RouterOS v7新版_單線復用+雙WAN架構設置問題請益

Rocvky

149分

樓主

Rocvky

個人積分：149分

文章編號：88888919

gfx大您好

似乎還是沒有撥號反應
是不是我的操作錯誤 (頭腦有點混雜了 )

如圖 :

↓ 是指對整個Bridge_WAN1橋做PVID

↓然後再 bridge vlan表單設置 untagged ?

================================================================
是的。但在bridge vlan表單，vlan10 untagged的位置，也需加入bridge (和ethernet定義為untagged相同，只不過對象換成bridge)
================================================================

Rocvky

149分

樓主

Rocvky

個人積分：149分

文章編號：88888938

kendrv wrote:
您目前的配置,只需要...(恕刪)

k大您好, 感謝回應

有改pvid這部分還是一樣 ,無撥接反應

我有看到Routeros switch這部分跟v6版本不太一樣 (v6有vlan可以設置的樣子)
其實我有點搞混了,好多地方都可以設置Vlan

a6595085

放心，自從6.41版開始，不考慮硬體交換的問題的話，所有的VLAN(Trunk TAG UNTAG)設定都放在Bridge/VLANs裡面，不用想太複雜。

2023-12-28 22:47

好的,原來如此~受教了

2023-12-28 22:50

kendrv

55分

13樓

kendrv

個人積分：55分

文章編號：88889158

Rocvky wrote:
k大您好, 感謝...(恕刪)

我的RB5009 ether7是Trunk口
以下是我的作法 vlan68是pppoe要撥號用的

首先在interface做好相關的vlan
點我看大圖

把所有port都加入bridge
點我看大圖

然後在bridge裡的VLANs做相關的tag
點我看大圖

在address裡加上vlan的IP
點我看大圖

然後在bridge裡啟用VLAN PVID預設1
點我看大圖

再來pppoe的interfaces選用vlan68
點我看大圖

好的,我再來設置

2023-12-28 22:50

a6595085

179分

14樓

a6595085

個人積分：179分

文章編號：88889395

Rocvky wrote:
a大您好,圖片如下(...(恕刪)

我剛才留意到，你主樓的圖片中，好像沒有對Bridge設定IP，
印象中需要配置IP才會正常，你把IP設定上去bridge再撥號看看。

另外樓上K大提供的設定頁面，就是我目前使用的單Bridge多VLAN架構，
如果你想要趁這個機會修改的話，也可以嘗試看看。

附上我其中一台的截圖給你參考一下。
你只需要留下LAN_Bridge的部分，2個WAN都砍掉，
VLAN interface不要綁定任何Bridge，
然後到Bridge/VLANs底下去設定TAG跟UNTAG就好。
(也就是要把10 20 200都分別新增上去，在TAGGED那邊加上Bridge_LAN，還有eth1，
最後再把VLAN flittering打開，PVID為1)

你可以先參考我還有K大的圖，去假想一下你的架構要怎麼設定，應該就能很好理解了。
有問題歡迎提出來討論。

點我看大圖

Rocvky

149分

樓主

Rocvky

個人積分：149分

文章編號：88889499

a6595085 wrote:
我剛才留意到，你主樓...(恕刪)

有再設置address下對bridge設置ip

再PC上的區域網路,內網ip都有分配到.但就是無法撥號出去

看來只能先試試單bridge多vlan的架構了
不知道跟多bridge的差異,除了有些機型無法硬體加速外以及比較直覺,不知道會有什麼不同?

感謝圖片支援

a6595085

抱歉，我沒有說清楚，是Bridge_WAN要設定IP，不是LAN。

2023-12-29 0:24

疑? 我以為是固6那種,才需要設定出去的IP

2023-12-29 0:38

Rocvky

149分

樓主

Rocvky

個人積分：149分

文章編號：88889898

kendrv wrote:
我的RB5009 ether7...(恕刪)

a6595085 wrote:
我剛才留意到，你主樓...(恕刪)

目前PPPOE可以撥號並上網了

點我看大圖

剛剛再設定第二條,固6_IP線路 ,似乎都不通
有點跟之前的方法混亂了, 第二條線路是否也要再另設一個Bridge呢?

a6595085

179分

17樓

a6595085

個人積分：179分

文章編號：88889921

Rocvky wrote:
目前PPPOE可以撥...(恕刪)

恭喜你，我個人覺得用單Bridge架構就好了，
再來固6那一路，你只要在ip/address裡面，把中華給你的IP配置上去就好了，
interface選擇對應的vlan 20，然後再去gateway把路由表先建好，
後面再處理路由標記。

