[Mikrotik] 小烏龜Modem後面接switch網路架構問題請益

已解決! 原問題,如下

===============================================================

您好,

因家裡有2條寬頻,分別為 PPPOE 與 固定IP

1.可否二條寬頻,用一台Router,且共走一條網路線 (是否也是用vlan規劃?)
*如下圖

2. 二台小烏龜(Modem) 可否先接Switch 在接 Router ?
*正常是小烏龜(Modem)後面接Router>switch



如下圖,自己規劃的網路架構, 此圖規劃是否可行?


設備
Mikrotik RB4011
UniFi Poe 8 port Switch
UniFi UAP-AC-Lite



================================================================

解決方法:

此設定由a6595085大提供, 與感謝a6595085大的協助與幫忙,
並經由a6595085大同意整理移轉至#1


目前在"原問題"的網路架構下稍做修改,依下圖為主:

(#19文章)
最終網路架構圖如下, 參考~ (修改原問題之port位置,與加入防火牆、AP...等配置)

注意:

以下為a6595085大 原文章之教學,另橘色斜線標示:為根據上圖配置所修正

如下:

圖片上的文字部分與內文有出入，實際參數以文字為主，不要看圖片寫什麼就直接照打。


1.你要在環境中建立3個VLAN，分別是VLAN10/VLAN20/VLAN200
VLAN10對應到Modem1，20對應到Modem2，200對應到紅區，而藍區用預設的1就可。
並且在Switch上面也要建立對應的VLAN ID，並把網路線插到對應的孔位。
VLAN10(port 8)、VLAN20(port 7)、VLAN200 or 20(port 5)、VLAN1(port 1、2)、Trunk(port 6)。


------------------------------------------------------------------------------------------------

剩下固定IP紅區線路部分,尚有疑慮,目前測試釐清中~

*VLAN200 or 20(port 5)
此處若Switch Port5阜 VLAN200改為VLAN20,紅區的PC1電腦才能上網,也不能區網溝通,且完全隔離,但RB4011 Port5端 的紅區PC2無法上網
相對的改回VLAN200,紅區PC1電腦無法上網,但紅區PC2(RB4011 port5 :VLAN200)可以上網

目前是以 Switch Port5阜,設VLAN20
(才能使紅區PC1電腦VPN,設VLAN200則不能VPN連線)

在教學設定不變動前提下,
利用 RB4011的Port6阜來測試,並設定VLAN20 ,
因 Bridge_WAN2與VLAN20綁一起 (如下教學)
因在RB4011新增Port6做測試 ,故要在新增一條來綁:
Bridge_WAN2與Port6 綁一起

此時把紅區PC2改接置RB4011的Port6端,並在紅區電腦PC1設定電信給的其餘固定IP
(但似乎無法用DHCP自動分配了),便可上網 .

缺點:
會無法在同一區網,已完全隔離 ,故需還要再研究中

---------------------------------------------------------------------------------------------------


2.在/Bridge下建立4個Bridge，分別為Bridge_WAN1，Bridge_WAN2，
Bridge_LAN1，Bridge_LAN2(名稱你可以自己改)，
並將Bridge_LAN 1/2的ARP的設定改為proxy-arp。
(*proxy-arp:代理arp，以路由器自身的MAC回應客戶端對不同網段IP地址的ARP請求，
用於客戶端網關設置為其他網段IP或自身IP時，能與其他網段通信。)


3.在/Interface下建立3個VLAN interface，name可以自己取(下面暫稱VLAN 10/20/200)，
ID分別設定10/20/200，3個Interface都設定在Trunk(port 1)底下。


從/Bridge->Ports內設定Bridge_WAN1與VLAN10綁一起，
Bridge_WAN2與VLAN20綁一起，Bridge_LAN2與VLAN200綁一起，
Bridge_LAN1與Trunk口(port 1)、port 2/3/4/10這五項綁在一起。
Bridge_LAN2與 port 5 綁一起

3.接著在/Bridge->VLANs底下照著圖片設定，由於VLAN 1是綁在LAN 1上的，
因此你的Bridge要設定為Bridge_LAN1。

確定設定完成之後，回到Bridge_LAN1內的設定項，開啟這個選項。

*VLAN Filtering : 為VLAN開關ON/OFF,打勾即執行VLAN傳送,故在設定過程中先不要打勾,待設定完畢再打勾,以防錯誤,斷線無法繼續設定

4.在/PPP設定一個PPPOE，interface選擇Bridge_WAN1，
到這邊先檢查是否能成功撥號，若可以成功取得IP代表VLAN有通。
*IP>ADDRESSES 查看是否有取得IP

5.在/IP->Addresses內設定中華電信給你的固定IP，並將Interface設定為Bridge_WAN2。並到/IP->Route內把路由建立好，routing mark設work。
*設定固定IP封包進出的標籤work,怎樣進來怎樣出去,故打標籤判定固定IP封包

6.到這邊就可以先測試看看兩個出口是否都可以正常ping出去。
*Ping DNS 測試


7.設定Bridge_LAN1/2的IP地址
突然想到有漏掉一個步驟，那就是/IP->Addresses裡面沒有把Bridge_LAN1/2的IP設上去。
根據你的環境，參考圖片上的設定，把10.254/20.254分別加進去，
Network對應是10.0/20.0，Interface對應到Bridge LAN_1/2。

登入的時候IP輸入192.168.10.254試試看，待後面步驟設定完,理論上就可以登入了。


接下來，先到/IP->Pool內建立兩個IP群，分別為192.168.10.0/24與20.0/24。
名字隨意取(這邊暫稱dhcp_lan1/2)。


8.在/IP->DHCP Server中開兩個Server，名字隨意(這邊暫稱DHCP_LAN1/2)。
並且分別將Interface對應到Bridge_LAN1/2上，Address pool照對應設定(dhcp_lan1/2)。


9.在Networks項分別設定10.0/24與20.0/24的部分。


10.到/IP->Routes內設定出口，10.0/24對應的Gateway是LAN1，20.0/24對應LAN2。

11.到此，理論上整個區域網路應該就架好了，你可以在區網下對其他電腦互Ping看看。

12.接著是要處理封包的出口問題，這部分比較複雜，首先處理masquerade的部分。
先在/IP->Firewall->Address List下，建一個List取名為LAN，加入10.0/24與20.0/24。
到NAT下新增一項，Chain設為src-nat，Src. Address List設LAN，Action設masquerade。
到這邊，可以先測試看看LAN1的電腦是不是都可以正常上網了。

13.再來切到/IP->Firewall->Mangle下，照著圖片設定。


理論上完成上述13個步驟就可以成功達成你要的環境，如果有問題歡迎再提出來。
中間可能有漏掉一點基本設定的說明，這個部分再自己補上就可以了。

================================================================

#10 問題:
藍線路 能正常上網了,但在藍線路的電腦,無法登入winbox進行ROS設定,變成要把網路線拔掉插在路由器 1/2/3/4/10 port以外的port才能進入ROS設定,但是進入設定後過一段時間就自動斷開了.
*之前在ROS設定下是使用ROS預設狀態下設定,會出錯,才會有上面#10問題
需移除預設設定:
重置路由後, 點 Remove Configuation 按鈕，將所有的設定值全部清除
否則會有以下預設：
會建立ETH2~X 的橋接(看機型port數)
會建立DHCP server
會建立IP address
RouterOS 6.41 移除Master-Port 改Bridge



#10 a6595085大的 解答:


沒記錯的話這部分主要是/IP->Discovery這邊影響的，

因此Interface List要把新建的Bridge加進去。

可以參考下圖更改成你環境的設定，把Bridge_LAN1跟Bridge_LAN2加進去LAN就可以了。

如果還不行的話，要檢查你設定前原先firewall設定有沒有全部清乾淨，可能有被擋掉。

而上面的Discorvery主要是影響Winbox的Neighbor項，可以使用MAC登入的功能




-END-