Настройка VLAN

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.

Настройка VLAN

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.
Настройка VLAN
Настройка VLAN
2019-04-10 19:19:09
Название темы: Настройка VLAN
Аппаратная версия устройства: 5
Версия встроенного ПО: 3.16.9 Build 180308 Rel.42508n (BETA)
Режим работы: Точка доступа
Описание проблемы:
Здравствуйте!

Настраиваю точку доступа TL-WA901ND в режиме Multi-SSID
У самой точки доступа на эзернет порту IP: 192.168.1.3

В качестве основной машины, к которой подключена точка доступа выступает ПК с Kerio Control (запущен в VirtualBox под Windows).
К машине подключены две сетевые карты:
1-WAN смотрит на провайдера;
2-LAN подключена к неуправляемому хабу, к которому присоединены остальные устройства сети, в том числе и точка доступа (знаю что это неправильно, но пока так, потом сменю на управляемый).

На машине с Керио настройки интерфейсов такие:
1-WAN = DHCP от провайдера
2-LAN = 192.168.1.1

На LAN подняты:
VLAN-20 192.168.3.1
VLAN-30 192.168.4.1

Интерфейсы пингуются из внутренней сети и из ВЕБ-интерфейса точки доступа.

На самой точке доступа создаю SSID и VLAN-ы:
SSID-1 VLAN-1 Основной, который виден в нетегированной сети, работает нормально, пакеты идут.
SSID-2 VLAN-20 нет связи
SSID-3 VLAN-30 нет связи

Подключаю к SSID 2 и 3 устройства и ставлю им статические IP из области 192.168.3.XXX и 192.168.4.XXX соответственно.
Всё запускается, устройства к точке доступа подключаются, никаких ошибок нет.
При этом пинги от подключенных устройств в локалку не уходят, саму точку доступа и интерфейсы Керио они не пингуют (192.168.1.3 192.168.3.1 192.168.4.1).
Из локальной сети, из Веб-интерфейса точки доступа, из Веб-интерфейса Керио подключенные устройства тоже не пингуются и трафик не идёт.

Такое ощущение, что нет маршрута или срабатывает какой-то скрытый межсетевой экран, который не даёт проходить пакетам от/к подключенным устройствам.

В Керио все разрешающие правила настроил, уже всем всё разрешил, Влан-интерфейсы в доверенные внёс.
В настройках самой точки доступа особо ничего не изменишь.
На всякий случай подключал напрямую к сетевой карте, без хаба, но ничего не изменилось.

Вопрос - куда копать?
Может это Виндовс отрезает тегированные пакеты при их поступлении на сетевую плату, но тогда хоть саму точку доступа подключенные устройства должны пинговать, и с неё же должны пинговаться, а тут - тишина.
Пожалуйста, подскажите.
  0      
  0      
#1
Опции
6 Ответить
Re: Настройка VLAN
2019-04-10 21:20:09
Дополнение
Поставил отдельную сетевую карту, в её свойствах отключил все компоненты, кроме VirtualBox и пробросил её в Керио.
Проверил в диспетчере устройств включена ли поддержка больших кадров и VLAN у этой сетевой карты - там всё включено.
Вроде как уже и не Windows виновата.

И поскольку интерфейсы Керио нормально пингуются (из Веб-интерфейса точки доступа и из сети), тогда у меня большое подозрение на саму точку доступа, получается что именно она не пропускает трафик от/к клиентам висящим на SSID с VLAN-ами.
  0  
  0  
#1
Опции
Re: Настройка VLAN
2019-04-11 08:22:05
Со стороны точки доступа могу сказать только одно. Когда у Вас есть 3 SSID с 3 VLAN ее порт просто становится транковым т.е. политика TAGGED с VLANами, которые указаны у SSID.
Либо на Вашей машине неверно настроены PVID, мб порты access(untag), а не trank(tag), либо неуправляемый "хаб"(я думаю это все же коммутатор, а не концентратор) не умеет коммутировать трафик с тегами(обычно такое бывает, если MTU устройства не достаточное).
  0  
  0  
#1
Опции
Re: Настройка VLAN
2019-04-11 08:48:54
[quote=reaper post_id=71736 time=1554970925 user_id=46258] Со стороны точки доступа могу сказать только одно. Когда у Вас есть 3 SSID с 3 VLAN ее порт просто становится транковым т.е. политика TAGGED с VLANами, которые указаны у SSID.
Либо на Вашей машине неверно настроены PVID, мб порты access(untag), а не trank(tag), либо неуправляемый "хаб"(я думаю это все же коммутатор, а не концентратор) не умеет коммутировать трафик с тегами(обычно такое бывает, если MTU устройства не достаточное). [/quote]
Приветствую!
В свойствах коммутатора указана поддержка Jumbo Frame, но я на всякий случай пробовал подключать точку доступа напрямую к сетевой карте, результат, увы, не изменился.

