Доступ в сегмент с другим VLAN ID

[slydiman]

1. Домашняя сеть 192.168.1.1. Создал сегмент CAM с IP роутера 192.168.4.1. Этот сегмент привязан к порту LAN4 без тегирования. Подключил туда камеру, которой закреплен IP 192.168.4.2. Камера выходит в интернет (подключается к своему облачному серверу), к камере есть доступ из домашней сети (прописан маршрут). В файрвол ничего не добавлял.
Теперь к порту LAN4 прикручиваю тегирование VLAN ID 4. Камера интернета больше не видит, доступа к камере из домашней сети больше нет. Вопрос - как получить доступ к камере из домашней сети и пусть камеру в интернет, когда камера тегируется VLAN ID 4? Никакие правила файрвола не помогли.

2. Есть управляемый шлюз. Один из портов на этом шлюзе будет прикручен к VLAN ID 4 и камера переедет туда. Шлюз подключается к роутеру в LAN2, который входит в домашнюю сеть. На том же шлюзе в других портах куча других устройств домашней сети. Вопрос как прикрутить камеру к сегменту? Очевидно LAN4 на роутере уже будет отвязан от сегмента CAM за ненадобностью. Как задать привязку сегмента CAM к VLAN ID 4? Будет ли через порт LAN2 приходить тегированный трафик VLAN ID 4? И как в 1 вопросе - как получить доступ к камере из домашней сети и пусть камеру в интернет, когда камера тегируется VLAN ID 4?

[Илья Картавенко]

6 минут назад, slydiman сказал:

1. Домашняя сеть 192.168.1.1. Создал сегмент CAM с IP роутера 192.168.4.1. Этот сегмент привязан к порту LAN4 без тегирования. Подключил туда камеру, которой закреплен IP 192.168.4.2. Камера выходит в интернет (подключается к своему облачному серверу), к камере есть доступ из домашней сети (прописан маршрут). В файрвол ничего не добавлял.
Теперь к порту LAN4 прикручиваю тегирование VLAN ID 4. Камера интернета больше не видит, доступа к камере из домашней сети больше нет. Вопрос - как получить доступ к камере из домашней сети и пусть камеру в интернет, когда камера тегируется VLAN ID 4? Никакие правила файрвола не помогли.

2. Есть управляемый шлюз. Один из портов на этом шлюзе будет прикручен к VLAN ID 4 и камера переедет туда. Шлюз подключается к роутеру в LAN2, который входит в домашнюю сеть. На том же шлюзе в других портах куча других устройств домашней сети. Вопрос как прикрутить камеру к сегменту? Очевидно LAN4 на роутере уже будет отвязан от сегмента CAM за ненадобностью. Как задать привязку сегмента CAM к VLAN ID 4? Будет ли через порт LAN2 приходить тегированный трафик VLAN ID 4? И как в 1 вопросе - как получить доступ к камере из домашней сети и пусть камеру в интернет, когда камера тегируется VLAN ID 4?

Почитайте

[MDP]

Камера вообще роутер (шлюз) видит?

[slydiman]

11 минуту назад, Илья Картавенко сказал:

Почитайте

По делу пожалуйста. Я всё это и не только перечитал. И там нет ответов на мои вопросы.
 

8 минут назад, MDP сказал:

Камера вообще роутер (шлюз) видит?

Разумеется. В 1 пункте написано что камера получает IP 192.168.4.2 и прекрасно выходит в интернет и к ней прописан доступ из домашней сети. Проблемы начинаются при включении VLAN ID 4 на порту, куда воткнута камера. Про шлюз разговаривать нужно после того, как на роутере к сегменту будет прикручен VLAN ID 4 без привязки к физическому порту LAN4. И это часть вопроса 2.

[mrGhotius]

6 минут назад, slydiman сказал:

И там нет ответов на мои вопросы.

Там как раз ответы на ваши вопросы.

7 минут назад, slydiman сказал:

Проблемы начинаются при включении VLAN ID 4 на порту, куда воткнута камера

Когда вы назначаете VLAN ID 4 на 4 порту, роутер переводит этот порт в trunk, т.е. тег с трафика не снимается и передается дальше на камеру, у вас камера понимает тегированый трафик?

[CBLoner]

Дело говорят!

Вам на самой камере либо ручками либо по DHCP нужно выставить VLan ID.

Если камера не умеет тэгированный трафик, то тут только VLan на основе портов. 

[slydiman]

Давайте конкретику. IP камеры 192.168.4.2, ей его выдал роутер по DHCP. Далее без перезагрузок роутера или камеры я включаю VLAN ID 4 на порту, куда воткнута камера, трафик становится тегированный. Как получить доступ к камере хотя бы из домашней сети с 192.168.1.x?

> Если камера не умеет тэгированный трафик, то тут только VLan на основе портов. 

Не умеет что конкретно? Тут и есть VLAN на основе портов.
В вопросе #1 камера втыкается в порт роутера, которому прикручен VLAN ID 4. 
В вопросе #2 камера втыкается в порт шлюза, которому прикручен VLAN ID 4. 

Как получить доступ к камере из домашней сети, которая в роутере 192.168.1.x и которой не задан VLAN ID?
В вопросе #2 нужно ещё как-то сегмент CAM в роутере прикрутить к VLAN ID 4, не тегируя при этом никакой физический порт роутера.

Edited October 2 by slydiman

[mrGhotius]

3 минуты назад, slydiman сказал:

Не умеет что конкретно?

802.1q

4 минуты назад, slydiman сказал:

IP камеры 192.168.4.2, ей его выдал роутер по DHCP

Когда вы создали сегмент сети 192.168.4.x роутер уже выделил под него отдельный VLAN ID! Только порт на который вы прикрутили этот сегмент работает в режиме access т.е. при прохождении трафика через этот порт тег снимается!

9 минут назад, slydiman сказал:

Как получить доступ к камере из домашней сети, которая в роутере 192.168.1.x и которой не задан VLAN ID?

Не трогать ничего пока не поставите шлюз.

[MDP]

56 минут назад, slydiman сказал:

 Проблемы начинаются при включении VLAN ID 4 на порту, куда воткнута камера. Про шлюз разговаривать нужно после того, как на роутере к сегменту будет прикручен VLAN ID 4 без привязки к физическому порту LAN4. И это часть вопроса 2.

Так в этом и дело, что на порту тегированный траффик, его либо сама камера должна "растегировать" и понимать vlan id 4. 

[slydiman]

Воткнул в POE шлюз SSC-PS308G. Там 8 POE портов, 2 гигабитных uplink LANs и SFP.
Есть 2 режима VLAN - port и tag.
В режиме port, только POE портам можно выбрать VLAN group от 1 до 8. При этом 2 LAN порта никак не настраиваются.
Из китайской документации: 

Цитата

VLAN port settings: Set the VLAN of the port (POE port only)
The same VLAN group cannot communicate, and different VLAN groups are isolated from each other.

Очевидно очепятка. Всё бы хорошо, если бы можно было задействовать не только POE порты.
Выбирать двум POE портам отдельную группу, в один порт втыкать камеру, а другой POE порт в роутер (в тот самый LAN4, через POE сплитер разумеется) - видимо единственное решение.

В режиме tag можно POE портам прикрутить PVID от 2 до 4096. При этом двум LAN и SFP порту прикручено 1 и поменять нельзя.
Из китайской документации:

Цитата

VLAN port settings: Configure PVID for the Poe port. The PoE port can be configured to specify a fixed Access port of vid, Lan or SFP port as a Trunk port (PVID1), access to support Tag VLAN switches or routers to achieve network division (*Device Management Vlan vid 1);

Видимо это всё мало полезно.

Вывод - просто забыть про тегирование VLAN. Всем спасибо.

[CBLoner]

😒🙈🤷‍♂️

Сам спросил, сам ответил сам решил 😄

[Denys]

54 minutes ago, slydiman said:

Вывод - просто забыть про тегирование VLAN. Всем спасибо.

Вы начали настраивать  тегирование VLAN не зная что это и как оно работает

[slydiman]

Было ощущение что тегирование - это тегирование, а не порча IP пакетов, приводящая к тому что 99.9% устройств перестают понимать трафик.
Самый ценный ответ был: 802.1q

[CBLoner]

Почему порча?

Они просто должны быть вовлечены в процесс и маркировать трафик нужным VLan ID

Если устройства не умеют, то тупо и жёстко распиливаем всё пространство на базе портов. Зато тут точно не побалуешь