好的,不過我剛剛重新恢復預設再設定又稍微怪怪的,待明日除錯~

2023-12-29 1:15

gfx

1598分

18樓

gfx

個人積分：1598分

文章編號：88890075

仔細看了您的架構後，發現您有使用vlan1[冏]

用上vlan1，會直接排除rb5009將bridge1接口定義為vlan10的機會。

vlan1您是規劃用在區域網路，所以bridge1是先歸類在dhcp區網管理者的位置；
爾後您也不能在bridge1再強加個pvid=10，硬要pppoe-out1也靠bridge1負責撥號。

如果硬強推，bridge1接口肯定會vlan1與vlan10的封包混淆在一起，感覺會非常的不妙。

所以原方案架構不變，只能將vlan20設在另拉出的虛擬接口上，

/interface bridge
add name=bridge1

/interface bridge port
add bridge=bridge1 interface=ether1 hw=yes
add bridge=bridge1 interface=ether2 hw=yes
add bridge=bridge1 interface=ether3 hw=yes
add bridge=bridge1 interface=ether4 hw=yes
add bridge=bridge1 interface=ether5 hw=yes
add bridge=bridge1 interface=ether6 hw=yes
add bridge=bridge1 interface=ether7 hw=yes
add bridge=bridge1 interface=ether8 hw=yes
add bridge=bridge1 interface=ether9 hw=yes
add bridge=bridge1 interface=ether10 hw=yes

/interface bridge vlan
add bridge=bridge1 untagged=ether1,ether2,ether3,ether4,ether6,ether7,ether8,ether9,ether10,bridge1 vlan-ids=1
add bridge=bridge1 tagged=ether1,bridge vlan-ids=10
add bridge=bridge1 tagged=ether1,bridge vlan-ids=20
add bridge=bridge1 tagged=ether1,bridge untagged=ether5 vlan-ids=200

/interface vlan
add interface=bridge1 vlan-id=10 name=vlan10
add interface=bridge1 vlan-id=20 name=vlan20
add interface=bridge1 vlan-id=200 name=vlan200

/interface bridge
set bridge1 vlan-filtering=yes

/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
add address=192.168.89.1/24 interface=vlan200 network=192.168.89.0
add address=61.220.223.81/24 interface=vlan20 network=61.220.223.0
add address=61.220.223.82/24 interface=vlan20 network=61.220.223.0
add address=61.220.223.83/24 interface=vlan20 network=61.220.223.0
add address=61.220.223.84/24 interface=vlan20 network=61.220.223.0
add address=61.220.223.85/24 interface=vlan20 network=61.220.223.0
add address=61.220.223.86/24 interface=vlan20 network=61.220.223.0

/interface pppoe-client
add allow=pap interface=vlan10 name=pppoe-out1 profile=default [email protected] password=xxxxxx

/ip pool
add name=pool88 ranges=192.168.88.2-192.168.88.254
add name=pool89 ranges=192.168.89.2-192.168.89.254

/ip dhcp-server
add address-pool=pool88 interface=bridge1 lease-time=10m name=dhcp88
add address-pool=pool89 interface=vlan200 lease-time=10m name=dhcp89

/ip dhcp-server network
add address=192.168.88.0/24 dns-server=168.95.1.1 gateway=192.168.88.1
add address=192.168.89.0/24 dns-server=168.95.1.1 gateway=192.168.89.1

/ip route
add distance=1 dst-address=0.0.0.0/0 gateway=pppoe-out1
add distance=1 dst-address=0.0.0.0/0 gateway=61.220.223.254 routing-mark=static6
add distance=2 dst-address=0.0.0.0/0 gateway=61.220.223.254 pref-src=61.220.223.81

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=src-nat chain=srcnat out-interface=vlan20 src-address-type=!local to-addresses=61.220.223.81

/ip firewall mangle
add action=accept chain=prerouting in-interface=vlan200 dst-address=192.168.88.0/24
add action=accept chain=output src-address=61.220.223.0/24 out-interface=bridge1
add action=accept chain=output src-address=61.220.223.0/24 out-interface=vlan200
add action=mark-routing chain=prerouting in-interface=vlan200 dst-address-type=!local new-routing-mark=static6 passthrough=no
add action=mark-routing chain=output src-address=61.220.223.0/24 dst-address-type=!local new-routing-mark=static6 passthrough=no

a6595085

這個就是圖片中我想表達的內容，謝謝gfx大幫樓主寫成腳本!

2023-12-29 18:24

也感謝a大的協助幫忙

2023-12-29 22:08

Rocvky

149分

樓主

Rocvky

個人積分：149分

文章編號：88897025

gfx wrote:
所以原方案架構不變，只能將vlan20設在另拉出的虛擬接口上，

非常感謝 gfx大所提供的腳本

目前按照配置, 已經可以使用, PPPOE 與固6 都能順利上網.

