Bridge all lan ports mikrotik что это
Фильтрация VLAN bridge может использоваться на устройствах Mikrorik без чипа коммутации или в случаях когда необходимо организовать защиту от петель Spanning Tree. В устройствах, которые не имеют аппаратной поддержки фильтрации vlan на мосте "Bridge VLAN Filtering" (в основном все устройства Mikrotik кроме серии CRS3xx), вся нагрузка ляжет на CPU. Поэтому для большинства роутеров и устройств Mikrotik настройку trunk и access портов рекомендуется выполнять с помощью VLAN switching.
Рассмотрим базовый сценарий настройки VLAN фильтрации в bridge, позволяющий разделить локальную сеть на два виртуальных сегмента для разных отделов офиса.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik . Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Ether1 - это trunk-порт (VLAN20, VLAN30 и VLAN90_MGMT для доступа к управлению)
Ether2 - access-порт VLAN20
Ether3 - access-порт VLAN30
Базовая схема коммутации VLAN
1. Создайте мост bidge1.
Не включайте на данном этапе фильтрацию VLAN, чтобы не потерять доступ к устройству.
2. Добавьте порты в bridge
Access-портам ether2 и ether3 назначьте PVID и обозначьте пропуск только нетегированного трафика: frame-types=admit-only-untagged-and-priority-tagged.
PVID (Port VLAN ID) - используется для ACCESS-портов и маркирует весь входящий трафик соответствующим VLAN ID.
Для trunk-порта ether1 настройте пропуск только тегированных кадров: frame-types=admit-only-vlan-tagged.
Для порта Ether1 PVID не назначаем т.к. он является tunk-портом и передает tagged-трафик
3. Добавьте соответствующие записи в VLAN таблицу моста.
Во вкладке VLANs создайте записи для каждого VLAN ID и укажите тегированный интерфейс ether1
Для нетегированных портов ether2 и ether3 записи будут добавлены автоматически.
4. Настройте VLAN-интерфейс для доступа к управлению устройством.
Создайте VLAN интерфейс с на bridge1.
Назначьте созданному vlan-интерфейсу ip адрес
5. На завершающем этапе включите фильтрацию VLAN на bridge1.
В случае работающей VLAN фильтрации на bridge таблица VLAN выглядит примерно так:
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik . Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
HomeAP
This is the mode you should use if you would like to quickly configure a home access point.
System
- Check for updates: Always make sure your device is up to date with this button. Checks if an updated RouterOS release is available, and installs it.
- Password: Sets the password for the device config page itself. Make sure nobody can access your router config page and change the settings.
Q: How is Quickset different from the Webfig tab, where a whole bunch of new menus appear?
A: QuickSet is for new users who only need their device up and running in no time. It provides the most commonly used options in one place. If you need more options, do not use any Quickset settings at all, click on "Webfig" to open the advanced configuration interface. The full functionality is unlocked.
Q: Can I use Quickset and Webfig together? While settings that are not conflicting can be configured this way, it is not recommended to mix up these menus.
A: If you are going to use Quickset, use only Quickset and vice versa. What's is difference between Router and Bridge mode? Bridge mode adds all interfaces to the bridge allowing to forward Layer2 packets (acts as a hub/switch). In Router mode packets are forwarded in Layer3 by using IP addresses and IP routes (acts as a router).
Q: In HomeAP mode, should the 2GHz and 5GHz network names be the same, or different?
A: If you prefer that all your client devices, like TV, phones, game consoles, would automatically select the best preferred network, set the names identically. If you would like to force a client device to use the faster 5GHz 802.11ac connection, set the names unique.
Настройка интернета на роутерах Mikotik для простого пользователя задача непростая. Роутер Mikrotik снабжен своей собственной OC с интерфейсом на базе Linux. Здесь нет простых настроек, которые все привыкли видеть в большинстве роутеров, предназначенных для дома или малого офиса. Но для быстрой и более удобной настройки подключения роутера к интернету можно воспользоваться функцией "QuickSet".
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik . Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Переходим на вкладку Neighbors, выбираем устройство и жмем Connect.
При первом входе в интерфейс роутера появится предложение установить конфигурацию по умолчанию либо удалить ее. Рекомендую воспользоваться удалением базовыхнастроек и настроить все с нуля.
Если диалогового окна для сброса настроек при входе нет, то настройки можно сбросить здесь "System\Reset Configuration". Обязательно ставим галочку на пункте "No Default Configuration", чтобы после сброса не применялась настройка по умолчанию.
Настройка VLAN без использования Switch
Настройка VLAN без использования чипа коммутации выполняется с помощью бриджа. При этом следует учесть, что всю работу по коммутации будет выполнять CPU и нагрузка на него возрастет.
Болле подробно о настройке VLAN Bridge можно прочесть в статьте VLAN bridge на Mikrotik - TRUNK и ACCESS порты.
Настраиваем интернет.
Здесь мы указываем те параметры подключения, которые нам передал провайдер интернета.
Port: Указываем физический порт, к которому подключен кабель провайдера
Adress Acquisition: указывем способ получения IP адреса. В моем случае адрес статический. При PPPoE подключении указываем логин, пароль и адрес pppoe-сервера.
MAC Address: физический адрес устройства, который будет видеть провайдер. Имеет смысл менять если вы Mikrotik ставите вместо другого роутера, а у провайдера на маршрутизаторе установлена привязка по mac-адресу.
MAC server / MAC Winbox: позволяет подключаться к роутеру используя его mac-адрес. Может пригодится при отладке или восстановлении, когда роутер недоступен по ip-адресу.
Discovery: позволяет распознавать роутер другими роутерами Mikrotik.
Настройка интернета.
Настройка подключения к интернету зависит от способа, предоставленного вам провайдером. Наиболее распространенный способ без использования статического ip адреса - подключение по технологии PPPoE. Так же рассмотрим часто используемые варианты с выделенным IP и динамическим получением IP-адреса от DHCP провайдера.
Подключение к провайдеру по PPPoE.
Открываем PPP и создаем новое соединение PPPoE Client. Интерфейс выбираем тот куда подключен провод провайдера.
На вкладке Dial Out вписываем имя и пароль для подключения. Отмечаем галочкой пункт Use Peer DNS, который обозначает что адреса DNS серверов будем получать от провайдера. Add Default Route добавляет маршрут, используемый по умолчанию, в таблицу маршрутизации.
Подключение к провайдеру по технологии PPTP или L2TP происходит способом аналогичным PPPoE. Разница лишь в том, что при добавлении PPTP Client или L2TP Client во вкладке Dial Out необходимо указать, помимо логина и пароля, адрес сервера.
Подключение по статическому IP.
Для образца возьмем такие параметры подключения, полученные от провайдера:
Адрес: 10.20.30.41
Маска: 255.255.255.248
Шлюз: 10.20.30.42
Для DNS используем серверы Google: 8.8.8.8, 8.8.4.4
Настраиваем IP-конфигурацию интерфейса, к которому подключен провод провайдера: IP > Adresses.
Добавляем маршрут для пакетов, направленных в интернет: IP > Routes. Адрес назначения для пакетов интернета Dst. Address: 0.0.0.0/0, шлюз Gateway: 10.20.30.42. Включаем проверку доступности шлюза Check Gateway: ping.
Добавляем адреса DNS-серверов. IP > DNS.
Настройка подключения по DHCP.
Этот вариант самый простой по настройке. Переходим IP > DHCP Client. Указываем интерфейс, подключенный к провайдеру. Остальные настройки оставляем как есть.
Отмеченные галочками Use Peer DNS и Use Peer NTP означают полчения от провайдера адресов DNS сервера и сервера синхронизации времени NTP. Add Default Roue добавляет маршрут, используемый по умолчанию, в таблицу маршрутизации.
После настройки подключения к провайдеру необходимо выполнить настройку NAT. NAT выполняет трансляцию локальных ip-адресов в публичный адрес, предоставленный провайдером. Если этого не сделать, то трафик в интернет уходить не будет.
