Настройка VLAN

Беспроводная точка доступа серии N, до 300Мбит/с
Ответить
ZAMU4ENNII
Сообщения: 7
Зарегистрирован: 10 апр 2019, 21:44
Страна: Russia

Настройка VLAN

Сообщение ZAMU4ENNII » 10 апр 2019, 22:19

Название темы: Настройка VLAN
Аппаратная версия устройства: 5
Версия встроенного ПО: 3.16.9 Build 180308 Rel.42508n (BETA)
Режим работы: Точка доступа
Описание проблемы:
Здравствуйте!

Настраиваю точку доступа TL-WA901ND в режиме Multi-SSID
У самой точки доступа на эзернет порту IP: 192.168.1.3

В качестве основной машины, к которой подключена точка доступа выступает ПК с Kerio Control (запущен в VirtualBox под Windows).
К машине подключены две сетевые карты:
1-WAN смотрит на провайдера;
2-LAN подключена к неуправляемому хабу, к которому присоединены остальные устройства сети, в том числе и точка доступа (знаю что это неправильно, но пока так, потом сменю на управляемый).

На машине с Керио настройки интерфейсов такие:
1-WAN = DHCP от провайдера
2-LAN = 192.168.1.1

На LAN подняты:
VLAN-20 192.168.3.1
VLAN-30 192.168.4.1

Интерфейсы пингуются из внутренней сети и из ВЕБ-интерфейса точки доступа.

На самой точке доступа создаю SSID и VLAN-ы:
SSID-1 VLAN-1 Основной, который виден в нетегированной сети, работает нормально, пакеты идут.
SSID-2 VLAN-20 нет связи
SSID-3 VLAN-30 нет связи

Подключаю к SSID 2 и 3 устройства и ставлю им статические IP из области 192.168.3.XXX и 192.168.4.XXX соответственно.
Всё запускается, устройства к точке доступа подключаются, никаких ошибок нет.
При этом пинги от подключенных устройств в локалку не уходят, саму точку доступа и интерфейсы Керио они не пингуют (192.168.1.3 192.168.3.1 192.168.4.1).
Из локальной сети, из Веб-интерфейса точки доступа, из Веб-интерфейса Керио подключенные устройства тоже не пингуются и трафик не идёт.

Такое ощущение, что нет маршрута или срабатывает какой-то скрытый межсетевой экран, который не даёт проходить пакетам от/к подключенным устройствам.

В Керио все разрешающие правила настроил, уже всем всё разрешил, Влан-интерфейсы в доверенные внёс.
В настройках самой точки доступа особо ничего не изменишь.
На всякий случай подключал напрямую к сетевой карте, без хаба, но ничего не изменилось.

Вопрос - куда копать?
Может это Виндовс отрезает тегированные пакеты при их поступлении на сетевую плату, но тогда хоть саму точку доступа подключенные устройства должны пинговать, и с неё же должны пинговаться, а тут - тишина.
Пожалуйста, подскажите.

ZAMU4ENNII
Сообщения: 7
Зарегистрирован: 10 апр 2019, 21:44
Страна: Russia

Re: Настройка VLAN

Сообщение ZAMU4ENNII » 11 апр 2019, 00:20

Дополнение
Поставил отдельную сетевую карту, в её свойствах отключил все компоненты, кроме VirtualBox и пробросил её в Керио.
Проверил в диспетчере устройств включена ли поддержка больших кадров и VLAN у этой сетевой карты - там всё включено.
Вроде как уже и не Windows виновата.

И поскольку интерфейсы Керио нормально пингуются (из Веб-интерфейса точки доступа и из сети), тогда у меня большое подозрение на саму точку доступа, получается что именно она не пропускает трафик от/к клиентам висящим на SSID с VLAN-ами.

reaper
Модератор
Модератор
Сообщения: 303
Зарегистрирован: 03 июн 2017, 20:11
Страна: Россия

Re: Настройка VLAN

Сообщение reaper » 11 апр 2019, 11:22

Со стороны точки доступа могу сказать только одно. Когда у Вас есть 3 SSID с 3 VLAN ее порт просто становится транковым т.е. политика TAGGED с VLANами, которые указаны у SSID.
Либо на Вашей машине неверно настроены PVID, мб порты access(untag), а не trank(tag), либо неуправляемый "хаб"(я думаю это все же коммутатор, а не концентратор) не умеет коммутировать трафик с тегами(обычно такое бывает, если MTU устройства не достаточное).

