[Mikrotik] 小烏龜Modem後面接switch網路架構問題請益 (第3頁)

Rocvky
個人積分：149分
文章編號：78903931

149分

樓主

2020-09-01 0:24

a6595085 wrote:
住宿的地方也是有類似...(恕刪)

真的ROS 3.x /6.x 據說很多不一樣,有些選項移動
也謝謝您的經驗幫助了我.

防火牆的部分:
今天試了一下,的確是這樣.因之前在防火牆內設,定DHCP,但網速跑很慢,所以在防火牆增加VLAN200 速度才恢復,但也有可能是我設定錯誤.因為今天又到防火牆那邊設了一次.

不過有個問題,實在搞不清楚

因 PC1電腦其實有透過VPN連到其他地方(公司),單純做遠端桌面.

因遠處公司端電腦無法動到(台北電腦),我在PC1電腦查了一下外網IP,是21.X.X.X (而不是電信業者的固定IP)就導致不能辨別連線了, 但都可上網. 只是無法遠端到台北電腦了

看起來是PC1前端接了硬體防火牆裡設定的問題了 (防火牆可以設定,內部網路跟外部網路,外部網路照以往設定電信業者所分配固定IP是能上網的,現在變成不能上網,除非防火牆設DHCP或者192.168.20.X ,RB4011所分配的IP )

因為從RB4011分配的IP 為 192.168.20.X
*之前PC1電腦,透過防火牆接小烏龜的方式 ,都是直接在防火牆裡設定電信給的固定IP與子網遮罩,預設閘道
並在PC1電腦也設置固定IP與子網遮罩,預設閘道後,可以連VPN(台北電腦)與上網.

原來中華電信WIFI那台小烏龜有VLAN功能,省下一筆.

a6595085

a6595085
個人積分：179分
文章編號：78904599

179分

22樓

2020-09-01 3:18

Rocvky wrote:
真的ROS 3.x(恕刪)

防火牆的部分:
今天試了一下,的確是這樣.因之前在防火牆內設,定DHCP,但網速跑很慢,所以在防火牆增加VLAN200 速度才恢復,但也有可能是我設定錯誤.因為今天又到防火牆那邊設了一次.

VLAN的問題，我覺得是因為Switch端設定跟防火牆端的設定沒對應好才這樣，
(我只有玩過ROS的VLAN，不確定對於一般的802.1Q有沒有理解錯誤，有錯請告知一下)
如果沒記錯的話正確的VLAN設定可以分為以下幾種情境:

Switch端Port5設定Tagged port (1/10/20/200) PVID=1 <-> 防火牆端設定VID 200
Switch端Port5設定Tagged port(200) PVID=200 <-> 防火牆端設定VID 200
Switch端Port5設定Untagged port VID/PVID=200 <-> 防火牆端不用設定VLAN

我猜你的設定是第二種情況的可能性比較大，假設沒錯的話，下面分析問題所在:

第一種情況，如果防火牆沒設VLAN，Switch送帶TAG的封包進防火牆，由於防火牆沒有設定PVID，所以把你的封包當成預設的VLAN 1處理，這時候封包每次進出防火牆都要先拆TAG，這個部分會不會影響效能，我沒有接觸過不確定。

第二種情況，如果防火牆沒設VLAN，Switch送帶TAG的封包進防火牆，跟第一種情況一樣，只不過因為這次Switch送的封包只帶著VLAN 200的資訊，因此到防火牆只會把TAG標籤拆掉，送回Switch後再補回VID資訊，效能部分是否會影響也是不確定。

第三種情況，防火牆沒設VLAN，封包經過Switch發出之前就會先被去除TAG，因此防火牆不需要處理封包拆除的動作，從防火牆送回Switch的封包會被重新帶入VLAN 200。所有的處理都是由Switch處理。

因此，最簡單的做法就是第3種情境，不過看你的設定應該是第2種，也沒有關係，
只要兩邊的TAG有設好就可以。

因 PC1電腦其實有透過VPN連到其他地方(公司),單純做遠端桌面.

關於公司VPN的部分，我大概了解你的意思，不過在這之前有幾點要確認一下，

請檢查一下21.X.X.X的IP段是不是PPPOE撥號出去的IP。如果是的話，代表路由設定有問題，需要檢查一下。
VPN是建立在防火牆上面嗎?