Тогда вопрос, почему с точки доступа не пингуются подключенные устройства, и почему она не пингуется с них?
Имею в виду устройства подключенные именно через те SSID, которые с VLAN-ами.
  0  
  0  
#1
Опции
Re: Настройка VLAN
2019-04-17 09:42:26
Здравствуйте, господа!

Таки я сделал этот чертов VLAN.
До всех озвученных ниже манипуляций тегированный трафик не шёл нормально через Виндовс или VirtualBox, поэтому сколько бы в виртуалке на LAN интерфейсе Керио я не конфигурировал VLAN-ы - пакеты не долетали.
В этом плане выше Reaper был прав.

Если кому-то интересно - рассказываю.

ВАЖНО!!!
Ниже описан способ, который годится для временного решения или для проведения экспериментов, потому что поднимать VLAN в Виндовс, строить и применять мосты в Винде, а до кучи еще использовать неуправляемую коробочку - это считайте что самый дешевый цирк шапито.
По части стабильности, надёжности, безопасности и логичности всё это может принести не самые хорошие результаты, поэтому действуйте на свой страх и риск!

:arrow: Задача и цели:
В наличии у нас была точка доступа, неуправляемый коммутатор, ПК с Виндовс в качестве хоста, на котором в VirtualBox (далее по тексту - VB) запущено несколько машин, в том числе Керио.
В свойствах WAN-овской сетевухи были убраны галочки со всех сервисов, кроме VB, таким образом Интернетовский трафик шел сразу в виртуалку.
Вторая сетевая карта смотрит в локальную сеть (LAN) и к ней через коммутатор подключена точка доступа.
Нужно было поднять на точке доступа еще пару SSID для гостей и разных умнодомовых устройств, и привязать SSID-ы к разным VLAN, чтобы всё это хозяйство не пересекалось и не сплетничало без дела.

Итак, разделим нашу спецоперацию на фазы :twisted:

1-Скачиваем особый софт для сетевой карты, который позволяет нормально принимать VLAN пакеты.
Это может быть драйвер или утилитка, которая производит перенастройку в глубине системы.
:idea: Внимание(!) не каждая сетевая карта имеет такую возможность, тут нужно гуглить под конкретную модель и совершать свои определённые танцы с бубном.
Моя, слава Богу, умеет, поэтому скачал софтинку от Реалтека и создал VLAN.
По такому поводу Виндовс скрипнула, чихнула, пукнула, но родила в итоге виртуальную сетевую карточку, которая отдельно начала ловить пакеты с указанным VLAN.

На всякий случай в свойствах сетевой карты (диспетчер устройств) я проверил включена ли там поддержка VLAN и JumboFrame.

2-Оказалось, что виртуальная сетевая карта не имеет (и не даёт поставить) в своих свойствах драйвер VB, а значит и добавить её в виртуалку мостовым соединением нельзя.
Не факт, что такие проблемы будут у Вас, но скорее всего будут.
Эту задачку я решил так - создал виртуальную сетевую карту в VB и объединил её мостовым соединением с ранее созданной виртуальной сетевой картой Реалтек для VLAN.
Прописал мостику ИП-шник предполагаемого будущего VLAN-а и добавил его мостовым соединением в VB (здорово и запутано, да? :ugeek: )

3-В VB в свойствах сетевой карты смотрящей на LAN выставлен на всякий случай неразборчивый режим (промискуитет), анаологичный режим нужно выставлять и в других виртуалках.