想要再請問一下,如果要針對每個網口來配置pppoe或固6

以單Bidge多vlan架構, 是不是直接修改 Bridge>port 的PVID值呢?

如紅框所示:

因為我修改ether5的pvid值 ,ether5才會變成固6的網路(否則都是走PPPOE vlan1這條線路)

我以為可以再Bridge> VLANs表,直接針對vlan200做untagged過濾就可以判別了
*不過我有把 untagged: ether5 刪掉 ,RouterOS系統似乎能自動判別,並打上ether5

點我看大圖

*另外想問一下VLANs表 ,Tagged ether1 這個可以理解為trunk,但要在 vlan10、vlan20、vlan200都要tagged bridge1, 是不是因為把vlan都做在橋下的關係呢?
(用一個bridge把每個ether1~8接口綁在該橋上,然後以便依照每個ether接口上的pvid值,做2條線路(PPPOE/固6)的分流,是不是這個意思呢?

*比較熟悉都還在多bridge架構下,有點轉不過來.

---------------------------------------------------------------------------------------------

以下為固6這條線路的疑問

有關設置靜態route表的地方 ,如下圖,紅框處沒有被啟動這個是正常的嗎?
*有看到distance 設置2 ( 2:好像沒查到這個所代表的是什麼), (距離值1>2) 所以會以上面那條優先,但這條distance:2 他的用意是指單純指定出去的IP嗎?

另外有關這條後面所設置的Pref.Source IP.
如果我還要在新增一台固6線路的電腦,變成有2台電腦是走固6線路,是不是要在多加一次

如:
add distance=2 dst-address=0.0.0.0/0 gateway=61.220.223.254 pref-src=61.220.223.81
add distance=2 dst-address=0.0.0.0/0 gateway=61.220.223.254 pref-src=61.220.223.82

*Pref.Source是代表自己能指定固6裡的IP嗎,而不是隨機分配固6內的6個靜態IP ?

gfx wrote:
add distance=2 dst-address=0.0.0.0/0 gateway=61.220.223.254 pref-src=61.220.223.81

↓這段不甚理解,

gfx wrote:
/ip firewall nat

add action=src-nat chain=srcnat out-interface=vlan20 src-address-type=!local to-addresses=61.220.223.81

是不是給固6這條線路用的, 是指來源如果不是本地地址,則透過vlan20接口出去並轉換61.220.223.81 然後再接上面那條Route的配置出去 ?(對應Pref.Source?)

*另外如果變成有2台電腦是走固6線路,
是不是也是一樣在加上去,如下:
add action=src-nat chain=srcnat out-interface=vlan20 src-address-type=!local to-addresses=61.220.223.81
add action=src-nat chain=srcnat out-interface=vlan20 src-address-type=!local to-addresses=61.220.223.82

↓這個應該就是只有單獨對PPPOE這條線路偽裝

gfx wrote:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1

*gfx大是不是針對兩條ISP線路分開做防火牆NAT的設定呢?

剩下mangle標記的部分,這部分好難,我再來研究一下.

/ip firewall mangle
add action=accept chain=prerouting in-interface=vlan200 dst-address=192.168.88.0/24
add action=accept chain=output src-address=61.220.223.0/24 out-interface=bridge1
add action=accept chain=output src-address=61.220.223.0/24 out-interface=vlan200
add action=mark-routing chain=prerouting in-interface=vlan200 dst-address-type=!local new-routing-mark=static6 passthrough=no
add action=mark-routing chain=output src-address=61.220.223.0/24 dst-address-type=!local new-routing-mark=static6 passthrough=no

---------------------------------------------------------------------------------------------------

gfx wrote:
用上vlan1，會直接排除rb5009將bridge1接口定義為vlan10的機會。
vlan1您是規劃用在區域網路，所以bridge1是先歸類在dhcp區網管理者的位置；
爾後您也不能在bridge1再強加個pvid=20，硬要pppoe-out1也靠bridge1負責撥號。

如果硬強推，bridge1接口肯定會vlan1與vlan20的封包混淆在一起，感覺會非常的不妙。

如果捨去vlan1 ,直接用vlan100來設定,是不是直接替代vlan1改為vlan100就可以了?
(現在有vlan1陰影.....總感覺vlan1有些隱藏限制)

vlan10:pppoe
vlan20:固6
vlan100: 192.168.10.0/24 (pppoe內網網域)
vlan200: 192.168.20.0/24 (固6內網網域)

kendrv

Vlan1也是一個ID,IEEE 802.1Q的規範它就是預設不打標籤的!安全性來說,我覺得非大型拓譜的話,預設vlan1我覺得應該會比較好掌控管理吧!