Настройка NAT.
Добавляем в NAT правило трансляции локальных адресов.
IP > Firewall > Nat. Добавляем новое правило. Указываем, что трафик исходящий Chain: srcnat. Выбираем интерфейс исходящего трафика Out. Interface: Ether1-WAN или pppoe-out1, в зависимости от настройки подключения к провайдеру.
Далее переключаемся на вкладку Action и выбираем masquerade.
Теперь во всем трафике, идущем в интернет, локальные адреса преобразуются в публичный адрес провайдера и сервера-адресаты знают куда отвечать. А это значит, что интернет должен работать.
Остается один не менее важный вопрос - это безопасность вашего роутера. Для предотвращения взлома вашего роутера необходимо настроить Firewall. О том, как это сделать, читайте здесь.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik . Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Многие устройства Mikrotik имеют чипы коммутации, которые позволяют выполнять VLAN коммутацию на аппаратном уровне. Поэтому, для получения лучшей производительности, конфигурацию VLAN следует выбирать в зависимости от типа и серии устройства. Условно можно выделить четыре типа устройств:
- устройства с чипом коммутации
- устройства без чипа коммутации
- коммутаторы серии CRS1xx/2xx
- коммутаторы серии CRS3xx
Узнать какой чип коммутации используется на устройстве Mikrotik можно в Winbox в разделе меню Switch:
Или с помощью команды терминала:
Рассмотрим базовую конфигурацию VLAN позволяющую разделить локальную сеть на два виртуальных сегмента для разных отделов офиса.
Ether1 - это trunk-порт: VLAN20, VLAN30 и VLAN90_MGMT
Ether2 - access-порт VLAN20
Ether3 - access-порт VLAN30
HomeAP
This is the mode you should use if you would like to quickly configure a home access point.
Настраиваем WiFi.
Network Name: Название сети. Это название будут видеть тот кто подключается к вашей сети по WiFi.
Frequency: в обычной ситуации лучше оставить значение Auto. роутер сам подберет оптимальную частоту работы.
Band: Диапазон частот для домашнего роутера 2GHz-only-N. Если в сети есть старые устройства, работающие по протоколам 802.11b или 802.11g, тогда нужно будет выбрать режим 2GHz-B/G/N, но будет потеря в скорости соединения.
Use Access List (ACL): Используется для того чтобы ограничить доступ по WiFi. Прежде чем включать эту опцию необходимо создать список клиентов, которым разрешен доступ. Выбираем из списка подключенных клиентов и нажимаем кнопу Copy To ACL.
В обычной ситуации этой функцией лучше не пользоваться т.к. аутентификация по паролю обеспечивает достаточные ограничения.
WiFi Password: укажите здесь пароль для подключения к роутеру по WiFi.
WPS Accept: эта кнопка используется для упрощенного подключения устройств, которые поддерживают режим WPS. Такими устройствами могут быть принтеры или видеокамеры, на которых затруднен ввод пароля вручную. В первую очередь включить WPS нужно на подключаемом устройстве, а затем нажать кнопку роутера "WPS Accept".
Guest Network: эта функция позволяет создать отдельную гостевую сеть WiFi. Те, кто подключаются через гостевой WiFi, не будут иметь доступа к вашему роутеру, локальной сети и устройствам, находящимся в ней. Используйте гостевую сеть для повышения сетевой безопасности.
Задайте пароль в поле "Guest WiFi Password" и ограничение скорости на скачивание "Limit Download Speed"
Wireless Clients: здесь можно увидеть подключенные
в данный момент по WiFi устройства. В таблице показан MAC-адрес, IP-адрес, продолжительность подключения, качество сигнала и ACL (список разрешенных устройств)
Local Network
- IP address: Mostly can stay at the default 192.168.88.1 unless your router is behind another router. To avoid IP conflict, change to 192.168.89.1 or similar
- Netmask: In most situations can leave 255.255.255.0
- Bridge all LAN ports: Allows your devices to communicate to each other, even if, say, your TV is connected via ethernet LAN cable, but your PC is connected via WiFi.
