Страница 1 из 3

Несколько независимых ЛВС за одним микротиком.

Добавлено: 14 сен 2012, 12:11
Dragon_Knight
Всем привет.
Хотел уточнить, как более правильно реализовать данную схему:

Код: Выделить всё

                        /-[Сеть 1]
[Интернет]---[Микротик]---[Сеть 2]
                        \-[Сеть 3]

При условии, что никакая из сетей не должна знать и видеть любую другу, но все должны иметь доступ в интернет.
В данный момент я управляю этим в помощью фаервола

Код: Выделить всё

drop form LAN-1 to LAN-2
drop form LAN-1 to LAN-3
drop form LAN-2 to LAN-1
drop form LAN-2 to LAN-3
drop form LAN-3 to LAN-1
drop form LAN-3 to LAN-2


Не знаю на сколько это грамотно :D

Re: Несколько независимых ЛВС за одним микротиком.

Добавлено: 14 сен 2012, 14:29
DeN_238
VLAN ?

Re: Несколько независимых ЛВС за одним микротиком.

Добавлено: 16 сен 2012, 16:18
iSupport
впринцыпе правильно - если необходимо чтобы сети друг про друга не знали = дропать пакеты из одной сети в другую

здесь хорошо использовать ip firewall adress list

как вариант - можно попробывать занести туда 3 подсети сразу и зделать правило

drop src-adress-list=local dst-adress-list=local

просто пакеты в подсети от компа к компу ходят без роутера, а между подсетями через роутер

Re: Несколько независимых ЛВС за одним микротиком.

Добавлено: 04 мар 2013, 14:54
MikST
как можно при этом отвязаться от адресов, а прописывать именно физические порты?
и какое правило будет всё таки наиболее верным с точки зрения снижения нагрузки?

Re: Несколько независимых ЛВС за одним микротиком.

Добавлено: 05 мар 2013, 07:45
iSupport
Если у вас интерфейсы не в brige и не в master-slave

то хождение трафика идет только через роутер и через IP адреса

Re: Несколько независимых ЛВС за одним микротиком.

Добавлено: 05 мар 2013, 10:34
MikST
Доброго времени суток, подскажите как решить вопрос.

LAN - изолировать 1 порт от остальных (например 3-й)

пытаюсь сделать 1 порт полностью изолированным от остальных,
получилось сделать так (для 3 порта):
4.1 - ether3-slave-local убираем master port - none
4.2 - новый бридж-порт (bridge-ports) замыкаем на bridge-local
4.3 - (bridge-ports) ставим 2 фильтра на ether3-slave-local
4.3.1 chain-forward, EX-interface-ether3-slave-local, action-drop
4.3.2 chain-forward, IN-interface-ether3-slave-local, action-drop
правильно ли это?
При таком варианте получается ограничивать лишь скорость на
интерфейсе, не получается воспользоваться Queues (хочется ограничение скорости по времени)

Re: Несколько независимых ЛВС за одним микротиком.

Добавлено: 05 мар 2013, 10:43
simpl3x
MikST писал(а):Доброго времени суток, подскажите как решить вопрос.

LAN - изолировать 1 порт от остальных (например 3-й)

пытаюсь сделать 1 порт полностью изолированным от остальных,
получилось сделать так (для 3 порта):
4.1 - ether3-slave-local убираем master port - none
4.2 - новый бридж-порт (bridge-ports) замыкаем на bridge-local
4.3 - (bridge-ports) ставим 2 фильтра на ether3-slave-local
4.3.1 chain-forward, EX-interface-ether3-slave-local, action-drop
4.3.2 chain-forward, IN-interface-ether3-slave-local, action-drop
правильно ли это?
При таком варианте получается ограничивать лишь скорость на
интерфейсе, не получается воспользоваться Queues (хочется ограничение скорости по времени)

если вы его хотите изолировать, то зачем в бридж пихаете?
или я чего то не понял? 4.2 - не понятный пункт

4.1 - да, потом берете, назначаете ему там свой адрес из другой сети, и фаерволом запрещаете хождение между нужными интерфейсами. в итоге у вас все изолировано. а потом маглом размечаете пакеты и засовываете их в очереди.

Re: Несколько независимых ЛВС за одним микротиком.

Добавлено: 05 мар 2013, 11:06
MikST
в бридж пихаю потому что не понял как дать ему инет

4.2. там делаю Ports и замыкаю на bridge-local

Re: Несколько независимых ЛВС за одним микротиком.

Добавлено: 05 мар 2013, 14:04
simpl3x
не, это не обязательно.

всех настроек я вашего мтика не вижу, но алгоритм примерно следующий:

1. отвязываете от нужного порта master port
2. даете порту какой нибудь адрес из не используемых вами сетей
3. делаете на этом порту dhcp сервер, который будет раздавать адреса из этого диапазона (если нужно)
4. делаете masquarade или src-nat этой подсети для выхода в интернет (все зависит от того как у вас настроен выход в интернет)
5. настраиваете firewall, как вам удобно, либо запрещаете хождение трафика к этой сети от других ваших сетей, либо хождение между этим интерфейсом и бриджем.

должно работать.

а так, вы получается отвязали порт от физического объединения (с помощью чипсета коммутации), и запихнули его в логическое объединение (в бридж)

Re: Несколько независимых ЛВС за одним микротиком.

Добавлено: 05 мар 2013, 14:11
MikST
Спасибо за ответ, но

"4. делаете masquarade или src-nat этой подсети для выхода в интернет (все зависит от того как у вас настроен выход в интернет)"
как не делаю это правило, никак не получается, интернет по PPPoE (тестирую просто Static IP)

Можете подсказать что за правило должно быть, как я понимаю, оно должно быть в IP-Firewall-NAT?