Aiuto configurazione PPPoE Relay su MikroTik

nexus · 2022-08-06T16:37:27+00:00

mi urge il supporto dei guru per conto terzi!

1) secondo voi si può rischiare di aggiornare alla 7.x un hap ac2? ho letto un po' qua e là ma non mi son fatto un'idea precisa 2) partendo da una configurazione basilare come quella riportata quale integrazione suggerite per prolungare la user vlan sul bridge così che poi si può tirare poi su una eventuale ppp secondaria in un host di lan?

/interface bridge add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no comment=defconf name=bridge /interface vlan add interface=ether1 name=vlan1 vlan-id=835 /interface pppoe-client add add-default-route=yes disabled=no interface=vlan1 name=pppoe-out1 password=default user=default /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge comment=defconf interface=wlan1 add bridge=bridge comment=defconf interface=wlan2

edit richiamo l'attenzione di @[cancellato] @x_term e @LSan83 che da quel che leggo mi sembrano parecchio sul pezzo

[cancellato] · 2022-08-06T21:44:06+00:00

nexus Vuoi avere anche la 835 tagged sulle porte o avere un PPPoE relay?

nexus · 2022-08-06T22:18:01+00:00

[cancellato] domanda ficcante...a naso credo la soluzione stile-relay ma se hai modo di darmi una dritta per entrambi gli scenari vedo quale si adatta meglio all'uso che verrà fatto

nexus · 2022-08-07T15:26:56+00:00

siccome non mi piace stare con le dita in mano sto smanettando nella simulazione gns3 con cui ho replicato lo scenario d'uso ma ammetto che non mi aiuta mica tanto il fatto che non ho mai avuto bisogno di ragionare sul mondo vlan e che routeros le gestisce in più modi insomma rimango senza dubbio in attesa di preziose dritte

mark129 · 2022-08-07T15:33:54+00:00

[cancellato] Vuoi avere anche la 835 tagged sulle porte

Come sai, non sono particolarmente skilled, per cui scuserai la domanda da gonzo: portarsi a spasso quella VLAN in giro per tutta la rete "domestica", non sarebbe un tantinello... scomodo?

x_term · 2022-08-07T15:43:13+00:00

nexus lo chiedo anche io come ziomatt: lo scopo è solo quello della PPPoE aggiuntiva?

nexus · 2022-08-07T15:44:16+00:00

x_term ah sì giusto ieri ero stato sul vago ma ora posso confermare che l'esigenza è soltanto quella!

x_term · 2022-08-07T18:31:44+00:00

nexus ma che ricordi io funziona senza dover fare nulla, non devi portarti il tag in LAN

nexus · 2022-08-07T22:32:17+00:00

beh no senza toccare nulla rispetto alla configurazione base riportata prima non funziona altrimenti non vi avrei rotto le scatole comunque in serata tra na birra na pizza e na puntata di ftwd mi son rimesso sulla simulazione e tra una cosa e l'altra ho scelto l'approccio diciamo più intuitivo che mi è venuto in mente cioè ho spostato l'interfaccia vlan 835 dalla ether1 (uplink verso server pppoe) al bridge e ho impostato il vid sulla ether1 (con qualche dubbio sui parametri secondari)

/interface bridge add name=bridge /interface ethernet set [ find default-name=ether1 ] disable-running-check=no set [ find default-name=ether2 ] disable-running-check=no set [ find default-name=ether3 ] disable-running-check=no set [ find default-name=ether4 ] disable-running-check=no set [ find default-name=ether5 ] disable-running-check=no /interface vlan add interface=bridge name=vlan-835 vlan-id=835 /interface pppoe-client add add-default-route=yes disabled=no interface=vlan-835 name=pppoe-out1 password=client user=client /interface bridge port add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes interface=ether1 pvid=835 add bridge=bridge interface=ether2 add bridge=bridge interface=ether3 add bridge=bridge interface=ether4 add bridge=bridge interface=ether5 /ip address add address=10.1.1.1/24 interface=bridge network=10.1.1.0 /ip dns set allow-remote-requests=yes servers=1.1.1.1 /ip firewall nat add action=masquerade chain=srcnat out-interface=pppoe-out1 /system identity set name=mikrotik

di fatto in questo modo in effetti c'è continuità l2 e tiro su la ppp secondaria da un host di lan

@[cancellato] @x_term considerato che nello scenario d'uso non c'è bisogno di utilizzare le vlan secondo voi così può essere una configurazione sufficientemente decente da mettere su strada oppure cambiereste qualcosa? o suggerite un approccio del tutto diverso?? grazie

[cancellato] · 2022-08-07T22:45:16+00:00

nexus Scusa, ho avuto poco tempo per seguire il forum...

/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes interface=ether1 pvid=835

Questo è sbagliato, stai dicendo con il parametro pvidche i frame untagged in arrivo su ether1 sono da considerarsi appartenenti alla VLAN 835, cosa che, fidati, non vuoi... se colleghi per sbaglio un dispositivo terminale stai facendo bridging direttamente sulla WAN. Anche no.

Di fatto le uniche cose da aggiungere erano definire la VLAN 835 sul bridge e assegnare il client pppoe su quest'ultima; i tag di default vengono riconosciuti e preservati.

https://help.mikrotik.com/docs/display/ROS/Bridging+and+Switching

nexus la soluzione stile-relay

Purtroppo a quanto ho letto in giro, i Mikrotik non supportano il relay dei frame PPPoE tra due domini L2 diversi.

mark129 Perché dovrebbe essere scomodo? Più che altro, c'è da stare attenti a non mescolare i frame tra VLAN diverse perché hanno perimetri di sicurezza diversi ( @nexus assicurati di attivare l'ingress filtering -- l'equivalente del buon switchport trunk allowed vlan xx yyy zzz dei Cisco -- e di attivare il vlan-filtering sul bridge, anche se sull'hAP AC² ti farà perdere l'accelerazione hardware, altrimenti lo switch chip ignorerà le VLAN sul MAC learning delle porte), ma volendolo fare si fa. Che sia elegante, se ne può discutere, ma per "giocare" si può far tutto.

nexus · 2022-08-07T23:04:01+00:00

[cancellato] Scusa, ho avuto poco tempo per seguire il forum...

ma figurati vai agile proprio anzi grazie

[cancellato] stai dicendo con il parametro pvidche i frame untagged in arrivo su ether1 sono da considerarsi appartenenti alla VLAN 835

bene l'avevo intesa diversamente, bisogna studiare meglio...

[cancellato] Di fatto le uniche cose da aggiungere erano definire la VLAN 835 sul bridge e assegnare il client pppoe su quest'ultima

eh non l'avevo scritto ma avevo notato che era sufficiente ma mi ero fatto il film che la cosa andasse raffinata...ma raffinavo nel verso sbagliato...

[cancellato] https://help.mikrotik.com/docs/display/ROS/Bridging+and+Switching

pagina che infatti avevo addocchiato ma sta roba va studiata con calma visto che è qualcosa che non mi appartiene già professionalmente...sigh

[cancellato] assicurati di attivare l'ingress filtering e di attivare il vlan-filtering sul bridge

ah ecco quindi quei parametri in questo caso è bene impostarli sull'intero bridge quindi intendi così?

[cancellato] anche se sull'hAP AC2 ti farà perdere l'accelerazione hardware

ahi allora c'è da far provare su strada per capire quanto perde di banda passante...

[cancellato] altrimenti lo switch chip ignorerà le VLAN sul MAC learning delle porte

uhm...considerato che come detto con le due impostazioni di cui sopra lo scopo sarebbe raggiunto, se non imposto quei parametri sul bridge all'atto pratico che problematiche mi devo aspettare?

[cancellato] · 2022-08-07T23:14:32+00:00

nexus ah ecco quindi quei parametri in questo caso è bene impostarli sull'intero bridge quindi intendi così?

No... l'interfaccia "bridge" è in realtà la "gamba" che va alla CPU, quindi andando a definire qui il PVID vai ad assegnare alla VLAN 835 tutto il traffico untagged che arriva alla CPU. Sì, lo so, chi l'ha pensata in Lettonia 'sta roba dev'essere un po' un demente, però così stanno le cose...

nexus ahi allora c'è da far provare su strada per capire quanto perde di banda passante...

Beh, se devi fare routing, non cambia comunque tanto, dovrebbe essere paragonabile al fast path come impatto sulla CPU, però ti carica su di essa anche tutto il traffico "east-west" locale, che altrimenti resterebbe confinato nell'hardware. Quanto questo sia, lo puoi sapere solo tu nel tuo scenario d'uso.

nexus se non imposto quei parametri sul bridge all'atto pratico che problematiche mi devo aspettare?

