opnsense中设置静态路由会和原本的interface冲突,如果想要使用opnsense的interface则需要删除静态路由(禁用没用),并且重新保存一遍interface。
替换二层交换机的工作:
先再interface->vlan添加所有vlan到bridge接口 在bridge->vlans中为所有vlan设置tagged和untagged,所有vlan都必须tagged bridge和上游接口
如何让mikrotik交换机接管内网流量:
mikrotik添加网关:在mikrotik中添加ip->address添加vlan的网关(192.168.20.2/24)。 取消opnsense的网关:取消enable opnsense中对应vlan的interface。 让流量到达mikrotik网关:添加静态路由将对应vlan的所有流量(192.168.20.0/24)到mikrotik的默认网关(192.168.1.2)
到此已实现内网互通
(可选)添加alias VLAN20: 192.168.20.0/24 让流量允许到达opnsense默认网关:在Lan防火墙规则中,添加允许source VLAN20: 192.168.20.0/24到任何destination 让流量转换成wan地址实现外网连接:在NAT->outbound规则中添加, WAN, source:VLAN20: 192.168.20.0/24, NAT address: WAN address
02/24/26 update 隔离vlan
method1:
/ip firewall address-list
add address=192.168.0.0/16 list=INTERNAL_NETS
add address=172.16.0.0/12 list=INTERNAL_NETS
add address=10.0.0.0/8 list=INTERNAL_NETS
/ip firewall filter
add chain=forward action=accept src-address=192.168.115.0/24 dst-port=53 protocol=udp
add chain=forward action=drop src-address=192.168.115.0/24 dst-address-list=INTERNAL_NETS
Code默认流量直接ACL交换芯片通过不会经过ip firewall,需要强制流量经过防火墙(cpu处理)
/interface bridge settings
set use-ip-firewall=yesmethod2 (推荐):
/interface ethernet switch rule
add switch=switch1 ports=sfp-sfpplus1 vlan-id=115 mac-protocol=ip dst-address=10.0.0.0/8 new-dst-ports=""
add switch=switch1 ports=sfp-sfpplus1 vlan-id=115 mac-protocol=ip dst-address=172.16.0.0/12 new-dst-ports=""
add switch=switch1 ports=sfp-sfpplus1 vlan-id=115 mac-protocol=ip dst-address=192.168.0.0/16 new-dst-ports=""