Presložih, eto, računalnu mrežu u uredu i kući, sukladno security načelima, podijeljena je sada u VLANove i, naravno, eto sranja...

Bonjour je multicast protokol, dakle ne radi tek tako izvan svog vlan-a, tako da sada više ne radi airprint, airdrop i sl. iz jednog vlan-a u drugi.

Da ne ulazim u nepotrebne detalje, nije opcija da su svi korisnici u istom VLANu, nije opcija da se ne koristi Bonjour.

Zanima me, ima li tko iskustva s ovim i je li netko već riješio sličan problem? Pretragom po netu vidim da je moguće postaviti Bonjour gateway. Uglavnom se spominju linux thin serveri s dva ethernet porta. Nije nedostižna opcija, ali provjeravam ima li jednostavnijih rješenja.

Npr. koristimo MacPro3,1 sa OS X 10.11 kao document server. Stoji uvijek upaljen, CPU mu je uglavnom idle, TM Backup mu je valjda najzahtjevniji task... Tražio sam po netu je li netko opisao slično rješenje za Mac, ali nisam našao.

E, sad... linux rješenja uključuju (često) Avahi (avahi.org/)

Našao sam i ovo:
ports.macports.org/port/avahi/

pa bi to značilo da se Avahi da instalirati na Mac (makar teoretski, neka ranija iskustva sa homebrew me uče da to nije uvijek bezbolno )

Znam da ovdje ima iskusnih mrežista, sysadmina, specijalista i profesionalaca (ja sam u tome DIY amater, silom prilika ) pa molim za pomoć.

Čak i ako nema izravno iskustvo s ovako nečim, netko takav možda nagoogla rješenje jer razumije terminologiju i zna sročiti suvislu frazu za pretragu, što ja ne znam...

Ako sam dobro pohvatao konce, pojednostavljeno Bonjour je mDNS (multicast DNS).
Segmentirao si mrežu koristeći VLAN-ove da bi napravio zasebne broadcast domene.
I sada bi to raskupusao. Radi komocije.

Gdje VLAN-ovi konvergiraju? Na L3 switchu ili firewallu?

Recimo, na Layer3 switchevima "helper address" je IP adresa uređaja u drugom subnetu kojem switch prosljeđuje multicast pakete (u pravilu za DHCP) i zna odgovore vratiti odgovarajućem uređaju. Međutim, ako se ne varam, to ne pomaže za mDNS.

Vidi na uređaju koji ti je router da li ima podršku za mDNS, AirPrint, AirPlay ili neki sličan oblik/naziv multicast routinga.
Razni proizvođači imaju razne nazive, npr:
Cisco
Fortigate

Apple definicija

Borisone kaže:


Nisam to učinio DA BIH napravio zasebne broadcast domene, nego iz nekoliko drugih, funkcionalnih razloga. Možda sam trebao biti svjestan da to podrazumijeva i ovo što si ti napisao, ali nisam bio toga svjestan, jer se ne bavim time profesionalno i ne znam sve te detalje. Čovjek koji mi je to napravio, pak, nije bio svjestan da Bonjour neće funkcionirati (jer nije inače Apple korisnik, linuxaš je, nije ni znao da postoji nešto što se zove "Bonjour", ja to nisam spomenuo ranije jer mi nije palo na pamet da je bitno, i tako... ne kaže se uzalud da je znanje važno, ali je iskustvo nenadoknadivo ).



Ne bih ništa raskupusao što se ne mora. Funkcionalni razlozi zašto su VLANovi posloženi su mi i dalje bitni. Radi komocije? Pa da, naravno. Da mi nije bitna ta Apple "it just works" komocija, ne bih ni bio Apple korisnik. WTF? Zar to nije samo po sebi jasno?



Sad si mi nešto opsovao... Čekaj... Ovako piše na ponudi:

1x Router MikroTik RB3011UIAS-RM
1x Mrežni switch Mikrotik CRS326-24G- 2S+IN

3 AP-a su spojena izravno na router, a 2 na switch
ostali korisnici na switchu su na ethernetu (5 Macova, LG smart TV, Canon printer/skener/kopirka s Airprint funkcijom , još neke điđe koje nisu bitne za ovu priču).

Svi ethernet priključci su u istom VLANu skupa s jednim wifi SSIDom, i onda su još 2 wifi SSIDa svaki u svom VLANu.



Pretpostavljam da nema. Griješim li?

Borisone kaže:


smayoo kaže:


Ne griješiš.

Mikrotik (prema pretrazi po forumima) ne podržava mDNS routing među VLAN-ovima pa samim time ni bonjour koji ti treba neće raditi.

Na linku imaš "ponuđena rješenja" i svađu oko toga zašto tog featurea nema, te raspravu treba li to ikom i zašto.

