На одном роутере с двумя ip

Здравствуйте!

Есть большая разветвленная сеть, где в основном используется адресация 192.168.1.0/24, для роутера Mikrotik вся эта подсеть один VLAN99 и соответственно на bridge-vlan99 прописан адрес 192.168.1.1/24. Этот адрес и является шлюзом для всех устройств в этом VLAN.

При этом в этой же сети VLAN99 также имеются устройства видеонаблюдения и в них прописаны сети 192.168.20.0/24 и 192.168.42.0/24, шлюз на них не прописан — интернет на данный момент на них не нужен. Но нужно подключаться к ним с других VLAN.
Вопрос : как лучше это сделать?

Выделить их физически в отдельную сеть довольно сложно — видеокамеры территариально раскиданы и подключены в те же неуправляемые коммутаторы, что и компьютеры пользователей. А надо чтобы пользователи не могли просто найти камеры в сети. Поэтому другой адресации достаточно для безопасности.
Выделять в отдельный VLAN — придется ставить кучу управляемых свичей и искать куда же именно камеры подключены — долго и расходно.

Способ, который сейчас рассматриваю — добавить на bridge-vlan99 соответствующие адреса: 192.168.20.1/24 и 192.168.42.1/24. Можно ли так делать? Поиск конкретной информации не дал, там в основном варианты несколько IP+MAC на одном интерфейсе рассматривают
.
Думал еще про способ на bridge-vlan99 изменить адрес на 192.168.1.1/16 — но вот не знаю насколько это допустимо, не повлияет ли на маршрутизацию между VLAN. В других VLAN адресация 192.168.50.0/24, 192.168.70.0/24 и так далее.
Как вы думаете какой наилучший вариант в моей ситуации?

1) ну шлюзы (20.1 и 42.1) Вам по-любому придётся делать, иначе маршрутизации не будет

2) но учтите, есть такие камеры, которые в настройках не имеют шлюза, а значит с такими
камера уже будет проблема (решаема, но хитро).

3) обычно доступ к камерам напрямую не нужно давать, нужно ставить сервер/регистратор,
который уже находиться в другой сети своей другой частью и уже к нему могут люди, клиенты,
охрана подключаться и смотрят.
3.1) даже админы камер попадают в ту сеть с отдельного компьютера, и то для настройки
самой камеры и прочего административного хозяйства. А так всё должно быть
красиво, через видео-регистратор.

4) формально у Вас вся сеть в одном вилане, и что вилан1 что вилан 99 = разницы не какой,
а это значит что так не делается. Вот представляете у Вас 20 камер и каждая камера это
4 мегабитный поток, итого 80 мегабит вся видеосистема, а Вы и компьютеры туда засунули,
и камеры и всё. Смысл тогда было создавать вилан, если формально у Вас всё в одном?
А если клиент будет качать что-то гигабитное, сеть что, встанет?

5) Ну и из 4-его пункта вытекает что сеть у Вас перегружена, и в ней хаус и бардак.
Разный вид трафика или по виду или по безопасности надо разделять.
Отдельный вилан, + отдельная IP-сеть = отдельный вид связи (камеры),
такое справедливо сделать для голоса (IP-voice), ну и ещё ряд сетей,
теже WiFi точки делают отдельно.
И есть одна сеть = общая или грязная.

P.S.
Если есть возможность менять/прикупить управляемые свитчи, то советую это
сделать и расширить сеть, и вывести её на другой уровень.

Спасибо за ответ!

1) То есть добавить шлюзы (20.1 и 42.1) на интерфейс bridge-vlan99 нормально, правильно я Вас понял?
2,3) Уточнил: специалист, который смотрит камеры, подключается к регистраторам.
4,5) Вся сеть была безо всяких виланов вовсе, это я их пытаюсь сейчас внедрить, аккуратно и постепенно, чтобы все не сломать. Для начала отделяю сервера, сеть управления, IT-отдел, гостей (по WiFi). Для начала бы эту задачу завершить, а потом может и до камер дойду. Тогда и смогу обосновать необходимость покупки управляемых свичей.

Despierto писал(а): ↑

11 май 2020, 16:00

1) То есть добавить шлюзы (20.1 и 42.1) на интерфейс bridge-vlan99 нормально, правильно я Вас понял?

Ну на 100% не видя ничего и не понимая, я так утверждать не могу, но в целом думаю на 98% именно так
и надо сделать. Тем более, повесить дополнительные адреса это обычно ни к чему не приводит, потом взять
какое-то устройство, и проверить, что оно (устройство) имея адрес из нужной сети, может и пингует этот шлюз
(шлюз свой, из своей подсети).

Despierto писал(а): ↑

11 май 2020, 16:00

4,5) Вся сеть была безо всяких виланов вовсе, это я их пытаюсь сейчас внедрить, аккуратно и постепенно, чтобы все не сломать. Для начала отделяю сервера, сеть управления, IT-отдел, гостей (по WiFi). Для начала бы эту задачу завершить, а потом может и до камер дойду. Тогда и смогу обосновать необходимость покупки управляемых свичей.

Ну если я правильно на уровне логики понял, Вы сейчас делаете лишнюю работу, виланы делаюсь на базе
свитчей, их у Вас нет, то что Вы сети сейчас делаете, это скорее шаблонно-красивое действие,
всё равно что в одной трубе пускать белую, синюю и красную воду, смысла нет, всё едино, всё перемешается.
Так и Вы сейчас, ну разделите в одну IP-сеть одних, в другую других, да, лёгкий порядок будет,
но без виланов, это ещё раз повторюсь — «косметика» и только.

