RISOLTO Consiglio switch poe 24 porte gestito

[r3dl4nce]

Taggare una VLAN su interfaccia sul mikrotik è una cavolata

/interface vlan
add comment="VLAN ID 99 - MANAGEMENT" interface=ether1 name=vlan99 vlan-id=99

/ip address
add address=192.168.99.1/24 comment="IP SU LAN MANAGEMENT" interface=vlan99

A questo punto sulla wan del tuo firewall devi taggare la VLAN99 e assegnare un IP tipo 192.168.99.2/24 sull'interfaccia della vlan
Non chiedermi come farlo, non conosco il tuo firewall

 

[peg87]

Taggare una VLAN su interfaccia sul mikrotik è una cavolata

/interface vlan
add comment="VLAN ID 99 - MANAGEMENT" interface=ether1 name=vlan99 vlan-id=99

/ip address
add address=192.168.99.1/24 comment="IP SU LAN MANAGEMENT" interface=vlan99

A questo punto sulla wan del tuo firewall devi taggare la VLAN99 e assegnare un IP tipo 192.168.99.2/24 sull'interfaccia della vlan
Non chiedermi come farlo, non conosco il tuo firewall

Mentre facevo delle prove da remoto sono stato sbattuto fuori anche se in quel momento in realtà non stavo facendo nulla, avevo attivato la safe mode ma non sembra si sia stata ripristinata la configurazione, oppure è caduta la linea e winbox no quindi non si sta ripristinando nulla....in ogni caso ora non posso provare la tua soluzione anche se mi sembra di averla già provata senza successo.
Considerando che ho letto che ci sono 6 modi diveris per gestire le VLan su mikrotik rende la cosa piuttosto complessa!

 

[r3dl4nce]

Considerando che ho letto che ci sono 6 modi diveris per gestire le VLan su mikrotik rende la cosa piuttosto complessa!

Ci sono modi per fare quello che serve, solo che si deve aver ben chiaro cosa serve.

Te non hai da gestire VLAN switching, trunk e access port, ti serve solo una VLAN taggata tra i due dispositivi per suddividere il traffico layer 2 dal passthough del modem LTE e avere così accesso a un'IP di gestione del mikrotik
Quindi NON devi abilitare vlan filtering nel bridge.
Devi solo taggare la vlan come ti ho indicato

 

[peg87]

Infatti è la prima prova che ho fatto ma qualcosa non andava perchè provavo a pingare i dispositivi e non andavano. Da pc pingo l'ip della nuova vlan che ho fatto sul router quindi se riesco a collegare router e modem, è fatta. Comunque finchè non torno a casa non posso fare nulla.

 

[r3dl4nce]

Da pc pingo l'ip della nuova vlan che ho fatto sul router quindi se riesco a collegare router e modem, è fatta.

Il ping dal tuo firewall all'ip assegnato sul mikrotik all'interfaccia della VLAN (nel mio esempio 192.168.99.1) risponde? Non dal pc, dal firewall.

Non so come funziona il tuo firewall, ma a livello di rete stai facendo un NAT, cosa che viene già fatto verso l'interfaccia WAN.
Probabilmente il tuo firewall non riconosce l'interfaccia con la VLAN taggata come WAN quindi dovrai fare due regole di firewall:
- source nat (masquerading) da LAN a interfaccia della VLAN
- accept pacchetti da LAN a interfaccia VLAN

 

[peg87]

Il ping dal tuo firewall all'ip assegnato sul mikrotik all'interfaccia della VLAN (nel mio esempio 192.168.99.1) risponde? Non dal pc, dal firewall.

Non so come funziona il tuo firewall, ma a livello di rete stai facendo un NAT, cosa che viene già fatto verso l'interfaccia WAN.
Probabilmente il tuo firewall non riconosce l'interfaccia con la VLAN taggata come WAN quindi dovrai fare due regole di firewall:
- source nat (masquerading) da LAN a interfaccia della VLAN
- accept pacchetti da LAN a interfaccia VLAN

No no, non è riconosciuta come WAN perchè me lo chiede in fase di configurazione se voglio impostarla come tale. In ogni caso nemmeno facendo ping dal firewall rispondeva.

 

[r3dl4nce]

Questo vuol dire che non sta funzionando la VLAN.
Nel mikrotik la ether1 è in un bridge? In tal caso la vlan la devi fare sul bridge e non sull'interfaccia

Invece sul tuo firewall non saprei che dirti

 

[peg87]

No non è in bridge. Ricordo che durante le mie varie prove era apparso un warning che diceva che il passthrough non poteva essere in slave ma non so cosa significhi (forse quando lo avevo messo ne bridge per provare). In realtà quel waring è rimasto a lungo senza creare problemi.
Sul mio firewall la VLAN la ho creata come le altre, semplicemente fatta sull'interfaccia wan e non ho abilitato il server DHCP.

 

[r3dl4nce]

No non è in bridge. Ricordo che durante le mie varie prove era apparso un warning che diceva che il passthrough non poteva essere in slave ma non so cosa significhi (forse quando lo avevo messo ne bridge per provare). In realtà quel waring è rimasto a lungo senza creare problemi.

È giusto, l'interfaccia ethernet per fare passthrough deve essere diretta perché il bridge verrà creato internamente con il modem LTE.
Per cui l'interfaccia VLAN la crei direttamente su ether1

Sul mio firewall la VLAN la ho creata come le altre, semplicemente fatta sull'interfaccia wan e non ho abilitato il server DHCP.

Devi creare una VLAN sul'interfaccia dove è connesso il mikrotik, se segui il mio esempio deve essere VLAN 99 e assegnare quindi a quest anuova interfaccia VLAN99 l'ip 192.168.99.2/24, sempre se segui il mio esempio.
Fatto ciò dal tuo firewall deve pingare su 192.168.99.1 ovvero l'ip assegnato alla vlan99 sul mikrotik

 

[peg87]

Stasera o domani provo. Grazie intanto per tutti i consigli!

Sistemato tutto!!! Grazie alla fine ho ricontrollato ed ho scoperto di aver fatto un errore madornale nel firewall... in pratica avevo definito l'ip ma non l'ID della VLAN....ore perse inutilmente!!!
Grazie comunque per il supporto, davvero utile!!

 

[Mursey]

Si continua in https://forum.tomshw.it/threads/mini-switch-gestito-poe-in-out.914280/