Buondì, vorrei renumerare la rete di casa visto che la momento è attaccata insieme con lo scotch e vorrei cogliere l'occasione per segmentare la rete.

Il problema è che il router in questione ha 3 posti diversi per settare le VLAN e non riesco bene a capire quale sia il modo migliore di procedere.

Ho capito a grandi linee le differenze (Switch tagga in hardware, Interface tagga sulla CPU e Bridge un misto delle due) però ho pure letto che i moduli Switch del RB4011 sono di bassissima qualità e non sopportano manco offload dello switching tra due host sulla stessa VLAN dello stesso switch (ma serio?) senza passare dalla CPU.

Qualcuno ha qualche dritta da darmi?

Questo è il setup che vorrei attuare:

ether1 - WAN - taggo sulla CPU come sto facendo ora che tanto il traffico ci deve passare lo stesso

ether7 - VLAN 20
ether8 - Raspberry, da decidere
ether9 - VLAN 10
ether10 - access point mikrotik che deve trasportare tutte le VLAN (trunk)

VLAN 10 è quella più privilegiata e ci metterei il mio desktop e portatile, ha accesso a tutto e connettività IPv6 tramite tunnel, usa DNS interno con Adblock sul raspberry.
VLAN 20 è quella di tutti gli altri dispositivi come Smart TV, cellulari, Sky eccetera. Non ha regole particolari, ed ha accesso a tutto. No IPv6, DNS Google/Quad9
VLAN 30 è per l'IoT, non deve andare in Internet.
VLAN 40 Rete Ospiti, deve solo poter andare in internet, DNS Google/Quad9.

Accetto ovviamente consigli su quali dispositivi mettere dove 😃

Per quanto riguarda il Raspberry, è l'unico host esposto in internet tramite port forwarding, vorrei dargli anche a lui il suo IPv6. Secondo voi come è meglio procedere? VLAN a parte solo per lui? Lo metto nella VLAN 10?

Il problema è che il Raspi ha anche home assistant, che sarebbe meglio se riuscisse a risolvere gli mDNS che sono nella rete dell'IoT... forse potrei mettergli due VLAN usando una interfaccia virtuale ma mi sembra una cosa un po' junky e la probabilità di chiudermi fuori nel cambiare le impostazioni di rete è altissima... e non ho un cavo microhdmi se succede 🤣

Attendo pazientemente consigli... È un lavoro che devo fare da mesi ma non ho mai avuto tempo, ora ho tempo fino a lunedì per sistemare tutte ste cose in sospeso.

    A parte la wan, io ho tutto su un unico bridge con vlan filtering attivo e tanti saluti.
    Dopodichè

    • Il bridge è membro tagged di tutte le VLAN (in modo da poterci fare routing sopra)
    • Le varie porte trunk sono membri tagged delle rispettive VLAN.
    • Le porte untagged (ether7) hanno la VLAN configurata via PVID (da Bridge -> Interfaces)

    Per assegnare gli IP ho semplicemente creato le VLAN come slave del bridge dal menu interfaces e via.

    Questione raspberry... il mio è membro di due VLAN, lato linux ci sono le vlan configurate e c'è l'mdns repeater attivo (via avahi). Lato docker le vlan sono gestite con macvlan e funzionano

      edofullo non sopportano manco offload dello switching tra due host sulla stessa VLAN dello stesso switch (ma serio?) senza passare dalla CPU.

      Tanto se devi fare un minimo di QoS (per il voip e per evitare il bufferbloat) l'offload hardware è da disattivare totalmente comunque. La cpu dell'RB4011 è comunque più che sufficiente.
      Se ti serve uno switch, collegaci uno switch, lascia stare quelli nel router.

      edofullo (Switch tagga in hardware, Interface tagga sulla CPU e Bridge un misto delle due)

      Il Bridge è "misto" perchè in teoria se capisce che l'hardware ha le funzioni, usa quello, altrimenti fa fallback sulla gestione software. Ma questo succede praticamente solo sui CRS serie 3xx e qualche rara eccezione al di fuori di quella linea.

      Usa pure la gestione VLAN sulla CPU e così poi puoi farci quel che vuoi (Queue o altro).

            edofullo ma mi sembra una cosa un po' junky e la probabilità di chiudermi fuori nel cambiare le impostazioni di rete è altissima... e non ho un cavo microhdmi se succede 🤣

            L'unica alternativa per fare andare il mDNS è riuscire a fare andare qualche specie di multicast-forwarding tra VLAN_IoT e VLAN_Privilegiata, che mi sembra molto più junky e potenzialmente insicuro.

            Potresti configurare la porta fisica del Raspberry come "untagged" per la VLAN_Privilegiata(10) e "tagged" per la VLAN_IoT(30), a quel punto l'interfaccia eth0 del Raspberry si vede la VLAN10 anche senza alcuna configurare, e ti basta creare l'interfaccia alias eth0.30 per accedere alla VLAN_IoT

                • [cancellato]

                • Messaggio #6

                lore20 Potresti configurare la porta fisica del Raspberry come "untagged" per la VLAN_Privilegiata(10) e "tagged" per la VLAN_IoT(30)

                Personalmente sconsiglio questo approccio. Se trunk deve essere, che trunk sia, tutto tagged e passano i dubbi.

                    nanomad Sto provando con questa configurazione.