Vlad-2 писал(а): ↑

11 май 2020, 17:09

в целом думаю на 98% именно так и надо сделать

Благодарю!

Vlad-2 писал(а): ↑

11 май 2020, 17:09

Ну если я правильно на уровне логики понял, Вы сейчас делаете лишнюю работу, виланы делаюсь на базе
свитчей, их у Вас нет, то что Вы сети сейчас делаете, это скорее шаблонно-красивое действие,
всё равно что в одной трубе пускать белую, синюю и красную воду, смысла нет, всё едино, всё перемешается.
Так и Вы сейчас, ну разделите в одну IP-сеть одних, в другую других, да, лёгкий порядок будет,
но без виланов, это ещё раз повторюсь — «косметика» и только.

То ли я неясно выразился, то ли Вас не понял.
Повторюсь: я сейчас отделяю сервера, сеть управления, IT-отдел и гостей в отдельные VLAN70, VLAN80, VLAN50, VLAN10. Свитчи пока в серверной и IT-отделе.
Как управимся с этим — может и видеонаблюдение отделю в отдельный VLAN.
Адресация (20.0 и 42.0) на камерах и регистраторах в офисе и складах была исторически. Я просто сейчас пытаюсь до них достучаться из вилана IT отдела, в котором мы теперь находимся.

Despierto писал(а): ↑

12 май 2020, 13:15

Повторюсь: я сейчас отделяю сервера, сеть управления, IT-отдел и гостей в отдельные VLAN70, VLAN80, VLAN50, VLAN10. Свитчи пока в серверной и IT-отделе.
Как управимся с этим — может и видеонаблюдение отделю в отдельный VLAN.

Значит я Вас не понял. Если есть уже хотя бы 1-2 свитча, и есть настройки на них виланов, уже не плохо!

Despierto писал(а): ↑

12 май 2020, 13:15

Адресация (20.0 и 42.0) на камерах и регистраторах в офисе и складах была исторически. Я просто сейчас пытаюсь до них достучаться из вилана IT отдела, в котором мы теперь находимся.

Виланы созданы для безопасности и для удобства, чтобы между разными сетями ходить,
а это уровень L3 в сетях, используют роутеры, поэтому виланы разделяют Вашу сеть,
а между сетями роутер логически Вас объединяет.

То есть если грубо представить, камеры находясь в одном вилане на 3-5х разных свитчах, для друг
друга они рядом, но для сети они невидимы, но чтобы одна IP-сеть могла попасть
в другую IP-сеть, эту связку делает именно роутер. А это значит роутер должен быть в этих сетях и в этих виланах.

qwasder
бред сивой кобылы — то что на интерфейса два IP адреса еще не значит что его скорость удвоится

Добавлено через 44 секунды:
p.s в компе их на сетевку можно хоть 10ок повесить но скорости в 10Gb это не даст

Саша:qwasder
и как же вы проверили что второй IP рабочий? командой PING?

Очень просто. Напрямую подключил шнурок интернета в комп и настроил интернет с новым айпишником .Поработал так гдето дня три.
Собственно, хотелось что; на комп повесить один айпишник, через роутер, а второй на вай-фай. Когда то попадалась в интернете статья по такому подключению, но тогда эта тема мне была не нужна.

Добавлено через 3 минуты 46 секунд:

Crong:qwasder
Перед маршрутизатором поставь свич/хаб, к нему подключи маршрутизатор и ПК. Маршрутизатору и ПК поставь разные IP.
Это если по простому.

А без свич/хаба — никак?

Crong:qwasder
Либо разбираться с родной прошивкой, либо ставить альтернативную и разбираться как в ней настроить маршрутизацию для нужного результата.

Прошивка от Padavan.
Да, буду разбираться. Пока ничего не нашел, найду поделюсь информацией.

qwasder:обнаружил, что IP-шников (статических) у меня два!

Один внутренний, а второй внешний?

DEVES:

qwasder:обнаружил, что IP-шников (статических) у меня два!

Один внутренний, а второй внешний?

На одном шнурке два айпишника, каждый со своим МАС. Два внешних.
Внутренний в смысле 192.168.1.1 ?

qwasder:
На одном шнурке два айпишника, каждый со своим МАС. Два внешних.
Внутренний в смысле 192.168.1.1 ?

Внутрениий это для работы внутри сети провайдера.

Пример:
локальный 10.4.59.127
внешний 146.75.23.254
Адреса разные, но закреплены за одной железкой

P.S. Про два IP с разными маками непонятно.

Пока что нашел с форума Триолан это:

«Если у Вас будет 2 IP адреса то свой роутер Вы можете использовать как неуправляемый свитч со встроенным WI-FI и у Вас все будет работать без дополнительных настроек.
Для этого надо :
1) На компьютер и ноутбук прописать полученные IP адреса
2) Кабель от нашего свитча и от комьютера включить в порты LAN вашего роутера.
3) Ноутбук подключить к роутеру либо через порт LAN либо подключиться по WI-FI.
4) Не нужны никакие дополнительные настройки роутера — компьютер и ноутбук получают полноценный доступ в Интернет без NAT и
переадресации портов.»

По поводу первого пункта хотелось бы прописать второй айпишник не ноуту, а роутеру который будет работать чисто на вай-фай. В этом случае, комп и роутер живут каждый отдельной жизнью. Как это сделать?

Добавлено через 3 минуты 48 секунд:

c0013r:скорее всего соседский DHCP словил с ПК, а роутер подключается как и должно быть, но так можешь и пароли все потерять, если окажется что сосед не лох, а юный хакер

А как по твоему это могло произойти физически, ты то понимаешь ?