» Помогите с Vlan-ами

Имею следующую схему: в голове D-link DGS-3627. На нем настроено 2 vlan-а. 1 и 13. vlan1 (192.168.0.0/24) vlan13 (192.168.13.0/24)
В 1 Рабочки
В 13 Серверы
Между собой все работает, все нормально.

Вопрос как выпустить обе сети в интернет. Пробовал следующее:
1. Сделать в 0 подсети шлюз, прописать статичный маршрут, чтобы он понимал что есть 13 подсеть, не работает, с 0 подсети в инет ходят с 13 никак.
2. На интерфейсе который смотрит в локалку родить еще один с vlan13 и натить обе сети (не получается настроить в этом случае d-link вроде бы делаю транк порт, но при возврате icmp пакета(просто пингую) от машины он приходит без vlan тэга и соответственно отбрасыватся, и получается что в арп таблице оба мака я вижу а пакеты между ними не идут).

Схема такая


Что я делаю не так и какой путь правильный?

Strange3 Дорогой, а не кажется тебе, что для доступа в интернет
кроме свитча тебе еще нужен и маршрутизатор?

Я к сожалению не понимаю как правильно вставить картинку со схемой, там нарисован маршрутизатор.
Конечно в конце концов все это натится. Вопрос сейчас именно в том как подключить маршрутизатор к локалке.

https://drive.google.com/file/d/0BzxAFR9_5kKlUHNKeFpoR2VXd1U/view?usp=sharing
Вот ссылка на схему.

А хто же будет транк настраивать на пифе? И почему не сделать оба vlan`а тегируемыми?
У меня подобная схема работает, только вместо длинка тополь трудится. И пиф с vlan`ами в эстонскую барышню превращается: пинги на венешние ресурсы увеличиваются.

urodliv. Поясните пожалуйста поподробней что за транки на ПИФ-е? ПИФ = pfsense? Там одна сетевая смотрит в vlan13. Или недостаточно сделать так? Со стороны D-link порт находится в vlan13 и тэгируется.

Strange3

Пиф правильно подключен, настроен? Сетевые карты в Пифе Vlan-ы поддерживают?
Зачем на Пифе в Eth0 висит Vlan13? Полагаю это wan-порт для шнурка провайдера?
Если так, то предлагаю в Пифе использовать 3-и сетевухи: для Wan-порта, для Lan-сети (для администрирования, мало ли чего), и для trunk-a c подключением его в коммутатор.

vgalanov

Цитата:

Если так, то предлагаю в Пифе использовать 3-и сетевухи:

Лишнее.

Strange3
Как работает у меня. Два сегмента сети: "беспроводные" и "проводные" клиенты. Первым разрешено только в интернет шастить, а вторым и в инет, и в локалке ресурсы теребить.
На "тополе" (коммутатор tp-link) порты для подключения "проводников" тегируются как vlan10, "беспроводники" - как vlan11. Один порт назначен как транковый и, естественно, он соединён с "пифом" (pfsense). У пифа две физические сетевухи.
1. На "внутренней" сетевухе поднимаем два vlan`а. Как видим интерфейс один - rl0.
2. Затем производим сопоставление "физических" сетевух с виртуальными интерфейсами пифа (WIFI-интерфейс для "беспроводников", LAN - для "проводников").
3. Включаем виртуальные интерфейсы и назначаем им ip-адреса. Это "проводники" , а это "беспроводники"
4. В правилах "проводникам" разрешаем всё, а "проводникам" запрещаю доступ во внутреннюю сеть.
5. В исходящем nat`е оставили автоматику.
6. По желанию включаем для сегментов dhcp-серверы: один и два.

urodliv
Это мое предположение, что там наяву не совсем ясно

У меня стоят именно такие свичи все пашет.
Идете в таблицу маршрутизации на свиче и добавляете свой статический без ip и без маски только указав шлюзом ip вашего шюза, dlink такой маршрут воспримет как default и весь трафик который он сам не сможет разрулить будет закидывать по этому маршруту, соответственно вам еще нужно на свиче иметь интерфейс из той же подсети где висит Ваш роутер ну и свич должен пинговать роутер будет это все идти в тегированном vlan или не тегированном это решать только Вам и томо может ли Ваш шлюз принять тегированный или нетегерованный трафик.
На клиентах шлюзом должен стоять соответственно ip интерфейса dlink который обслуживает под сеть клиента
Вы получите маршрут в инет из 2-х прыжков
клиент -> dlink -> шлюз -> инет
При трассировке все будет именно так выглядеть.