- DHCP server: Normally, you would want automatic IP address configuration in your home network, so leave the DHCP settings ON and on their defaults.
- NAT: Turn this off ONLY if your ISP has provided a public IP address for both the router and also the local network. If not, leave NAT on.
- UPnP: This option enables automatic port forwarding ("opening ports to the local network" as some call it) for supported programs and devices, like your NAS disks and peer-to-peer utilities. Use with care, as this option can sometimes expose internal devices to the internet without your knowledge. Enable only if specifically needed.
If you want to access your local network (and your router) from the internet, use a secure VPN tunnel. This option gives you a domain name where to connect to, and enables PPTP and L2TP/IPsec (the second one is recommended). The username is 'vpn' and you can specify your own password. All you need to do is enable it here, and then provide the address, username and password in your laptop or phone, and when connected to the VPN, you will have a securely encrypted connection to your home network. Also useful when travelling - you will be able to browse the internet through a secure line, as if connecting from your home. This also helps to avoid geographical restrictions that are set up in some countries.
Modes
Depending on the router model, different Quickset modes might be available from the Quickset dropdown menu:
- CAP: Controlled Access Point, an AP device, that will be managed by a centralised CAPsMAN server. Only use if you have already set up a CAPsMAN server.
- CPE: Client device, which will connect to an Access Point (AP) device. Provides option to scan for AP devices in your area.
- HomeAP: The default Access Point config page for most home users. Provides less options and simplified terminology.
- HomeAP dual: Dual band devices (2GHz/5GHz). The default Access Point config page for most home users. Provides less options and simplified terminology.
- Home Mesh: Made for making bigger WiFi networks. Enables the CAPsMAN server in the router, and places the local WiFi interfaces under CAPsMAN control. Just boot other MikroTik WiFi APs with the reset button pressed, and they will join this HomeMesh network (see their Quick guide for details)
- PTP Bridge AP: When you need to transparently interconnect two remote locations together in the same network, set one device to this mode, and the other device to the next (PTP Bridge CPE) mode.
- PTP Bridge CPE: When you need to transparently interconnect two remote locations together in the same network, set one device to this mode, and the other device to the previous (PTP Bridge AP) mode.
- WISP AP: Similar to the HomeAP mode, but provides more advanced options and uses industry standard terminology, like SSID and WPA.
Internet
Настройка VLAN switching на устройствах Mikrotik с чипом коммутации
Этот вариант рассматривается первым так как устройства этого сегмента являются массовыми - это в основном роутеры из серий RB75x, RB95x, RB1100, RB2011, RB3011.
Настройка локальной сети.
Первый порт подключен к провайдеру. Оставшиеся порты будут использоваться для подключения устройств локальной сети. Для того чтобы порты находились в одной физической сети и могли коммутировать подключения их необходимо объединить в мост.
Создаем мост.
Для создания моста переходим в Bridge. Нажимаем плюсик и вписываем название моста, например "bridge-local".
Добавляем в мост порты. Открываем вкладку Ports. Жмем плюс и один за другим добавляем все порты, кроме того к которому подключен интернет, в мост bridge-local.
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=wlan1
Присваиваем мосту IP-адрес. Пункт меню IP > Adresses.
Теперь у нас все порты, включая WiFi, закоммутированны и могут пересылать пакеты между собой. Остается настроить шлюз выхода в интернет.
Включаем сервер DHCP.
Определяем пул ip-адресов, которые будет раздавать DHCP server устройствам локальной сети. Выбираем в меню пункт IP/Pool. Через плюсик добавляем новый пул, вводим название и диапазон адресов.
Переходим к включению DHCP сервера IP > DHCP Server. Создаем новый DHCP сервер, указываем имя, интерфейс и пул адресов.
Во вкладке Networks указываем настройки, которые сервер будет передавать своим клиентам: адрес сети, маску сети, шлюз и DNS серверы. Маску лучше указывать сразу после адреса, через слеш.