U svakom slučaju, premda nisam od velike pomoći, ti si meni bio s ovom temom jer sad znam što me u skorijoj budućnosti čeka a tiče se mog mrežnog printera doma i nimalo nisam sretan.

smayoo kaže:

Ajmo korak nazad.
VLAN 1: svi ethernet priključci switcha i Wi-Fi SSID "A"
VLAN 2: Wi-Fi SSID "B"
VLAN 3: Wi-Fi SSID "C"

Da li Bonjour radi za sve uređaje (koji koriste Bonjour) u VLAN-u 1 ?
Ako ne radi samo za neke, da li su ti neki na SSID "A"?

Da li se uređaji koji koriste Bonjour nalaze po svim VLAN-ovima?
Ako da, da li je možda moguće grupirati ih u jedan od postojećih ili u neki novi VLAN?

Ha... čitam i ja po tim nekim forumima, čovjek je riješio problem tim Avahijem kojeg je instalirao na Raspberry Pi. Ja razmišljam u istom smjeru, samo bih instalirao Avahi na MacPro koji je ionako uvijek uključen. Samo provjeravam ima li tko iskustava...

Borisone kaže:


Da



Da.



Nalaze se u VLANu 1 i 2.



Ne, jer VLAN 2 ima limitiran download bandwidth i nema pristup ranije spomenutim điđama koje nisu bitne za ovu priču.

smayoo kaže:


Obzirom da ti je MacPro uvijek uključen, pretpostavljam da je u VLAN-u 1. Tebi treba nešto iz VLAN2 što će slat bonjour pakete u VLAN1. Tamo bi trebao imat taj rpi, jer VLAN1 bonjour radi.

S tim da, nemoj RPI nego uzmi nešto što možeš napajat iz USB porta radi manje potrošnje struje i eventualno direktnog uštekavanja u mikrotik za power (pretpostavljam da ti je sve na nekom UPS-u).

smayoo kaže:

Bonjour is designed for flat, single-VLAN, single-subnet IP networks, per RFC6762.

Iskreno, mislim da bi trebao ili izbaciti VLAN-ove iz svog rješenja, ili držati sve uređaje koji koriste Bonjour u istom VLAN-u.

VLAN funkcionira na Layeru 2 (mrežni paketi s MAC adresama). Switch održava tablicu na kojem portu mu se nalaze uređaji s određenim MAC adresama. Ako switch ne može naučiti na koji switch port da proslijedi paket namijenjen određenoj MAC adresi, on dropa taj paket. I točka. Uvođenjem VLAN-ova ta tablica dobije samo još jednu kolonu, VLAN ID. I sada switch dropa/prosljeđuje paket gledajući kombinaciju VLAN ID i MAC adrese.
Broadcast promet je L2 promet i uvođenjem VLAN-ova mreža se dijeli na logičke cjeline da se ograniči L2 mrežni promet, najčešće kako bi se obuzdao multicast i smanjila izloženost opreme "njuškanju".

Bonjour uses link-local multicast, similar to a broadcast packet.

Ovdje ti puca Bonjour jer ga by-design switch ne proslijeđuje u druge VLAN-ove pošto je jedan VLAN jedna broadcast domena.

IP subneti funkcioniraju na Layeru 3 (mrežni paketi s IP adresama).
Ako je paket namijenjen adresi na istom subnetu (npr. 192.168.1.12/24 šalje paket uređaju na adresi 192.168.1.34/24) tada će uređaj direktno poslati paket. Ako je adresa na nekom drugom subnetu (npr. 192.168.55.67/24) tada ga mora slati posredstvom default gateway-a (adresa routera/firewalla koji bi trebao znati kuda dalje s tim paketom).

Dijeljenje lokalne mreže (u IP subnete) ne mora biti praćeno dijeljenjem mreže po VLAN-ovima. Pogotovo ne ako je količina uređaja zanemariva (manja od recimo pedesetak).
Na taj način ti broadcasti putuju cjelom internom mrežom, a IP samo kuda router/firewall dozvoli.
Nije baš čisto/preporučeno rješenje, ali u tvom slučaju bi trebalo raditi.

Sigurnost i pravila komunikacije se tada definiraju samo na strani routera/firewalla, u tvom slučaju MikroTik RB3011UIAS-RM.

Mozda se moze iskoristiti drugi Ethernet port na MacPro-u za bridge izmedju VLAN 1 i VLAN 2 Nisam strucan za ovakve mrezne egzibicije, ali eto, to mi je palo na pamet da bi mozda pomoglo

Borisone kaže:


Napisao sam koje su mi funkcionalne potrebe. Može li se to riješiti navedenom opremom, a bez podjele u VLANove? Ako ne može, ne mogu izbaciti VLANove iz svog rješenja. Ako može, molim te pomozi i reci kako.

Jer ovako - ne pomažeš baš. Napisao sam jasno što mi treba i što nije opcija. I nije da sam jedni na svijetu s tom idejom. Kad zagooglaš, pun je internet ljudi koji su imali ili imaju isti problem.



Najčešće možda, ali u ovom slučaju, to nam nije bila ni želja, ni namjera, ni potreba.



Ali takvo rješenje ne zadovoljava moje funkcionalne potrebe.