4-Запустил Керио, в нём настроил вновь добавленному интерфейсу адрес.

5-В керио отключил антиспуфинг от греха подальше, прописал правила межсетевого экрана на прохождение трафика (например, можно дать доступ к DHCP, к Интернету, к некоторым машинам в локалке и т. д.)

6-На точке доступа запустил Multi-SSID и присвоил VLAN второму SSID-у.

Всё, с этого момента стало нормально подключаться, пинговаться и т. д.
Ура! :P

====================================================

P. S.
К сожалению, Винда даёт создать только один мост, поэтому дополнительные VLAN-ы Вы сможете лишь добавить к уже существующему мосту, что не есть хорошо (будет каша).
Поэтому мы опять же приходим к тому, что:
А-Нужно использовать управляемый коммутатор с настроенными портами, а уже от этих портов отдельное подключение на разные сетевые карты;
Б-Либо Керио (какой-то другой агрегат/софт) должен быть запущен автономно, не в виртуалке, чтобы тегированный трафик нормально шёл на его LAN интерфейс;
В-Либо виртуалку нужно запускать под Линуксом, с нормальным разделением VLAN-ов (не факт, что тегированный трафик нормально пройдёт к гостевой машине);
Г-Либо нужно виртуализировать в XEN, ESXi с совсем другим уровнем виртуализации.
Вот такие вот дела.

Буду рад если эти приключения кому-нибудь принесут пользу и сэкономят время, ресурсы, силы.

P. P. S.
Я конечно понимаю, техническая поддержка местная не обязана решать такие задачки, ведь это, как оказывается, не связано напрямую с оборудованием TP-Link.
Я так же понимаю, что зачастую эти обязанности навешиваются на них силой, особо не оплачиваются и не учитываются.
Но всё же есть некоторый осадок от того, что на тему просто забили, разбирайся как хочешь, юзер, это твои проблемы, и железка с производства снята, е$ись оно конём и гори синим пламенем!
Думаю, что можно было подсказать, помочь, несколько наводящих вопросов задать и попытаться разобраться.
Довольно много железа этого производителя ранее покупал для разных проектов, а теперь вот буду искать кого-то более отзывчивого в сложных случаях.

Желаю Вам счастья, здоровья, любви, и просто чтобы всё было хорошо!
Всех благ! :mrgreen:
  0  
  0  
#1
Опции
Re: Настройка VLAN
2019-04-25 16:28:20
Поддерживаю вариант с использованием управляемого свитча. По части "забития" на тему, дело не в том, что мы не хотим что-то сделать. Я описал механизм работы точки доступа с точки зрения VLAN и указал на неверный конфиг VLAN на сервере. К сожалению собрать схемы всех клиентов, установить все виртуальные машины и изучить механизмы работы разных ос еще и в разных виртуальных средах типа virtualbox, vmware и т.п. у нас нет физической возможности. В данном случае, если проблема локализована в ОС/ виртуальной машине у каждого программного продукта есть также саппорт или комьюнити, где Вам помогут куда более просто, быстро и со знанием своего продукта.
  0  
  0  
#1
Опции
Re: Настройка VLAN
2019-06-13 12:42:57
[quote=reaper post_id=71950 time=1556209700 user_id=46258] Поддерживаю вариант с использованием управляемого свитча. По части "забития" на тему, дело не в том, что мы не хотим что-то сделать. Я описал механизм работы точки доступа с точки зрения VLAN и указал на неверный конфиг VLAN на сервере. К сожалению собрать схемы всех клиентов, установить все виртуальные машины и изучить механизмы работы разных ос еще и в разных виртуальных средах типа virtualbox, vmware и т.п. у нас нет физической возможности. В данном случае, если проблема локализована в ОС/ виртуальной машине у каждого программного продукта есть также саппорт или комьюнити, где Вам помогут куда более просто, быстро и со знанием своего продукта. [/quote] Что же, и то верно, всех вариантов не предусмотришь, тем более, что Вы этого и не обязаны делать.
В любом случае спасибо Вам и всех благ!
  0  
  0  
#1
Опции