                    Qualcosa sembra andare ma sto anche cerando di non rompere la wifi per i miei quindi ho margina di manovra limitato.

                    Per qualche strano motivo il CAP non sembra essere in grado di contattare CAPSMAN sulla vlan.

                    LSan83 Tanto se devi fare un minimo di QoS

                    Il QoS non posso farlo comunque per colpa della PPPoE

                    lore20 L'unica alternativa per fare andare il mDNS è riuscire a fare andare qualche specie di multicast-forwarding tra VLAN_IoT e VLAN_Privilegiata

                    [cancellato] Se trunk deve essere, che trunk sia, tutto tagged e passano i dubbi.

                    Quindi dite di mettere il raspi nella privilegiata? Io avevo pensato che essendo l'unico host che accetta connessioni dall'esterno forse era meglio non metterlo nella VLAN che può vedere tutto il resto.

                              • [cancellato]

                              • Messaggio #8
                              • Modificato

                              edofullo No, io dico di non mischiare untagged e tagged 😉

                              Buona idea di isolare in "DMZ" ciò che è esposto all'esterno, non gli farei però vedere nulla di rete interna privilegiata, in modo che non possa essere usato come "testa di ponte".

                              Finché non attivi il filtro VLAN sul bridge di fatto mette i tag ma restano tutte switched comunque... Fa un po' di casino mikrotik con le VLAN.

                              edofullo QoS non posso farlo comunque per colpa della PPPoE

                              Perché?

                                    [cancellato] Fa un po' di casino mikrotik con le VLAN.

                                    Ho notato...

                                    [cancellato] Perché?

                                    È single core, appena disattivi il Fast Track riesce a tenere il gigabit a malapena con un core al 90% di utilizzo.
                                    Se abiliti anche una singola queue il thoughput massimo scende a 700 Mbps

                                          • [cancellato]

                                          • Messaggio #10

                                          edofullo È single core

                                          🤔

                                              • [cancellato]

                                              • Messaggio #12
                                              • Modificato

                                              edofullo No dico...da quando in qua l'RB4011 è single core? 🤔

                                              Mai utilizzato il fast track e satura il giga con pochi punti percentuali di uso CPU (senza queue s'intende)...

                                                  • [cancellato]

                                                  • Messaggio #13
                                                  • Modificato

                                                  edofullo Pensavo fossero più furbi e facessero cadere il carico delle queue su un altro core rispetto alla PPPoE.

                                                  Provare a mettere un VRF in modo da fare due hop interni al router stesso? Magari così il carico lo distribuisce...

                                                  Hai anche parecchio carico firewall... Non è che hai qualche regola sghemba?

                                                  [cancellato] la PPPoE è single core sui vecchi kernel Linux, e tutt'ora su *BSD.

                                                        [cancellato] Penso sia la PPPoE che deve essere gestita su un singolo core, tu la usi?

                                                        Sicuro che il fast track sia disattivato? In genere viene attivato. Col fast track la CPU quasi manco la tocca, però non puoi fare QoS

                                                        [cancellato] Provare a mettere un VRF in modo da fare due hop interni al router stesso? Magari così il carico lo distribuisce...

                                                        Si potrebbe provare giusto per "studio", ma alla fine su FTTH se ne fa anche a meno.

                                                        Venisse "gratis" ben venga, ma dimezzare le prestazioni mah... comunque non è il problema di oggi.

                                                              • [cancellato]

                                                              • Messaggio #15

                                                              edofullo Penso sia la PPPoE che deve essere gestita su un singolo core,

                                                              [cancellato] a PPPoE è single core sui vecchi kernel Linux, e tutt'ora su *BSD.

                                                              Ah OK questo è un altro discorso me è sbagliato affermare che quel router è single core, tutto qui...

                                                              edofullo In genere viene attivato.

                                                              Su RB4011 non era presente nella conf default ed in ogni caso ti confermo che non l'ho mai utilizzato.

                                                              Vabeh parentesi chiusa, scusate 🤡

                                                                      [cancellato] Ah OK questo è un altro discorso me è sbagliato affermare che quel router è single core, tutto qui...

                                                                      Hai ragione, ho scritto male io, intendevo la PPPoE 😁

                                                                      Comunque col magico ROS 7 dovrebbero aver aggiornato il kernel al 5.4 e qualcosa, speriamo migliorino anche su questo fronte.

                                                                      • LSan83 ha risposto a questo messaggio

                                                                          edofullo però non puoi fare QoS

                                                                          Ni! Le queue in ingresso attaccate dirette ad un interfaccia vanno lo stesso! Ci potete tranquillamente fare QoS sull'upload di una FTTH

                                                                          Queue attiva a 250M

                                                                          Queue disattivata


                                                                            edofullo Comunque col magico ROS 7 dovrebbero aver aggiornato il kernel al 5.4 e qualcosa, speriamo migliorino anche su questo fronte.

                                                                            Sperem... Ma sarà lunga prima di vedere il 7.x in long-term.

                                                                              Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                              P.I. IT16712091004 - info@fibraclick.it

                                                                              ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile