Несколько независимых ЛВС за одним микротиком.

Обсуждение ПО и его настройки
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Всем привет.
Хотел уточнить, как более правильно реализовать данную схему:

Код: Выделить всё

                        /-[Сеть 1]
[Интернет]---[Микротик]---[Сеть 2]
                        \-[Сеть 3]

При условии, что никакая из сетей не должна знать и видеть любую другу, но все должны иметь доступ в интернет.
В данный момент я управляю этим в помощью фаервола

Код: Выделить всё

drop form LAN-1 to LAN-2
drop form LAN-1 to LAN-3
drop form LAN-2 to LAN-1
drop form LAN-2 to LAN-3
drop form LAN-3 to LAN-1
drop form LAN-3 to LAN-2


Не знаю на сколько это грамотно :D


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
DeN_238
Сообщения: 255
Зарегистрирован: 19 фев 2012, 16:42
Откуда: Тольятти

VLAN ?


2011UAS-2HnD-IN | v. 6.40.4 | FW 3.41
mAP 2n | v. 6.40.4 | FW 3.41
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

впринцыпе правильно - если необходимо чтобы сети друг про друга не знали = дропать пакеты из одной сети в другую

здесь хорошо использовать ip firewall adress list

как вариант - можно попробывать занести туда 3 подсети сразу и зделать правило

drop src-adress-list=local dst-adress-list=local

просто пакеты в подсети от компа к компу ходят без роутера, а между подсетями через роутер


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
MikST
Сообщения: 19
Зарегистрирован: 04 мар 2013, 14:52

как можно при этом отвязаться от адресов, а прописывать именно физические порты?
и какое правило будет всё таки наиболее верным с точки зрения снижения нагрузки?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Если у вас интерфейсы не в brige и не в master-slave

то хождение трафика идет только через роутер и через IP адреса


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
MikST
Сообщения: 19
Зарегистрирован: 04 мар 2013, 14:52

Доброго времени суток, подскажите как решить вопрос.

LAN - изолировать 1 порт от остальных (например 3-й)

пытаюсь сделать 1 порт полностью изолированным от остальных,
получилось сделать так (для 3 порта):
4.1 - ether3-slave-local убираем master port - none
4.2 - новый бридж-порт (bridge-ports) замыкаем на bridge-local
4.3 - (bridge-ports) ставим 2 фильтра на ether3-slave-local
4.3.1 chain-forward, EX-interface-ether3-slave-local, action-drop
4.3.2 chain-forward, IN-interface-ether3-slave-local, action-drop
правильно ли это?
При таком варианте получается ограничивать лишь скорость на
интерфейсе, не получается воспользоваться Queues (хочется ограничение скорости по времени)


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

MikST писал(а):Доброго времени суток, подскажите как решить вопрос.

LAN - изолировать 1 порт от остальных (например 3-й)

пытаюсь сделать 1 порт полностью изолированным от остальных,
получилось сделать так (для 3 порта):
4.1 - ether3-slave-local убираем master port - none
4.2 - новый бридж-порт (bridge-ports) замыкаем на bridge-local
4.3 - (bridge-ports) ставим 2 фильтра на ether3-slave-local
4.3.1 chain-forward, EX-interface-ether3-slave-local, action-drop
4.3.2 chain-forward, IN-interface-ether3-slave-local, action-drop
правильно ли это?
При таком варианте получается ограничивать лишь скорость на
интерфейсе, не получается воспользоваться Queues (хочется ограничение скорости по времени)

если вы его хотите изолировать, то зачем в бридж пихаете?
или я чего то не понял? 4.2 - не понятный пункт

4.1 - да, потом берете, назначаете ему там свой адрес из другой сети, и фаерволом запрещаете хождение между нужными интерфейсами. в итоге у вас все изолировано. а потом маглом размечаете пакеты и засовываете их в очереди.


MikST
Сообщения: 19
Зарегистрирован: 04 мар 2013, 14:52

в бридж пихаю потому что не понял как дать ему инет

4.2. там делаю Ports и замыкаю на bridge-local
Вложения
mik-brid.JPG
mik-brid.JPG (47.92 КБ) 4698 просмотров


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

не, это не обязательно.

всех настроек я вашего мтика не вижу, но алгоритм примерно следующий:

1. отвязываете от нужного порта master port
2. даете порту какой нибудь адрес из не используемых вами сетей
3. делаете на этом порту dhcp сервер, который будет раздавать адреса из этого диапазона (если нужно)
4. делаете masquarade или src-nat этой подсети для выхода в интернет (все зависит от того как у вас настроен выход в интернет)
5. настраиваете firewall, как вам удобно, либо запрещаете хождение трафика к этой сети от других ваших сетей, либо хождение между этим интерфейсом и бриджем.

должно работать.

а так, вы получается отвязали порт от физического объединения (с помощью чипсета коммутации), и запихнули его в логическое объединение (в бридж)


MikST
Сообщения: 19
Зарегистрирован: 04 мар 2013, 14:52

Спасибо за ответ, но

"4. делаете masquarade или src-nat этой подсети для выхода в интернет (все зависит от того как у вас настроен выход в интернет)"
как не делаю это правило, никак не получается, интернет по PPPoE (тестирую просто Static IP)

Можете подсказать что за правило должно быть, как я понимаю, оно должно быть в IP-Firewall-NAT?


Ответить