бридж между vlan транками.

Когда мост ставится в разрыв между транковыми портами, сеть
продолжает работать так, словно моста нет. Трафик на прокси
не заворачивается.

Логично. В транке трафик тэгированный. А, вообще, сложная затея какая-то...

сложная, ну что поделать... надо как-то сетью рулить, роутер нельзя по своему вкусу конфигурить.

бридж-то нафига, если можно форвардинг для ip включить?

роутер нельзя по своему вкусу конфигурить.

Почему ? И даже если нет доступа к нему по невероятной причине, всё равно можно упростить наверняка.

В /proc есть параметр bridge-nf-filter-vlan-tagged, возможно, он вам нужен в ″1″. И смотрите счётчики правил в eb- и iptables, чтобы понять, попадают ли нужные вам пакеты.

Как правильно настривать vlan'ы в вашем случае точно не скажу, вроде нужно поднять vlan5 (br0.5) на интерфейсе br0. И всю работу с сетью 172.16.11.0/12 строить через этот vlan5 — назначать ip-адрес не на br0, а на br0.5.

Как правильно настривать vlan'ы в вашем случае точно не скажу, вроде нужно поднять vlan5 (br0.5) на интерфейсе br0. И всю работу с сетью 172.16.11.0/12 строить через этот vlan5 — назначать ip-адрес не на br0, а на br0.5.

В точку.

+ что-то навроде

ip link add link br0 name br0.5 type vlan id 5

для поднятия влана с бриджа.

если iproute2 совсем старый (centos5)

vconfig add br0 5
ifconfig br0.5 какой-то-адрес up

такова политика компании

кстати было замечено, что бриджу пофиг на форвардинг, включен он или нет. работает и так и так.

А ещё интересно, ведь во вланах обычно разные ip-адреса делают, чтобы маршрутизация между ними работала, а как бридж это осилит?

такова политика компании

Если политика компании предусматривает сильно замороченную сеть, что-то тут не так. За роутер кто-то же отвечает ? Или эта заморочка с редиректом - самостоятельный замысел одного отдела по-тихому ?

а как бридж это осилит ?

А какая ему разница ? Он на L2 работает, а не L3.

такова политика компании

В общем, если хочется стоя, и в гамаке, то, думаю, заработать должен вариант с кучей бриджей. То есть, для всех VLAN, описанных в транке, делать пары интерфейсов «eth0.1 eth1.1», «eth0.2 eth1.2», «eth0.5 eth1.5» и их между собой бриджить. Бридж для основных интерфейсов, «eth0 eth1», убрать. Это если там нетегированный трафик вообще не предусмотрен.

Еще можно попробовать проще, но тут я не уверен: оставить бридж «eth0 eth1» и, дополнительно, сделать только «eth0.5 eth1.5».

пока решил идти по «простому сценарию» - добавил vlan в /etc/network/interfaces так:

auto eth0
iface eth0 inet manual
auto eth1
iface eth1 inet manual
auto eth0.10
iface eth0.10 inet manual
vlan_raw_device eth0
auto eth1.10
iface eth1.10 inet manual
vlan_raw_device eth1

перепустил интерфейсы, получил:

Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 7 to IF -:eth0:-
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 7 to IF -:eth1:-

но в ifconfig этих интерфесов нет, это норм?

но в ifconfig этих интерфесов нет, это норм?

Я не пользуюсь Ubuntu и не знаю, как настраивается сеть в дебианоподобных. Судя по «Added VLAN with VID == 7» что-то не так, так как в вышеприведённом конфиге я ничего, что напоминало бы 7, не вижу. Но VLAN-интерфейсы ifconfig показывает, даже те, которые в бридже:

# ifconfig eth0.904
eth0.904  Link encap:Ethernet  HWaddr 90:E2:BA:23:77:2F
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

# ip a show dev eth0.904
11: eth0.904@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 90:e2:ba:23:77:2f brd ff:ff:ff:ff:ff:ff

«eth0.1 eth1.1», «eth0.2 eth1.2», «eth0.5 eth1.5» и их между собой бриджить

в один бридж вы имеете в виду, или для каждого тэга свой?

на данный момент достиг следующего:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

auto eth0.7
iface eth0.7 inet manual
vlan_raw_device eth0
auto eth1
iface eth1 inet manual

auto eth1.7
iface eth1.7 inet manual
vlan_raw_device eth1

auto br0
iface br0 inet static
address 172.16.11.15
netmask 255.255.255.0
gateway 172.16.11.1
bridge-ports eth0.7 eth1.7
bridge_stp off
dns-nameservers 217.195.65.9 8.8.4.4

при таких интерфейсах трафик бегает в сети VLAN7, на прокси траф заворачивается c остальными
сетями пока затык.
Пробовал добавлять в bridge-ports br0 другие VLAN (разумеется предварительно скофигурировав интерфейсы), так: bridge-ports eth0.7 eth1.7 eth0.11 eth1.11 eth0.17 eth1.17
эффекта нет 11 и 17 VLAN не работают.

Есть у кого-нибудь мысли, как сконфигурить остальные VLAN?

«eth0.1 eth1.1», «eth0.2 eth1.2», «eth0.5 eth1.5» и их между собой бриджить

в один бридж вы имеете в виду, или для каждого тэга свой?

В этом виде - для каждого свой. Обязано работать, но не будет проходить нетегированный трафик, если он есть.

Пробовал добавлять в bridge-ports br0 другие VLAN
(разумеется предварительно скофигурировав интерфейсы), так:
bridge-ports eth0.7 eth1.7 eth0.11 eth1.11 eth0.17 eth1.17

Так точно не надо. Можно попробовать, что получится, если добавить br1 с «eth0 eth1». Но, как я раньше писал, уверенности в работоспособности этого варианта у меня нет.

спасибо за поддержку, заработало.
теперь проблема с заворотом трафика на прокси.
сейчас интерфейс моста (с нужным VLAN-ном) такой:
auto br1
iface br1 inet static
address 172.16.11.15
netmask 255.255.255.0
gateway 172.16.11.1
bridge-ports eth0.7 eth1.7
bridge_stp off
dns-nameservers 217.195.65.9 8.8.4.4


я несколько теряюсь каким он должен быть, возможно таким:
auto br1
iface br1 inet static
address 0.0.0.0
bridge-ports eth0.7 eth1.7
bridge_stp off #?
dns-nameservers #? 217.195.65.9 8.8.4.4


в сквиде так:
http_port 172.16.11.15:3128 transparent


тут тоже не ясно как должно быть,так:
http_port 3128 transparent
или м.б. вообще так:
http_port 127.0.0.1:3128 transparent
заворачиваю трафик на сквид так:
ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
--ip-destination-port 80 -j redirect --redirect-target ACCEPT



iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 \
-j REDIRECT --to-port 3128
эти правила работали, и траф заворачиался когда было без VLAN-ов, и был прописан адрес бриджа в интерфесах (172.16.11.15), и сквиде (http_port 172.16.11.15:3128 transparent).
посоветуйте плз.

посоветуйте плз.

Дальше не знаю. Задачи редиректа трафика из бриджа у меня не стояло никогда. Но, думаю, никто не должен расстрелять за "-t nat -A PREROUTING -i eth1.7" без ebtables (или eth0.7, смотря откуда трафик идёт). Вдруг сработает...

На работу бриджа с vlan-ами сильно влияет /proc/sys/net/bridge/bridge-nf-filter-vlan-tagged, если там 0, то тегированный трафик дропается.

Вообще, а что мешает поднять нужный vlan на br1 ( в которой подключены eth0 и eth1 ) и редиректить уже на него сначала через ebtables, а потом уже iptables-ом ?

brctl addbr br1
brctl addif br1 eth0
brctl addif br1 eth1
brctl setfd br1 0
ip li set br1 up
vconfig add br1 7
ifconfig br1.7 ....

к сожалению /proc/sys/net/bridge/bridge-nf-filter-vlan-tagget
смогу проверить только в понедельник.
но если я правильно вас понял, вы предлагаете, поднять бридж
между физическими интерфейсами при /proc/sys/net/bridge/bridge-nf-filter-vlan-tagget 1,
назначить ему тэг, и пытаться заруливать нужную сеть на сквид,
без поднятия бриджей с остальными vlan-ами?
и вообще не описывать интефейсы для остальных vlan?

Да

остановился на предложенном вами варианте. мост предложенный ниже vel-ом не поднялся. т.е. сейчас три моста между тегированными интерфейсами. Спасибо.