Несколько независимых ЛВС за одним микротиком.

Обсуждение ОС и пр.
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1197
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Несколько независимых ЛВС за одним микротиком.

Сообщение Dragon_Knight » 14 сен 2012, 12:11

Всем привет.
Хотел уточнить, как более правильно реализовать данную схему:

Код: Выделить всё

                        /-[Сеть 1]
[Интернет]---[Микротик]---[Сеть 2]
                        \-[Сеть 3]

При условии, что никакая из сетей не должна знать и видеть любую другу, но все должны иметь доступ в интернет.
В данный момент я управляю этим в помощью фаервола

Код: Выделить всё

drop form LAN-1 to LAN-2
drop form LAN-1 to LAN-3
drop form LAN-2 to LAN-1
drop form LAN-2 to LAN-3
drop form LAN-3 to LAN-1
drop form LAN-3 to LAN-2


Не знаю на сколько это грамотно :D

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
Аватара пользователя
DeN_238
Сообщения: 287
Зарегистрирован: 19 фев 2012, 16:42
Откуда: Тольятти

Re: Несколько независимых ЛВС за одним микротиком.

Сообщение DeN_238 » 14 сен 2012, 14:29

VLAN ?
2011UAS-2HnD-IN | v. 6.37.1 | FW 3.33
mAP 2n | v. 6.36.3 | FW 3.24
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Несколько независимых ЛВС за одним микротиком.

Сообщение iSupport » 16 сен 2012, 16:18

впринцыпе правильно - если необходимо чтобы сети друг про друга не знали = дропать пакеты из одной сети в другую

здесь хорошо использовать ip firewall adress list

как вариант - можно попробывать занести туда 3 подсети сразу и зделать правило

drop src-adress-list=local dst-adress-list=local

просто пакеты в подсети от компа к компу ходят без роутера, а между подсетями через роутер
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
MikST
Сообщения: 20
Зарегистрирован: 04 мар 2013, 14:52

Re: Несколько независимых ЛВС за одним микротиком.

Сообщение MikST » 04 мар 2013, 14:54

как можно при этом отвязаться от адресов, а прописывать именно физические порты?
и какое правило будет всё таки наиболее верным с точки зрения снижения нагрузки?
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Несколько независимых ЛВС за одним микротиком.

Сообщение iSupport » 05 мар 2013, 07:45

Если у вас интерфейсы не в brige и не в master-slave

то хождение трафика идет только через роутер и через IP адреса
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
MikST
Сообщения: 20
Зарегистрирован: 04 мар 2013, 14:52

Re: Несколько независимых ЛВС за одним микротиком.

Сообщение MikST » 05 мар 2013, 10:34

Доброго времени суток, подскажите как решить вопрос.

LAN - изолировать 1 порт от остальных (например 3-й)

пытаюсь сделать 1 порт полностью изолированным от остальных,
получилось сделать так (для 3 порта):
4.1 - ether3-slave-local убираем master port - none
4.2 - новый бридж-порт (bridge-ports) замыкаем на bridge-local
4.3 - (bridge-ports) ставим 2 фильтра на ether3-slave-local
4.3.1 chain-forward, EX-interface-ether3-slave-local, action-drop
4.3.2 chain-forward, IN-interface-ether3-slave-local, action-drop
правильно ли это?
При таком варианте получается ограничивать лишь скорость на
интерфейсе, не получается воспользоваться Queues (хочется ограничение скорости по времени)
Аватара пользователя
simpl3x
Модератор
Сообщения: 1884
Зарегистрирован: 19 апр 2012, 14:03

Re: Несколько независимых ЛВС за одним микротиком.

Сообщение simpl3x » 05 мар 2013, 10:43

MikST писал(а):Доброго времени суток, подскажите как решить вопрос.

LAN - изолировать 1 порт от остальных (например 3-й)

пытаюсь сделать 1 порт полностью изолированным от остальных,
получилось сделать так (для 3 порта):
4.1 - ether3-slave-local убираем master port - none
4.2 - новый бридж-порт (bridge-ports) замыкаем на bridge-local
4.3 - (bridge-ports) ставим 2 фильтра на ether3-slave-local
4.3.1 chain-forward, EX-interface-ether3-slave-local, action-drop
4.3.2 chain-forward, IN-interface-ether3-slave-local, action-drop
правильно ли это?
При таком варианте получается ограничивать лишь скорость на
интерфейсе, не получается воспользоваться Queues (хочется ограничение скорости по времени)

если вы его хотите изолировать, то зачем в бридж пихаете?
или я чего то не понял? 4.2 - не понятный пункт

4.1 - да, потом берете, назначаете ему там свой адрес из другой сети, и фаерволом запрещаете хождение между нужными интерфейсами. в итоге у вас все изолировано. а потом маглом размечаете пакеты и засовываете их в очереди.
MikST
Сообщения: 20
Зарегистрирован: 04 мар 2013, 14:52

Re: Несколько независимых ЛВС за одним микротиком.

Сообщение MikST » 05 мар 2013, 11:06

в бридж пихаю потому что не понял как дать ему инет

4.2. там делаю Ports и замыкаю на bridge-local
Вложения
mik-brid.JPG
mik-brid.JPG (47.92 КБ) 408 просмотров
Аватара пользователя
simpl3x
Модератор
Сообщения: 1884
Зарегистрирован: 19 апр 2012, 14:03

Re: Несколько независимых ЛВС за одним микротиком.

Сообщение simpl3x » 05 мар 2013, 14:04

не, это не обязательно.

всех настроек я вашего мтика не вижу, но алгоритм примерно следующий:

1. отвязываете от нужного порта master port
2. даете порту какой нибудь адрес из не используемых вами сетей
3. делаете на этом порту dhcp сервер, который будет раздавать адреса из этого диапазона (если нужно)
4. делаете masquarade или src-nat этой подсети для выхода в интернет (все зависит от того как у вас настроен выход в интернет)
5. настраиваете firewall, как вам удобно, либо запрещаете хождение трафика к этой сети от других ваших сетей, либо хождение между этим интерфейсом и бриджем.

должно работать.

а так, вы получается отвязали порт от физического объединения (с помощью чипсета коммутации), и запихнули его в логическое объединение (в бридж)
MikST
Сообщения: 20
Зарегистрирован: 04 мар 2013, 14:52

Re: Несколько независимых ЛВС за одним микротиком.

Сообщение MikST » 05 мар 2013, 14:11

Спасибо за ответ, но

"4. делаете masquarade или src-nat этой подсети для выхода в интернет (все зависит от того как у вас настроен выход в интернет)"
как не делаю это правило, никак не получается, интернет по PPPoE (тестирую просто Static IP)

Можете подсказать что за правило должно быть, как я понимаю, оно должно быть в IP-Firewall-NAT?

Вернуться в «MikroTik RouterOS»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость