каждый порт в RB951 отдельная подсеть.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Loma64
Сообщения: 21
Зарегистрирован: 20 авг 2019, 21:49

Здравствует !
Я купил Mikrotik RB951 и осознавал, что будет тяжело, но за СТАБИЛЬНОСТЬ надо платить.

Друзья появилась идея такая:

Имеется Mikrotik RB951 и из них 4 порта свободные.

Вот думаю, а если на каждый порт сделать свою подсеть и что бы между собой не общались.
мои действия:

на порт ether1 заходит инет с протоколом рррое соединение.

1. IP - Adresses - выставить на каждый порт адресацию
ether2 - 192.168.10.1/24
ether3 - 192.168.11.1/24
ether4 - 192.168.12.1/24
ether5 - 192.168.13.1/24
2. DHCP поднять на них

3. в файерволе дропонуть между собой подсети типа:
add action=drop chain=forward dst-address=192.168.10.0/24 src-address=192.168.11.0/24 и т д

получается что 10 подесть не сможет выйти на связь с 11 подсетью и т д на каждый подсеть

И вот вопрос:
1. а как тогда подсети 10,11,12,13 разрешить работать в интернете только с портами 22,80,443,+почтовые,3389
2. маскарад для всех один будет ведь, да?

Спасибо.

Поддержите в этом вопросе, спасибо !

Если что вышлю печеньки.


Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

на каждый порт сделать свою подсеть и что бы между собой не общались.
для этого используются VLANы


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

3. в файерволе дропонуть между собой подсети типа:
add action=drop chain=forward dst-address=192.168.10.0/24 src-address=192.168.11.0/24 и т д
Изящней будет так.

Код: Выделить всё

/ip firewall filter
add action=drop chain=forward dst-address-list=lan_net src-address-list=lan_net
где

Код: Выделить всё

/ip firewall address-list
add address=192.168.10.0/24 list=lan_net
add address=192.168.11.0/24 list=lan_net
add address=192.168.12.0/24 list=lan_net
add address=192.168.13.0/24 list=lan_net
Такой конструкцией вы отделаетесь всего одним правилом вместо кучи.
И вот вопрос:
1. а как тогда подсети 10,11,12,13 разрешить работать в интернете только с портами 22,80,443,+почтовые,3389
2. маскарад для всех один будет ведь, да?
Зачем вам запрещать остальные порты? Дело конечно ваше, но с таким подходом вы очень быстро наткнетесь на ресурс, сервис или что-то еще, что работает со "своим" портом и будете долго и упорно гадать почему оно работает где угодно, только не у вас. Но в целом если портов ровно столько, сколько вы указали, то можно отделаться как то так.

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward dst-port=22,80,443,3389 out-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=22,80,443,3389 out-interface=ether1 protocol=udp
add action=drop chain=forward out-interface=ether1
Но повторюсь, решение так себе, чрезмерное "бздение" к хорошему не приведет, возможно будете потом искать решение проблемы которой и быть не должно было.
По поводу маскарада да, можно отделаться одним правилом, в котором нужно указать что маскарадится все, что выходит через ether1 и это правило будет работать вообще для всех.


Loma64
Сообщения: 21
Зарегистрирован: 20 авг 2019, 21:49

Kato писал(а): 30 сен 2019, 15:52
на каждый порт сделать свою подсеть и что бы между собой не общались.
для этого используются VLANы
ну для этого потребуется умный коммутатор который сможет считать теги vlan-ов
или вы имеете ввиду без тегов vlan-ы создать?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Kato писал(а): 30 сен 2019, 15:52
на каждый порт сделать свою подсеть и что бы между собой не общались.
для этого используются VLANы
Зачем? Так как предлагает т.с., при текущем кол-ве подсетей, лучший вариант. В момент когда ему понадобится маршрутизация между сетями, да и так, лучше пропускная способность. А с вашим решением скорость одного физического линка будет делиться на все вланы. Плюс при конфиге как у т.с. ему не нужны управляемы коммутаторы, достаточно обычных, "тупых", но только с учетом, что физически клиенты разных подсетей будут так же разделены.


Loma64
Сообщения: 21
Зарегистрирован: 20 авг 2019, 21:49

KARaS'b писал(а): 30 сен 2019, 16:02
Зачем вам запрещать остальные порты? Дело конечно ваше, но с таким подходом вы очень быстро наткнетесь на ресурс, сервис или что-то еще, что работает со "своим" портом и будете долго и упорно гадать почему оно работает где угодно, только не у вас. Но в целом если портов ровно столько, сколько вы указали, то можно отделаться как то так.
ахахаха как в воду глядели)

я совсем забыл про NAS в сети под адресом 192.168.12.8, что бы к нему могли попасть мне надо в фаерволе прописать такую строчку и поставить его выше запрета т.е. так:
add action=accept chain=forward dst-address-list=10 src-address-list=NAS
где
адрес лист 10 = 192.168.10.1/24
адрес лист NAS = 192.168.12.8

пошла пьянка...,что бы попасть на NAS из вне с определенных ip мне надо в NAT-e прописать строчку типа этого:
add action=dst-nat chain=dstnat dst-address=_мой_внешний_ip dst-port=80,443 in-interface=pppoe-out1 log=yes log-prefix="===NAS===" protocol=tcp src-address-list=v_NAS to-addresses=192.168.12.8
где:
_мой_внешний_ip - белый IP адрес
dst-port=80,443 - порты которые следует открыть
in-interface=pppoe-out1 - протокол подключения к интернету на порту etrher 1
src-address-list=v_NAS - список ip адресов которым разрешено подключение к нам из мира
to-addresses=192.168.12.8 - куда перенаправлять


все верно ?


Ответить