После того как мы подготовили локальную сеть, можно перейти к настройке шлюза для выхода в интернет.
Wireless
Set up your wireless network in this section:
- Network Name: How will your smartphone see your network? Set any name you like here. In HomeAP dual, you can set the 2GHz (legacy) and 5GHz (modern) networks to the same, or different names (see FAQ). Use any name you like, in any format.
- Frequency: Normally you can leave "Auto", in this way, the router will scan the environment, and select the least occupied frequency channel (it will do this once). Use a custom selection if you need to experiment.
- Band: Normally leave this to defaults (2GHz b/g/n and 5GHz A/N/AC).
- Use Access List (ACL): Enable this if you would like to restrict who can connect to your AP, based on the users MAC (hardware) address. To use this option, first you need to allow these clients to connect, and then use the below button "Copy to ACL". This will copy the selected client to the access list. After you have build an Access list (ACL), you can enable this option to forbid anyone else to attempt connections to your device. Normally you can leave this alone, as the Wireless password already provides the needed restrictions.
- WiFi Password: The most important option here. Sets a secure password that also encrypts your wireless communications.
- WPS accept: Use this button to grant access to a specific device that supports the WPS connection mode. Useful for printers and other peripherals where typing a password is difficult. First start WPS mode in your client device, then once click the WPS button here to allow said device. Button works for a few seconds and operates on a per-client basis.
- Guest network: Useful for house guests who don't need to know your main WiFi password. Set a separate password for them in this option. Important! Guest users will not be able to access other devices in your LAN and other guest devices. This mode enabled Bridge filters to prevent this.
- Wireless clients: This table shows the currently connected client devices (their MAC address, if they are in your Access List, their last used IP address, how long are they connected, their signal level in dBm and in a bar graph).
Быстрая настройка интернета с помощью QuickSet.
В мастере быстрой настройки "Quick Set" предусмотрено несколько режимов работы роутера:
- CAP: Контролируемая точка доступа, которая управляется CAPsMAN сервером
- CPE: Режим клиента, который подключается к точке доступа AP.
- Home AP: Домашняя точка доступа. Этот режим подходит для упрощенной настройки доступа к интернету.
- PTP Bridge AP: Создает точку доступа для подключения к ней удаленного клиента
PTP Bridge CPE и создания единой сети. - PTP Bridge CPE: Клиент для подключения к удаленной точки доступа PTP Bridge AP.
- WISP AP: Режим похожий на Home AP, но предоставляет более продвинутые возможности.
Выбираем режим Home AP и приступаем к настройке роутера в качестве обычной точки доступа к интернету, которую можно использовать для небольшого офиса и дома.
Настройка локальной сети.
IP Address: указываем ip-адрес устройства в нашей локальной сети.
Netmask: маску оставляем наиболее распространенную для большинства случаев 255.255.255.0.
Bridge All LAN Ports: объединяем все порты роутера в общий коммутационный узел, позволяя всем подключенным устройствам находится в одной сети и обнаруживать друг друга.
DHCP Server: включаем сервер автоматической раздачи ip-адресов устройствам, подключенным к роутеру.
NAT: должен быть включен для трансляции ip-адресов из локальных в публичные, иначе устройства локальной сети не получат возможность выйти в интернет.
UPnP: эту опцию лучше не активировать, если нет необходимости т.к. она позволяет выполнять автоматический проброс стандартных локальных портов в интернет. Порты лучше пробрасывать вручную, чтобы злоумышленники не знали их адреса.
Настройку VPN рассматривать в рамках данной статьи не будем. Отмечу лишь, что она так же доступна в QuickSet и может пригодится тем, кто использует VPN-туннели для объединения нескольких локальных сетей или устройств в одну частную сеть через интернет.
System
- Check for updates: Always make sure your device is up to date with this button. Checks if an updated RouterOS release is available, and installs it.
- Password: Sets the password for the device config page itself. Make sure nobody can access your router config page and change the settings.