ZAMU4ENNII
Сообщения: 7
Зарегистрирован: 10 апр 2019, 21:44
Страна: Russia

Re: Настройка VLAN

Сообщение ZAMU4ENNII » 11 апр 2019, 11:48

reaper писал(а):
11 апр 2019, 11:22
Со стороны точки доступа могу сказать только одно. Когда у Вас есть 3 SSID с 3 VLAN ее порт просто становится транковым т.е. политика TAGGED с VLANами, которые указаны у SSID.
Либо на Вашей машине неверно настроены PVID, мб порты access(untag), а не trank(tag), либо неуправляемый "хаб"(я думаю это все же коммутатор, а не концентратор) не умеет коммутировать трафик с тегами(обычно такое бывает, если MTU устройства не достаточное).
Приветствую!
В свойствах коммутатора указана поддержка Jumbo Frame, но я на всякий случай пробовал подключать точку доступа напрямую к сетевой карте, результат, увы, не изменился.

Тогда вопрос, почему с точки доступа не пингуются подключенные устройства, и почему она не пингуется с них?
Имею в виду устройства подключенные именно через те SSID, которые с VLAN-ами.

ZAMU4ENNII
Сообщения: 7
Зарегистрирован: 10 апр 2019, 21:44
Страна: Russia

Re: Настройка VLAN

Сообщение ZAMU4ENNII » 17 апр 2019, 12:42

Здравствуйте, господа!

Таки я сделал этот чертов VLAN.
До всех озвученных ниже манипуляций тегированный трафик не шёл нормально через Виндовс или VirtualBox, поэтому сколько бы в виртуалке на LAN интерфейсе Керио я не конфигурировал VLAN-ы - пакеты не долетали.
В этом плане выше Reaper был прав.

Если кому-то интересно - рассказываю.

ВАЖНО!!!
Ниже описан способ, который годится для временного решения или для проведения экспериментов, потому что поднимать VLAN в Виндовс, строить и применять мосты в Винде, а до кучи еще использовать неуправляемую коробочку - это считайте что самый дешевый цирк шапито.
По части стабильности, надёжности, безопасности и логичности всё это может принести не самые хорошие результаты, поэтому действуйте на свой страх и риск!

:arrow: Задача и цели:
В наличии у нас была точка доступа, неуправляемый коммутатор, ПК с Виндовс в качестве хоста, на котором в VirtualBox (далее по тексту - VB) запущено несколько машин, в том числе Керио.
В свойствах WAN-овской сетевухи были убраны галочки со всех сервисов, кроме VB, таким образом Интернетовский трафик шел сразу в виртуалку.
Вторая сетевая карта смотрит в локальную сеть (LAN) и к ней через коммутатор подключена точка доступа.
Нужно было поднять на точке доступа еще пару SSID для гостей и разных умнодомовых устройств, и привязать SSID-ы к разным VLAN, чтобы всё это хозяйство не пересекалось и не сплетничало без дела.

Итак, разделим нашу спецоперацию на фазы :twisted:

1-Скачиваем особый софт для сетевой карты, который позволяет нормально принимать VLAN пакеты.
Это может быть драйвер или утилитка, которая производит перенастройку в глубине системы.
:idea: Внимание(!) не каждая сетевая карта имеет такую возможность, тут нужно гуглить под конкретную модель и совершать свои определённые танцы с бубном.
Моя, слава Богу, умеет, поэтому скачал софтинку от Реалтека и создал VLAN.
По такому поводу Виндовс скрипнула, чихнула, пукнула, но родила в итоге виртуальную сетевую карточку, которая отдельно начала ловить пакеты с указанным VLAN.

На всякий случай в свойствах сетевой карты (диспетчер устройств) я проверил включена ли там поддержка VLAN и JumboFrame.

2-Оказалось, что виртуальная сетевая карта не имеет (и не даёт поставить) в своих свойствах драйвер VB, а значит и добавить её в виртуалку мостовым соединением нельзя.
Не факт, что такие проблемы будут у Вас, но скорее всего будут.
Эту задачку я решил так - создал виртуальную сетевую карту в VB и объединил её мостовым соединением с ранее созданной виртуальной сетевой картой Реалтек для VLAN.
Прописал мостику ИП-шник предполагаемого будущего VLAN-а и добавил его мостовым соединением в VB (здорово и запутано, да? :ugeek: )

3-В VB в свойствах сетевой карты смотрящей на LAN выставлен на всякий случай неразборчивый режим (промискуитет), анаологичный режим нужно выставлять и в других виртуалках.

