2 роутера в одной сети, 1 для main, 2 для VLAN возможно ли?

[makstruschenko]

Друзья, всем привет

Есть сеть с USG-Pro-4 + 2 управляемых Unifi свича US-48-G1, в сети есть несколько машин которые постоянно что то качают и забивают канал, сеть к примеру 192.168.1.........

есть еще одна миниподсеть 192.168.3........

вопрос: возможно ли создать средствами UNIFI какую нибудь 192.168.3..... VLAN сеть, чтобы хостом там выступал роутер 2ой подсети, и засунуть туда качающие машины?
тем самым освободим первый хост от нагрузки качающих?

роутер от первой минисети есть возможность воткнуть в один из управляемых свичей первой сети

буду рад любой помощи по этому вопросу, спасибо

 

[fAntom]

VLAN контроллером поддерживается. Можно попробовать создать ещё один профиль (site).

 

[dimacbz]

Здравствуйте.

Как например у меня, но на микротиках:

Есть 5 шлюзов в разных местах (подача интернета от провайдера статикой). Везде, где эти шлюзы - стоят микротики (без dhcp, все порты объеденены в бридж, кроме ETH1 (wan) порта, кроме 1-го, на котором запушен dhcp, назовем его основным роутером (или МИК1).

По умолчанию, все пользователи, которые подключаются к сети, используют шлюз (интернет) МИК1. Чтобы мне например указать определенному IP адресу использовать другой шлюз, например МИК2, я перехожу во вкладку IP - dhcp server - networks - и создаю запись с IP адресом пользователя, которое он использует и указываю шлюз, который ему необходимо использовать. Вот и всё. Локальная сеть общая и есть возможность указывать кому и каким шлюзом пользоваться.

Также в сети есть отдельная сеть с vlan - с указанием иного шлюза для выхода в интернет. Основное оборудование всё Mikrotik. Для wifi используем в том числе UniFi.

 

[makstruschenko]

удалось настроить VLAN c сторонним роутером\хостом и через порты назначать пользователям в какую сеть идти
но есть одна проблема что Main и VLAN не видят ресурсы друг друга, а надо чтобы VLAN видели ресурсы сети MAin
Enable port isolation выключено

 

[fAntom]

Хоть и старая информация, но может поможет:

https://community.ui.com/questions/Routing-Traffic-Between-VLANs-Basic-Questions/3cc07352-5485-4648-8973-0cc40014bb62

https://community.ui.com/questions/How-do-I-route-between-VLANs/1cffb12f-1aaf-47fd-b685-4f727ce4a10c

хотя ссылки, в них, на официальные советы вполне современные.

 

[makstruschenko]

спасибо за ссылки, но пока так и не удалось заставить пока видеть друг друга, хоть VPN Syte to Syte поднимай)) кстати это сработало))) но через инет трафик гонять не дело
хотя везде написано что VLAN по дефолту видны друг для друга, возможно что хосты разные?

 

[fAntom]

удалось настроить VLAN c сторонним роутером\хостом

Каким образом, что-то еще добавляли в сеть?

 

[makstruschenko]

Каким образом, что-то еще добавляли в сеть?

тут довольно интересная конструкция:
Есть роутер(192.168.3.1) в него воткнут провайдер -> далее в него воткнута радиомост Nanostation(192.168.3.29) которая транслирует, а принимает еще один радиомост Nanostation(192.168.3.30) который в свою очередь воткнут в свич основной сети (192.168.1........)

создана VLAN c роутером Third-Party Gateway и VLAN ID 3
я через порты в свичах выделил в VLAN 2 антенны радиомоста, где роутер(192.168.3.1) раздает на всю VLAN сеть DHCP и добавил сюда для теста свой ноутбук (192.168.3.188)
и вот эта VLAN полностью изолирована от main lan (192.168.1........)
как бы все работает, инет, локальные радиомосты, роутер все видно, пингуется но нет доступа к main
через VPN все работает, syte to syte работает, LAN(VLAN) + WI(main) тоже работает но это все костыли

 

[zhenyat]

Вы же понимаете что vlan и предназначены для изоляции сетей друг от друга? Если вы хотите обмениваться траффиком между vlan - вам нужен либо маршрутизатор имеющий интерфейсы в обоих vlan с разрешённым трафиком между этими интерфейсами назначенный шлюзом по умолчанию, либо дополнительный маршрутизатор с теми же настройками, но в сетях надо будет настраивать маршруты друг к другу через этот шлюз.
Ещё бывают свичи с возможностью маршрутизации vlan, но кажется именно unifi свичи такое не умеют

 

[fAntom]

Предполагалось, что Вы настраивать сети будете на одном устройстве/связке устройств (оно бы и осуществляло маршрутизацию), не использую сторонние.

 

[makstruschenko]

Вы же понимаете что vlan и предназначены для изоляции сетей друг от друга? Если вы хотите обмениваться траффиком между vlan - вам нужен либо маршрутизатор имеющий интерфейсы в обоих vlan с разрешённым трафиком между этими интерфейсами назначенный шлюзом по умолчанию, либо дополнительный маршрутизатор с теми же настройками, но в сетях надо будет настраивать маршруты друг к другу через этот шлюз.
Ещё бывают свичи с возможностью маршрутизации vlan, но кажется именно unifi свичи такое не умеют

да, конечно понимаю, но даже в случае UNIFI если VLAN подсети дать шлюз от Main подсети и грохнуть все правила, то VLAN и LAN видят ресурсы друг друга, как я понимаю тут как раз дело в том что стоит сторонний маршрутизатор

 

[fAntom]

Вот на нем и настраивайте.