How is Quickset different from the Webfig tab, where a whole bunch of new menus appear? If you need more options, do not use any Quickset settings at all, click on "Webfig" to open the advanced configuration interface. The full functionality is unlocked. Can I use Quickset and Webfig together? While settings that are not conflicting can be configured this way, it is not recommended to mix up these menus. If you are going to use Quickset, use only Quickset and vice versa. What's is difference between Router and Bridge mode? Bridge mode adds all interfaces to the bridge allowing to forward Layer2 packets (acts as a hub/switch). In Router mode packets are forwarded in Layer3 by using IP addresses and IP routes (acts as a router). In HomeAP mode, should the 2GHz and 5GHz network names be the same, or different? If you prefer that all your client devices, like TV, phones, game consoles, would automatically select the best preferred network, set the names identically. If you would like to force a client device to use the faster 5GHz 802.11ac connection, set the names unique.
Quickset is a simple configuration wizard page that prepares your router in a few clicks. It is the first screen a user sees, when opening the default IP address 192.168.88.1 in a web browser.
Quickset is available for all devices that have some sort of default configuration from factory. Devices that do not have configuration must be configured by hand. The most popular and recommended mode is the HomeAP (or HomeAP dual, depending on the device). This Quickset mode provides the simplest of terminology and the most common options for the home user.
Пошаговая инструкция создания VLAN switching c TRUNK и ACCESS портами.
1. Создайте мост bidge1.
Не включайте "VLAN Filtering" на этом этапе, чтобы не потерять управление устройством.
2. Добавьте порты в мост bidge1.
3. Добавьте записи в VLAN-таблицу коммутатора и присвойте им vlan-id.
4. Создайте на bidge1 vlan-интерфейс для доступа к управлению устройством.
5. Назначьте адрес VLAN-интерфейсу.
6. Назначьте vlan-mode и vlan-headermode для каждого порта, а также default-vlan-id для каждого access-порта:
- vlan-mode=secure - приказывает использовать таблицу vlan;
- vlan-header=always-strip - используется для ACCESS-портов, удаляет заголовок vlan с ethernet-кадра при покидании чипа коммутации;
- vlan-header=add-if-missing используется в TRUNK-портах и добавляет заголовок VLAN для нетегированных кадров;
- default-vlan-id определяет какой VLAN ID добавляетя на нетегированный входящий трафик access-порта.
Настройка VLAN на коммутаторах серии CRS3xx
Настройка WiFi.
Открываем в меню пункт Wireless, выбираем WiFi интерфейс и включаем, нажав галочку, если он неактивен.
Заходим в настройки интерфейса двойным кликом и выбираем вкладку Security Profiles. Создаем свой профиль или редактируем существующий.
- Authentication Types: способ идентификации выбираем WPA2 PSK - он более надежен чем WPA, EAP - использует проверку подлинности внешнем сервером, актуален для корпоративных сетей;
- Unicast Ciphers и Group Ciphers: тип шифрования включаем aes com - это более современный и быстрый тип шифрования, tkip стоит включать если на каком-то устройстве, вероятно устаревшем, возникают проблемы с подключением;
- WPA2 Pre-Shared Key: задаем пароль для подключения к точке доступа WiFi.
Переходим на вкладку WiFi interfaces. В настройках беспроводного интерфейса, во вкладке Wireless прописываем следующие настройки для WiFi:
- Mode: ap bridge, включаем режим точки доступа;
- Band: 2GHz-only-N, этот способ вещания лучше всего подходит для большинства современных беспроводных устройств;
- Frequency: Auto, режим автоматического выбора частоты вещания;
- SSID: Вводим название беспроводной сети;
- Wireless Protocol: 802.11;
- Security Profile: default, выбираем тот который настроили ранее.
Wireless
- Network Name: How will your smartphone see your network? Set any name you like here. In HomeAP dual, you can set the 2GHz (legacy) and 5GHz (modern) networks to the same, or different names (see FAQ). Use any name you like, in any format.