2023-12-30 13:20

好的,的確 ,我也認為方便管理還是比較重要的.

2023-12-30 15:05

a6595085

179分

20樓

a6595085

個人積分：179分

文章編號：88897501

Rocvky wrote:
因為我修改ether5的pvid值 ,ether5才會變成固6...

這樣能通沒錯，不過我記得這樣會變成vlan1跟vlan 200都會untagged到ether 5，
因為routeros可以untag多個id到一個interface上，
你會看到系統自動幫你產生規則在vlans底下。
如果你要完全擋掉的話，對port上強制設定PVID會比較好。

Rocvky wrote:
*另外想問一下VLANs表 ,Tagged ether1 這個...

你的理解是對的，下面補充一點資訊給你參考，有錯的話再麻煩其他人修正。

由於ether 1跟bridge綁在一起，所以你要把他們兩個當成一體會比較好理解。
也就是ether1上設定了什麼TAG，bridge就也要做一樣的事情，
因此就可以理解成，ether1 = bridge上帶著1/10/20/100這四個TAG的資料包，
然後要去哪裡，就根據規則把對應的封包丟到目的地interface，然後根據設定加解tag。

Rocvky wrote:
有關設置靜態route表的地方...

那個Pref Source我平常沒有使用，不太確定機制如何。
我有查了一下資料好像是，
要指定這個走這個路由出去的IP是用Pref Source來當作Src addr.的意思，
最常見的例子是用在IPSec Site-to-Site VPN上，上述有誤再麻煩補充。

Rocvky wrote:
是不是給固6這條線路用的, 是指來源如果不是本地地址...
這個應該就是只有單獨對PPPOE這條線路偽裝...
*另外如果變成有2台電腦是走固6線路...

對，這段是用來做SNAT的，用簡單一點的說法跟你講解一下。

在routeros裡面有兩種方式讓LAN可以上網(做NAT)，
一種是masquerade(偽裝)，另一種是SNAT。
由於masquerade的路由出口是可變的，
為了確保你固6進來跟出去的路由是同一個IP，因此用SNAT的方式設定會比較簡單。
另外如果有其他設備要走不同固6 IP的話一樣要設定。

而PPPOE的IP會隨著每次撥號都會取得不同IP，並且是預設路由，
因此只要用最簡單的偽裝法就好了。

更詳細的說明可以去搜尋masquerade跟snat的差別，會有很多文章可以讓你參考。

Rocvky wrote:
剩下mangle標記的部分...

第一條是在說，如果從89.0/24來的封包要到88.0/24，要放行。
第二/三條是在說，如果LAN有來自使用固6 IP的封包，
並且要出去的interface是bridge或vlan200，要放行。
第四條是在做路由標記，把從Internet經過固6進來的連線，打一個標記為static6。
第五條是在做路由標記，如果IP範圍是固6的那幾個要連出去Internet，
幫這些封包打一個標記為static6。

希望用文字說明能讓你比較理解這些設定。

Rocvky wrote:
如果捨去vlan1...

當然可以，不過我自己習慣用VLAN 1。
VLAN 1又被稱為Native VLAN，在封包上他的TAG欄位是空白的，
因此我想不使用VLAN1的原因大概還是為了做封包區隔吧，
也就是說讓bridge主要以哪個VLAN的封包作為主要不帶tag的封包在上面跑。

gfx大的意思是說，如果你想要讓bridge1作為整個VLAN 20的UNTAG口，
這等同於讓VLAN 20的封包和VLAN 1是一樣的狀態(沒TAG)
(意思是PPPOE封包在bridge上跑，VLAN那個欄位都是空白的，
只有進入ether1的時候才會打上20的TAG)，
如果這個時候，你也同時把VLAN 1當成是LAN用的ID，
這有機會出現封包亂竄的可能性，因此才會說不建議這麼操作。

但如果你並沒有想要把Bridge作為特定PVID使用的話，
那繼續把VLAN 1作為LAN用也無妨。

具體要表達的是不是這樣我不太確定，有誤的話再麻煩其他人補充。

RouterOS v7新版_單線復用+雙WAN架構設置問題請益

小惡魔新聞台

小惡魔廣編特輯

RouterOS v7新版_單線復用+雙WAN架構設置問題請益

小惡魔新聞台

小惡魔廣編特輯

今日熱門文章 網友點擊推薦！

今日熱門文章　網友點擊推薦！