假設防火牆有VPN設定的話，你可以考慮做的動作有兩種，
第一種方法是把硬體防火牆內的VPN設定轉到4011裡面，然後拆掉硬體防火牆。
第二種方法是把Switch端port 5改回Tagged port(20)，防火牆端也設定成VLAN20，
IP設定可以照以前的設法，這樣就可以恢復你公司的網路連線，但這個方法的缺點是，電腦沒辦法與區網溝通，需要提供一下你防火牆型號，來查詢設定方式看看能不能更改架構。

*之前PC1電腦,透過防火牆接小烏龜的方式 ,都是直接在防火牆裡設定電信給的固定IP與子網遮罩,預設閘道
並在PC1電腦也設置固定IP與子網遮罩,預設閘道後,可以連VPN(台北電腦)與上網.

由於原本防火牆是直連小烏龜，IP是設在防火牆上，這樣上網是透過防火牆做NAT出去。
現在的環境改成用4011代替防火牆NAT的工作，所以才會變成沒辦法在防火牆設定固定IP。

小笨賢

小笨賢
個人積分：4295分
文章編號：78906774

4295分

23樓

2020-09-01 10:07

Rocvky wrote:
您好,因家裡有2條寬(恕刪)

我看法...
RB4011 放在進來哪裡，然後把port 切開分成兩網段
拉兩條網路線到另外hub(原rb4011)
用固定ip分網段
效能高可以控制

DHCP server 一個改延遲2秒配發ip

可參考...
https://m.mobile01.com/topicdetail.php?f=110&t=6145034

小笨賢

小笨賢
個人積分：4295分
文章編號：78909330

4295分

24樓

2020-09-01 13:15

1. 根本沒幾台設備
2. VLAN 會減低效能增加複雜度
3. RB4011 大材小用 (太熱可以用風扇調速器吹)

1. 整個切割運算效能高, 延遲低!! 問題少!!
2. NAS +DVR區... 建議多拉幾條網路線過去!!
3. 之後紅色藍色各 5port Hub
4. NAS 可以用雙網卡...就可以跨2網段

無線AP.... 不要直接連中華數據機 PPPOE撥號, 接RB4011 ..無線AP使用靜態IP模式, RB4011 標記指定路由, 還可以監控+限流, 或是使用AP模式...讓RB4011直接DHCP處裡 (可以連內網)

可參考這篇... 固定制混合 PPPOE
https://www.mobile01.com/topicdetail.php?f=110&t=5961074

宅男乙

宅男乙
個人積分：5728分
文章編號：78910537

5728分

25樓

2020-09-01 14:57

Rocvky wrote:
紅線 : Office辦公使用
藍線 : 一般上網使用

這樣都用 switch 應該就可以了..

兩台小烏龜的 LAN IP 先把它調開..

辦公電腦的 Gateway 設紅小烏龜的 LAN IP; 這台 LAN 端的 DHCP server 不要開..

家用電腦的 Gateway 設藍小烏龜的LAN IP; DHCP server 開這台就好..

我們公司用的那台固定IP 的 Modem, 它的 WAN 是直接設公 IP; Gateway/MASK 是設中華給的.. 它並不會理會 LAN 端裝置的 PPPOE 撥接封包.

那應該只有藍小鳥龜才會理會 PPPOE 撥接封包. 所以用 PPPOE 的裝置, 只會從藍小鳥龜出去.

這樣子因為不會相衝, 所有裝置都可以處在同一網段, 方便內網裝置互傳...

RB4011 這台看你要想用它來管理什麼..

自家用, 如果沒有要特別去管制什麼的東西, 只當成 WIFI AP + switch 來用也行..

Rocvky

Rocvky
個人積分：149分
文章編號：78915844

149分

樓主

2020-09-02 0:43

Rocvky wrote:

防火牆的部分:
今天試了一下,的確是這樣.因之前在防火牆內設,定DHCP,但網速跑很慢,所以在防火牆增加VLAN200 速度才恢復,但也有可能是我設定錯誤.因為今天又到防火牆那邊設了一次.

