 22:35.