Подскажите пожалуйста бест практик как делается эта схема:
один провайдер PPPoE через Eth1 - WAN
подесть 192.168.0.0/24 - Eth2
подесть 192.168.16.0/24 - Eth3 (LAN2)
Задача:
Хождение между подсетями закрыть.
Обе подсети выпустить в интрнет.
Я реализовал это без помощи Firewall правил.
Один интерфейс увел в другой VRF - LAN2
Добавил еще один маршрут по умолчанию в роутах LAN2 на интерфейс WAN
Добавил маскарад для подсети 192.168.16.0/24
и правило Policy Routing Rule
add dst-address=192.168.16.0/24 interface=WAN table=LAN2, все что идет с WAN в 192.168.16.0/24 направлять в таблицу роутов LAN2.
Все настройки:
Код: Выделить всё
/ip route
add distance=1 gateway=WAN routing-mark=LAN2
/ip route rule
add dst-address=192.168.48.0/24 interface=WAN table=LAN2
/ip route vrf
add interfaces=ether3 routing-mark=LAN2
/ip firewall nat
add action=masquerade chain=srcnat log=yes log-prefix="NAT --->" out-interface=WAN src-address=192.168.16.0/24
Неприятность в том, что из одной подсети можно пинговать шлюз другой сети микротика...
Хочется услышать мнение экспертов
- насколько устойчиво это решение к взлому (цель получить доступ из одной подсети в другую)
- насколько это просто в настройке, по сравнению с бест практис.
- и какова же бест практис в этом вопросе?
Спасибо...