Che è "tutto come se" le VLAN fossero in realtà unite tra di loro su un'unica network L2, quindi a rigor di logica dovrebbe (firewall permettendo) andare ugualmente il discovery PPPoE anche da un'altra VLAN... è un'implementazione un po' "così", non mi fa assolutamente impazzire come scelte.
Lato routing i mikrotik si difendono abbastanza bene, ma lo switching è letteralmente un casino come hai visto.

nexus · 2022-08-07T23:27:43+00:00

[cancellato] gli spunti di riflessione sono parecchi...mi sa che li devo affrontare con calma a mente fresca...

[cancellato] No...

quindi vlan/ingress filtering con pvid standard? uhm...tra l'altro se li imposto si sminchia tutto...

[cancellato] a rigor di logica dovrebbe (firewall permettendo) andare ugualmente il discovery PPPoE anche da un'altra VLAN

ho provato da interfaccia vlan differente lato host di lan e la discovery va in timeout (niente fwl) se è questo che intendevi...comunque io mi sa che mi limito per ora a mantenere la conf con le due impostazioni sufficienti e necessarie...

LLSan83 · 2022-08-08T00:23:08+00:00

[cancellato] lo switching è letteralmente un casino come hai visto.

Con gli ultimi modelli stanno cercando di "correre ai ripari" per unificare la sintassi in modo più logico, ma con quelli vecchi/economici spesso le vlan sono da fare dal menu switch e non dalle impostazioni del bridge/interfaccia.... Tutta altra sintassi.... Non ricordo il chip dell'hap ac2 che sintassi vuole

[cancellato] · 2022-08-08T08:05:53+00:00

nexus quindi vlan/ingress filtering con pvid standard? uhm...tra l'altro se li imposto si sminchia tutto...

Significa che hai qualche configurazione errata che funziona solo perché non stai applicando i filtri VLAN, ma mi pare strano, era abbastanza basilare.
Pvid lascialo stare, riguarda i frame untagged.
Se vuoi filtrare ti consigliavo di limitare le VLAN accettate su ogni porta alle sole necessarie.

Se ether1 si affaccia ad un ONT ti consiglio di definire un'altra VLAN con numero a piacere da assegnare come PVID di quella porta.

nexus · 2022-08-08T22:56:23+00:00

certo che ste vlan son malefiche uff dopo qualche altra prova più mirata devo smentire quanto ho detto qui

nexus ho provato da interfaccia vlan differente lato host di lan e la discovery va in timeout

e quindi devo confermare che

[cancellato] a rigor di logica dovrebbe (firewall permettendo) andare ugualmente il discovery PPPoE anche da un'altra VLAN

in effetti il principale fattore bloccante per la discovery risulta essere l'associazione all'if di uplink o a quella lato host di if vlan con valore uguale a quello della vlan su cui si tenta la discovery tanto che senza alcuna if vlan la discovery va in tutti i casi via liscia e questo in un qualche modo mi sa che col senno di poi fa il paio con quanto detto qui

x_term che ricordi io funziona senza dover fare nulla, non devi portarti il tag in LAN

però la configurazione base cui mi riferivo nella risposta prevedeva appunto la if vlan associata alla if di uplink quindi col senno di prima non mi trovavo nell'affermazione vabeh

ciò chiarito (parole grosse) tra gli altri mi rimane il dubbio riguardo il settaggio preferibile per rendere più diciamo sicura la configurazione con if vlan associata al bridge, nelle mie prove incrociate le più volte citate impostazioni pvid/filtering lato port associate al bridge paiono non influenzare l'esito delle varie prove di discovery (ma l'esito della discovery è poi un valido indice di valutazione della "sicurezza passiva" in l2...?) ed in particolare se imposto il vlan filtering sul bridge cade la ppp indipendentemente dal valore pvid...comunque sì confermo che

[cancellato] ether1 si affaccia ad un ONT

ah anche le impostazioni relative alle bridge vlan sembrano non influenzare la discovery ma vattelapesca devo rileggermi più e più e più volte le guide mikrotik, ci sono vlan ovunque nel routeros (e nella vm mi risparmio quelle dello switch che ovviamente è assente)...