4-Запустил Керио, в нём настроил вновь добавленному интерфейсу адрес.

5-В керио отключил антиспуфинг от греха подальше, прописал правила межсетевого экрана на прохождение трафика (например, можно дать доступ к DHCP, к Интернету, к некоторым машинам в локалке и т. д.)

6-На точке доступа запустил Multi-SSID и присвоил VLAN второму SSID-у.

Всё, с этого момента стало нормально подключаться, пинговаться и т. д.
Ура! :P

====================================================

P. S.
К сожалению, Винда даёт создать только один мост, поэтому дополнительные VLAN-ы Вы сможете лишь добавить к уже существующему мосту, что не есть хорошо (будет каша).
Поэтому мы опять же приходим к тому, что:
А-Нужно использовать управляемый коммутатор с настроенными портами, а уже от этих портов отдельное подключение на разные сетевые карты;
Б-Либо Керио (какой-то другой агрегат/софт) должен быть запущен автономно, не в виртуалке, чтобы тегированный трафик нормально шёл на его LAN интерфейс;
В-Либо виртуалку нужно запускать под Линуксом, с нормальным разделением VLAN-ов (не факт, что тегированный трафик нормально пройдёт к гостевой машине);
Г-Либо нужно виртуализировать в XEN, ESXi с совсем другим уровнем виртуализации.
Вот такие вот дела.

Буду рад если эти приключения кому-нибудь принесут пользу и сэкономят время, ресурсы, силы.

P. P. S.
Я конечно понимаю, техническая поддержка местная не обязана решать такие задачки, ведь это, как оказывается, не связано напрямую с оборудованием TP-Link.
Я так же понимаю, что зачастую эти обязанности навешиваются на них силой, особо не оплачиваются и не учитываются.
Но всё же есть некоторый осадок от того, что на тему просто забили, разбирайся как хочешь, юзер, это твои проблемы, и железка с производства снята, е$ись оно конём и гори синим пламенем!
Думаю, что можно было подсказать, помочь, несколько наводящих вопросов задать и попытаться разобраться.
Довольно много железа этого производителя ранее покупал для разных проектов, а теперь вот буду искать кого-то более отзывчивого в сложных случаях.

Желаю Вам счастья, здоровья, любви, и просто чтобы всё было хорошо!
Всех благ! :mrgreen:

reaper
Модератор
Модератор
Сообщения: 303
Зарегистрирован: 03 июн 2017, 20:11
Страна: Россия

Re: Настройка VLAN

Сообщение reaper » 25 апр 2019, 19:28

Поддерживаю вариант с использованием управляемого свитча. По части "забития" на тему, дело не в том, что мы не хотим что-то сделать. Я описал механизм работы точки доступа с точки зрения VLAN и указал на неверный конфиг VLAN на сервере. К сожалению собрать схемы всех клиентов, установить все виртуальные машины и изучить механизмы работы разных ос еще и в разных виртуальных средах типа virtualbox, vmware и т.п. у нас нет физической возможности. В данном случае, если проблема локализована в ОС/ виртуальной машине у каждого программного продукта есть также саппорт или комьюнити, где Вам помогут куда более просто, быстро и со знанием своего продукта.

ZAMU4ENNII
Сообщения: 7
Зарегистрирован: 10 апр 2019, 21:44
Страна: Russia

Re: Настройка VLAN

Сообщение ZAMU4ENNII » 13 июн 2019, 15:42

reaper писал(а):
25 апр 2019, 19:28
Поддерживаю вариант с использованием управляемого свитча. По части "забития" на тему, дело не в том, что мы не хотим что-то сделать. Я описал механизм работы точки доступа с точки зрения VLAN и указал на неверный конфиг VLAN на сервере. К сожалению собрать схемы всех клиентов, установить все виртуальные машины и изучить механизмы работы разных ос еще и в разных виртуальных средах типа virtualbox, vmware и т.п. у нас нет физической возможности. В данном случае, если проблема локализована в ОС/ виртуальной машине у каждого программного продукта есть также саппорт или комьюнити, где Вам помогут куда более просто, быстро и со знанием своего продукта.
Что же, и то верно, всех вариантов не предусмотришь, тем более, что Вы этого и не обязаны делать.
В любом случае спасибо Вам и всех благ!

Ответить

Вернуться в «TL-WA901ND»