 

[makstruschenko]

Предполагалось, что Вы настраивать сети будете на одном устройстве/связке устройств (оно бы и осуществляло маршрутизацию), не использую сторонние.

так устройство свич что на диаграмме выше и является одним устройством -> US-48-G1

 

[makstruschenko]

Вот на нем и настраивайте.

так мне не нужно чтобы LAN и Vlan использовали один и тот же хост, задача как раз в том чтобы разделить эти сети на использование разных маршрутизаторов

 

[zhenyat]

так устройство свич что на диаграмме выше и является одним устройством -> US-48-G1

Ещё раз повтою, юнифай свечи не умею интервлан маршрутизации.

так мне не нужно чтобы LAN и Vlan использовали один и тот же хост, задача как раз в том чтобы разделить эти сети на использование разных маршрутизаторов

Ну так и пропишите в настройках этих сетей разные маршрутизаторы по умолчанию. Dhcp то сервер же вы контролируете? Или ручками на каждой машине, если dhcp нет.
А если надо чтобы они ещё и между собой могли общаться, тогда надо прописать ещё и маршруты друг в друга через общий для обоих маршрутизатор.
Но в таком случае и вланы то не нужны - можно было просто для разных хвостов разные шлюзы по умолчанию прописать

 

[makstruschenko]

Ещё раз повтою, юнифай свечи не умею интервлан маршрутизации.

Ну так и пропишите в настройках этих сетей разные маршрутизаторы по умолчанию. Dhcp то сервер же вы контролируете? Или ручками на каждой машине, если dhcp нет.
А если надо чтобы они ещё и между собой могли общаться, тогда надо прописать ещё и маршруты друг в друга через общий для обоих маршрутизатор.
Но в таком случае и вланы то не нужны - можно было просто для разных хвостов разные шлюзы по умолчанию прописать

так это же разные сегменты сети? как я для 192.168.3..... пропишу маршрутизатор 192.168.1.1?
по DHCP:
в main LAN сети - Unifi dhcp really на dhcp сервер на DC
в VLAN - роутер 192.168.3.1 раздает

 

[zhenyat]

так это же разные сегменты сети? как я для 192.168.3..... пропишу маршрутизатор 192.168.1.1?
по DHCP:
в main LAN сети - Unifi dhcp really на dhcp сервер на DC
в VLAN - роутер 192.168.3.1 раздает

Эти сети физически на одной инфраструктуре? Обе сети заведены на контролере unifi?

1. На стороннем маршрутизаторе поднимаете второй интерфейс, назначаете ему майновский влан и адрес из майновской сети, например 192.168.1.254.
2. На нем же настриваете маршрут из влановской сети в сеть майн через влановский адрес (первый интерфейс) или ещё как то разрешаете маршрутизацию между интерфейсами - зависит от ПО этого шлюза
3. На контролере юнифай создаете статик роут в сеть влан через этот адрес (192.168.1.254)

В принципе этого должно быть достаточно

 

[makstruschenko]

Эти сети физически на одной инфраструктуре? Обе сети заведены на контролере unifi?

1. На стороннем маршрутизаторе поднимаете второй интерфейс, назначаете ему майновский влан и адрес из майновской сети, например 192.168.1.254.
2. На нем же настриваете маршрут из влановской сети в сеть майн через влановский адрес (первый интерфейс) или ещё как то разрешаете маршрутизацию между интерфейсами - зависит от ПО этого шлюза
3. На контролере юнифай создаете статик роут в сеть влан через этот адрес (192.168.1.254)

В принципе этого должно быть достаточно

"Эти сети физически на одной инфраструктуре? Обе сети заведены на контролере unifi?" - да

спасибо, попробую переварить что вы написали, правда есть наверное одна проблема, роутер на той стороне супер дешевый(950р tenda), и думаю маловероятно что на нем можно что то похожее сделать
у меня еще есть один USG, если его воткнуть на вход от моста, а на нем уже придумывать что то, хотя 2 USG в 1 сайт не одобтятся вроде, а для VLAN там вообще особо настроек нет, то это может чем то помочь?

 

[zhenyat]

роутер на той стороне супер дешевый(950р tenda), и думаю маловероятно что на нем можно что то похожее сделать

А заменить его на тот же второй usg?

хотя 2 USG в 1 сайт не одобтятся вроде

Почему? Я, правда не проверяла, но не вижу причин, почему бы нельзя было бы два и больше usg в сайт заадоптить - может местные гуру юнифай смогут прояснить этот вопрос?

 

[makstruschenko]

А заменить его на тот же второй usg?

Почему? Я, правда не проверяла, но не вижу причин, почему бы нельзя было бы два и больше usg в сайт заадоптить - может местные гуру юнифай смогут прояснить этот вопрос?

предлагает только основной заменить