- Frequency: Normally you can leave "Auto", in this way, the router will scan the environment, and select the least occupied frequency channel (it will do this once). Use a custom selection if you need to experiment.
- Band: Normally leave this to defaults (2GHz b/g/n and 5GHz A/N/AC).
- Use Access List (ACL): Enable this if you would like to restrict who can connect to your AP, based on the users MAC (hardware) address. To use this option, first you need to allow these clients to connect, and then use the below button "Copy to ACL". This will copy the selected client to the access list. After you have build an Access list (ACL), you can enable this option to forbid anyone else to attempt connections to your device. Normally you can leave this alone, as the Wireless password already provides the needed restrictions.
- WiFi Password: The most important option here. Sets a secure password that also encrypts your wireless communications.
- WPS accept: Use this button to grant access to a specific device that supports the WPS connection mode. Useful for printers and other peripherals where typing a password is difficult. First start WPS mode in your client device, then once click the WPS button here to allow said device. Button works for a few seconds and operates on a per-client basis.
- Guest network: Useful for house guests who don't need to know your main WiFi password. Set a separate password for them in this option. Important! Guest users will not be able to access other devices in your LAN and other guest devices. This mode enabled Bridge filters to prevent this.
- Wireless clients: This table shows the currently connected client devices (their MAC address, if they are in your Access List, their last used IP address, how long are they connected, their signal level in dBm and in a bar graph).
Настройка VLAN на коммутаторах серии CRS1xx/2xx
16 thoughts on “ VLAN bridge на Mikrotik - TRUNK и ACCESS порты ”
Всё гениально и просто.
Спасибо кеп!
Подскажите пожалуйста, в некоторых мануалах видел, что на этапе добавления записей в таблицу VLAN добавляют помимо портов еще и бридж, в каких случаях это нужно делать, а в каких нет?
Если вы повесите vlan на бридж, то он будет доступен на всех интерфейсах (портах) входящих в этот бридж, вот и все.
вопрос был не про vlan в бридж, а бридж во vlan, например в поле tagged, а делаю это для того, чтобы vlan имел доступ к процессору роутера, так как бридж по сути является портом cpu, и если не добавить бридж в вилан, то из этого вила не будет доступно, например, управление роутером.
Не понимаю о чем вы, что за доступ к процессору и порты cpu? Бридж не может быть никаким портом cpu! Если вы работаете с vlan, то вам нужно для начала понять что это такое, разобраться в понятиях trunk и access порта. И тогда больше не будете терять доступ к управлению микротиком.
Если вы хотите в порт микротика отправлять vlan и при этом чтобы подключенный на этот порт клиент работал без vlan (не умеет работать с vlan), то вам нужен access порт.
Если повесить vlan на бридж, то он будет доступен на всех интерфейсах (портах) входящих в этот бридж, как tag или untag?
А как, в представленном решении, навесить сети на vlan? Чтобы микротик был шлюзом для этих сетей
Если микротик является dhcp-сервером, то если я в tagged не добавляю бридж - vlan не работает либо работает не стабильно. На промежуточных микротиках добавляю только порты
Для начала нам необходимо создать мост bidge1 с фильтрацией VLAN. Для включение фильтрации VLAN перейдите во вкладку VLAN и отметьте пункт "VLAN Filtering".
После такого начала Вы потеряете доступ к устройству, так как еще не сконфигурировали VLANы .
Не надо создавать фильтрацию vlan на существующем бридже, через который осуществляется управление микротиком. Здесь ключевое слово СОЗДАТЬ мост.
У вас по записям и по картинкам как раз и управление и фильтрация на одном бридже bidge1
Валерий, в данной схеме просто нет другого бриджа. Есть один менджмент порт, который не входит ни в какой бридж. Это может быть ether4 или ether5.
Если вы управляете микротиком через порт, который в составе бриджа. То не трогайте этот бридж - создайте другой.
А как, в представленном решении, навесить сети на vlan? Чтобы микротик был шлюзом для этих сетей
Нужно на роутере на соответствующий vlan-интерфейс повесить ip адрес. Затем настроить конфигурацию dhcp-сервера, которая будет отдаваться на этот vlan интерфейс
Не работает эта схема.
