MANUAL: Mikrotik, bridge VLAN filtering

Pero, ¿y si quiero bloquear el tráfico de una VLAN a otra, por ejemplo? Para ello necesitaré tener activa esta opción para bloquear ese tráfico en el firewall IP, a no ser que lo haga en los filters del bridge. En todo caso entiendo que lo que no me recomiendas es tener activa la opción de "use IP firewall" dejando la de "Use IP firewall for VLAN", ¿es correcto mi planteamiento?

Me respondo a mí mismo, y como no hay nada mejor que probar, es lo que he hecho. He desactivado "Use IP Firewall" en el bridge (y por extensión se desactiva también el check de "Use IP firewall for VLAN") y me bloquea el tráfico entre VLANes en el IP firewall.
 
Pero, ¿y si quiero bloquear el tráfico de una VLAN a otra, por ejemplo? Para ello necesitaré tener activa esta opción para bloquear ese tráfico en el firewall IP, a no ser que lo haga en los filters del bridge. En todo caso entiendo que lo que no me recomiendas es tener activa la opción de "use IP firewall" dejando la de "Use IP firewall for VLAN", ¿es correcto mi planteamiento?
No, para nada. No marcas ninguna de las dos. La comunicación inter-vlan la capas en L3, en el firewall del equipo que haga de router. A nivel de L2 en un switch no están comunicadas, obviamente, pero en un router mikrotik sí que van a estar comunicas en L3 por defecto. Cosa que impides vía firewall normalmente.

Sí, el tráfico multicast estaría en la LAN, aparte del desco de Movistar están conectadas IPTVs.

Me temo que el no tener activado IGMP podría ser el problema de que en varios puertos a los que están conectadas dichas IPTVs me estén dando continuos port flappings, ya que el cableado es correcto y es conexión directa de interfaz switch a TV. No le encuentro otra explicación.
Más que probable. Y, si quieres un consejo, yo crearía un segundo bridge solo para el tráfico multicast. Así no le jodes el hardware offloading, si lo tienes disponible, para el bridge principal.

Saludos!
 
Hola de nuevo!!!

Perdona que tardará tanto en responder, llevo estás dos semanas peleandome con los switch haciendo la actualización y volviendo para atrás ya que el resultado ni es el esperado ni la comunicación es fluida.

Empiezo a plantearme comprar un router en condiciones para que se encargue de repartir internet y dejar los swicth como lo que son, switch! jajajjaja

Te comento por encima, esa configuración que me habías pasado no me funcionaba, tenía perdida de paquetes no tenía comunicación con el 3 siwtch (en parte por un fallo mío, no te díje que estaba conectado "Router CCr 1" a "Switch CCR 2" por la boca 2 y "Switch CCR 2" al "Switch CCR 3" por la boca 3, así que hice las modificaciones pertinentes y más o menos iba.

Lo tengo funcionando de la siguiente forma "Switch CCR 2" "Switch CCR 3" en la 6.48.3 y el Router en 6.39.1
 

Adjuntos

  • adslzone.zip
    6.3 KB · Visitas: 26
Échale un vistazo a la documentación, donde explican los errores más comunes de L2 (layer2 misconfigurations). Tienes al menos uno de ellos: vlan en un bridge con una interfaz física.

Por otro lado, si vas a usar birdge-vlan-filtering, las vlans todas al bridge, y dentro de la configuración de vlans del bridge, ya decides quien es tu puerto trunk, taggeando a él todas las vlans que necesites; no las crees sobre ether2.

Revisa también estos ejemplos que aparecen en esta página de la wiki: https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge

Coleta (o el switch que haga de router), seguiría el patrón 3, VLAN Example #3 (InterVLAN Routing by Bridge), mientras que los switches puros seguirían el 1, VLAN Example #1 (Trunk and Access Ports)

Saludos!
 
Última edición:
Échale un vistazo a la documentación, donde explican los errores más comunes de L2 (layer2 misconfigurations). Tienes al menos uno de ellos: vlan en un bridge con una interfaz física.

Por otro lado, si vas a usar birdge-vlan-filtering, las vlans todas al bridge, y dentro de la configuración de vlans del bridge, ya decides quien es tu puerto trunk, taggeando a él todas las vlans que necesites; no las crees sobre ether2.

Revisa también estos ejemplos que aparecen en esta página de la wiki: https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge

Coleta (o el switch que haga de router), seguiría el patrón 3, VLAN Example #3 (InterVLAN Routing by Bridge), mientras que los switches puros seguirían el 1, VLAN Example #1 (Trunk and Access Ports)

Saludos!

Ok! Es exactamente lo que me pasa el misconfigurations loops y perdida de conexión, a ver si doy sacado una configuración decente!

Basandome en la segunda, fue como hice la configuración del Swicth 2 y 3.

Muchas !!
 
Bueno, pues te cuento...

Al final, directamente hice un reset de fabrica puse el primero como router, añadí bridge, vlan y los otros dos switch los puse como bridge con las mismas vlan, bridge y me funciona todo, ya me pararé a afinar más!
 
Genial, me alegro de que ya lo tengas funcionando.

Saludos!
 
Hola @pokoyo si tengo un Router Audience y un switch Lynksis LGS308 8-port y quiero empezar a crear VLANs, viendo tu ejemplo del manual, como el Audience solo tiene un puerto LAN, y en el switch también puedo hacer VLANs ¿por dónde empiezo? Crear vLAN en ambos? Si por ejemplo quiero montar 3 VLANs? Y luego como hago que VLAN 1 y VLAN 3, por ejemplo se vean entre ellas?

Gracias
 
Hola @pokoyo si tengo un Router Audience y un switch Lynksis LGS308 8-port y quiero empezar a crear VLANs, viendo tu ejemplo del manual, como el Audience solo tiene un puerto LAN, y en el switch también puedo hacer VLANs ¿por dónde empiezo? Crear vLAN en ambos? Si por ejemplo quiero montar 3 VLANs? Y luego como hago que VLAN 1 y VLAN 3, por ejemplo se vean entre ellas?

Gracias
Pues, siguiendo el manual, tu puerto taggeado o trunk sería el que conecta el Audience con el switch. En el switch, las vlans irían todas taggeadas en el puerto que conecta con el Audience, y luego en modo acceso o untagged allá en el puerto donde las necesites.

No tiene mucho más misterio. A nivel de L3, en el router, todas están comunicadas entre sí, así que necesitarás reglas de firewall que hagan lo contrario, incomunicar las que no quieres que se vean.

Saludos!
 
Arriba