更正:

這個部分我有重置過防火牆,變回預設上下載被限速1m了, 所以應為正常.

a6595085 wrote:
VLAN的問題，我覺...(恕刪)

今天再重新按造a65大的下述1.2.3點做設定 ,結果如下:

*防火牆設定DHCP前提下

1.
A : Switch端Port5設定Tagged port (1/10/20/200) PVID=1 <-> 防火牆端設定VID 200
能正常上網 (走 vlan1 PPPOE撥號內網:192.168.10.X )

B: Switch端Port5設定Tagged port (1/10/20/200) PVID=1 <-> 防火牆端無設定VLAN
能正常上網 (走 vlan1 PPPOE撥號內網:192.168.10.X )

2.
A: Switch端Port5設定Tagged port(200) PVID=200 <-> 防火牆端設定VID 200
能正常上網 (走 vlan1 PPPOE撥號內網:192.168.10.X )

B: Switch端Port5設定Tagged port(200) PVID=200 <-> 防火牆端無設定VLAN
能正常上網 (走 vlan1 PPPOE撥號內網:192.168.10.X )

3.
A: Switch端Port5設定Untagged port VID/PVID=200 <-> 防火牆端不用設定VLAN
無法上網 (防火牆偵測到內網:192.168.20.X)

B: Switch端Port5設定Untagged port VID/PVID=200 <-> 防火牆端設定VID 200
無法上網 (防火牆偵測到內網:192.168.20.X)

a6595085 wrote:
關於公司VPN的部分，我大概了解你的意思，不過在這之前有幾點要確認一下，
請檢查一下21.X.X.X的IP段是不是PPPOE撥號出去的IP。如果是的話，代表路由設定有問題，需要檢查一下。
VPN是建立在防火牆上面嗎?

*之前能上網應該是走到 vlan1那條

是的VPN是建立在防火牆 ,如圖

a6595085 wrote:
第二種方法是把Switch端port 5改回Tagged port(20)，防火牆端也設定成VLAN20，IP設定可以照以前的設法，這樣就可以恢復你公司的網路連線，但這個方法的缺點是，電腦沒辦法與區網溝通，需要提供一下你防火牆型號，來查詢設定方式看看能不能更改架構。

的確比較希望能跨區往網,以便設定與傳輸

防火牆為眾至UR-910,
比較舊了,手冊可參考以下:
https://www.sharetech.com.tw/images/Manual/UTM/HiGuard-Pro_v2.1.9-.pdf

a6595085 wrote:
第二種方法是把Switch端port 5改回Tagged port(20)，防火牆端也設定成VLAN20...

這樣設定後 ,IP為電信業者所分配的固定IP了 ,皆可以上網與VPN連線 ,OK!
但如a65大說的,真的連LAN1(192.168.10.X)的網段都無法連了.

a6595085 wrote:
由於原本防火牆是直連小烏龜，IP是設在防火牆上，這樣上網是透過防火牆做NAT出去。
現在的環境改成用4011代替防火牆NAT的工作，所以才會變成沒辦法在防火牆設定固定IP。

原來如此, 已解惑,豁然開朗 !

Rocvky

Rocvky
個人積分：149分
文章編號：78915863

149分

樓主

2020-09-02 0:49

小笨賢 wrote:
我看法...RB4011...(恕刪)

的確,如果Router先放在進來的地方 ,在接switch 可能會方便許多

有看過小笨賢大的發文,都已收藏,以便不時之需.

a6595085

a6595085
個人積分：179分
文章編號：78915894

179分

28樓

2020-09-02 0:54

Rocvky wrote:
更正: 這個部分(恕刪)

OK，大概知道你的問題所在了，不知道你是否願意把PC1前面的防火牆拆掉呢?
你使用的是IPSec的Site to Site VPN，這個可以原封不動搬到4011上面做，
這樣你可以把VLAN200整個刪掉，讓所有PC都在同一個網段下，既沒有區網連線問題，
也可以讓你區網下任意設備可以與公司電腦連線，不知道你的看法如何呢?

Rocvky

Rocvky
個人積分：149分
文章編號：78915913

149分

樓主

2020-09-02 0:58

小笨賢 wrote:
1. 根本沒幾台設(恕刪)

這應該是最佳的配置,

我以為我這樣做法 modem>switch>router>switch 應該白話點,算來回繞遠路.

我以為現在配置網路架構在速度上,只有毫秒差距 (感覺不太出來)

沒想到也會引響效能(會再想一定有差,但以為只差一點點可以忽略)

無線AP的部分是沒有經過數據機(橋接模式) ,
如1F-AP 是從modem經過switch在到Router(RB4011)再回去switch> 1FAP
*RB4011無WIFI

感謝文章教學 ,已收藏,拜讀
*只是目前是以ModeM ---> Switch --> Router架構

Rocvky

Rocvky
個人積分：149分
文章編號：78915937

149分

樓主

2020-09-02 1:01

宅男乙 wrote:
這樣都用 switch(恕刪)

好的, 如果Switch跟Router調換,在設定上,就真的方便簡易許多,也是算正規的做法了

*抱歉忘記註明:RB4011非WIFI版本