Проверял и на виртуальной машине с помощью Mikrotik CHR и на железе RB951Ui-2HnD
Quickset is a simple configuration wizard page that prepares your router in a few clicks. It is the first screen a user sees, when opening the default IP address 192.168.88.1 in a web browser.
Quickset is available for all devices that have some sort of default configuration from factory. Devices that do not have configuration must be configured by hand. The most popular and recommended mode is the HomeAP (or HomeAP dual, depending on the device). This Quickset mode provides the simplest of terminology and the most common options for the home user.
Настройка интернета вручную.
Настройка провайдера интернета на роутере Mikrotik вручную предполагает наличие у вас необходимых знаний в области сетевых технологий и более детального знания интерфейса Router OS и его консоли.
Сбрасываем настройки роутера в System > Reset Configuration .
Переименуем порт в списке интерфейсов "ether1-WAN", чтобы сразу было понятно к какому порту подключен провайдер.
Вариант для любителей консоли:
Меняем MAC-адрес если до Mikrotik работал другой роутер, а провайдер интернета сделал привязку на своем маршрутизаторе к mac-адресу. Вместо нулей пишите mac своего старого роутера.
Modes
Depending on the router model, different Quickset modes might be available from the Quickset dropdown menu:
- CAP: Controlled Access Point, an AP device, that will be managed by a centralised CAPsMAN server. Only use if you have already set up a CAPsMAN server.
- CPE: Client device, which will connect to an Access Point (AP) device. Provides option to scan for AP devices in your area.
- HomeAP: The default Access Point config page for most home users. Provides less options and simplified terminology.
- HomeAP dual: Dual band devices (2GHz/5GHz). The default Access Point config page for most home users. Provides less options and simplified terminology.
- Home Mesh: Made for making bigger WiFi networks. Enables the CAPsMAN server in the router, and places the local WiFi interfaces under CAPsMAN control. Just boot other MikroTik WiFi APs with the reset button pressed, and they will join this HomeMesh network (see their Quick guide for details)
- PTP Bridge AP: When you need to transparently interconnect two remote locations together in the same network, set one device to this mode, and the other device to the next (PTP Bridge CPE) mode.
- PTP Bridge CPE: When you need to transparently interconnect two remote locations together in the same network, set one device to this mode, and the other device to the previous (PTP Bridge AP) mode.
- WISP AP: Similar to the HomeAP mode, but provides more advanced options and uses industry standard terminology, like SSID and WPA.
Internet
Local Network
- IP address: Mostly can stay at the default 192.168.88.1 unless your router is behind another router. To avoid IP conflict, change to 192.168.89.1 or similar
- Netmask: In most situations can leave 255.255.255.0
- Bridge all LAN ports: Allows your devices to communicate to each other, even if, say, your TV is connected via ethernet LAN cable, but your PC is connected via WiFi.
- DHCP server: Normally, you would want automatic IP address configuration in your home network, so leave the DHCP settings ON and on their defaults.
- NAT: Turn this off ONLY if your ISP has provided a public IP address for both the router and also the local network. If not, leave NAT on.
- UPnP: This option enables automatic port forwarding ("opening ports to the local network" as some call it) for supported programs and devices, like your NAS disks and peer-to-peer utilities. Use with care, as this option can sometimes expose internal devices to the internet without your knowledge. Enable only if specifically needed.
If you want to access your local network (and your router) from the internet, use a secure VPN tunnel. This option gives you a domain name where to connect to, and enables PPTP and L2TP/IPsec (the second one is recommended). The username is 'vpn' and you can specify your own password. All you need to do is enable it here, and then provide the address, username and password in your laptop or phone, and when connected to the VPN, you will have a securely encrypted connection to your home network. Also useful when travelling - you will be able to browse the internet through a secure line, as if connecting from your home. This also helps to avoid geographical restrictions that are set up in some countries.
Читайте также: