Изоляция vlan. Не пойму как сделать изоляцию шлюзов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Tarion
Сообщения: 12
Зарегистрирован: 23 янв 2020, 16:59

Добрый день! настраиваю изоляцию vlan, в принципе все сделал, но результат не устраивает. Какая-то изоляция фейковая получилась.
Сами машины разделены на вланы с адресацией
10.0.100.0/24
10.0.101.0/24
10.0.102.0/24
....
10.0.108.0/24
Друг друга машины не видят, но шлюзы любого другого влана им доступны (и если ручками указать шлюз иного влана у себя, машина легко пойдет в инет через этот чужой шлюз, а этого не хочется). Перекопал этот форум, но по всей видимости решение пропустил. Получается у меня изоляция сделана как в этом сообщении.
Правилом:

Код: Выделить всё

add action=reject chain=forward dst-address=10.0.0.0/8 reject-with=icmp-network-unreachable src-address=10.0.0.0/8
Но данный метод изоляции помечен автором как некорректный. Может это надо делать не через правила firewall? Но как - я пока не знаю. пожалуйста подскажите куда копать?
Схема простая: в eth1 втыкается провайдер, в eth5 - LAN который идет на большой свич и является транком. (eth9 включен напрямик в компьютер и его можно не рассматривать. Это соединение временное)

Код: Выделить всё

# jan/24/2020 11:04:46 by RouterOS 6.46.2
# software id = R033-LG66
#
# model = RouterBOARD 3011UiAS
# serial number = B88D0B3B8AA1
/interface ethernet
set [ find default-name=ether9 ] name=DirectLan
set [ find default-name=ether5 ] name=LAN
set [ find default-name=ether1 ] comment="Connect to Provider MGTS [eth1]" \
    name=MGTS
set [ find default-name=ether2 ] disabled=yes
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether10 ] disabled=yes
set [ find default-name=sfp1 ] disabled=yes
/interface vlan
add interface=LAN name=100 vlan-id=100
add interface=LAN name=101 vlan-id=101
add interface=LAN name=102 vlan-id=102
add interface=LAN name=103 vlan-id=103
add interface=LAN name=104 vlan-id=104
add interface=LAN name=105 vlan-id=105
add interface=LAN name=106 vlan-id=106
add interface=LAN name=107 vlan-id=107
add interface=LAN name=108 vlan-id=108
/interface list
add name=ALL_Vlans
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/user group
set read policy="local,telnet,ssh,read,test,winbox,password,web,sniff,api,romo\
    n,tikapp,!ftp,!reboot,!write,!policy,!sensitive,!dude"
/interface list member
add interface=100 list=ALL_Vlans
add interface=101 list=ALL_Vlans
add interface=102 list=ALL_Vlans
add interface=103 list=ALL_Vlans
add interface=104 list=ALL_Vlans
add interface=105 list=ALL_Vlans
add interface=106 list=ALL_Vlans
add interface=107 list=ALL_Vlans
add interface=108 list=ALL_Vlans
/interface pptp-server server
set enabled=yes
/ip address
add address=197.19.104.76/30 interface=MGTS network=197.19.104.74
add address=10.0.101.254/24 interface=101 network=10.0.101.0
add address=10.0.102.254/24 interface=102 network=10.0.102.0
add address=10.0.103.254/24 interface=103 network=10.0.103.0
add address=10.0.104.254/24 interface=104 network=10.0.104.0
add address=10.0.100.254/24 interface=100 network=10.0.100.0
add address=10.0.105.254/24 interface=105 network=10.0.105.0
add address=10.0.106.254/24 interface=106 network=10.0.106.0
add address=10.0.107.254/24 interface=107 network=10.0.107.0
add address=10.0.108.254/24 interface=108 network=10.0.108.0
/ip dns
set servers=8.8.8.8,77.88.8.8
/ip firewall filter
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input disabled=yes dst-address=10.0.0.0/8 \
    in-interface=100
add action=reject chain=forward dst-address=10.0.0.0/8 reject-with=\
    icmp-network-unreachable src-address=10.0.0.0/8
add action=drop chain=forward comment="Drop all from WAN (MGTS) not DSTNATed" \
    connection-nat-state=dstnat connection-state=new in-interface=MGTS
/ip firewall nat
add action=masquerade chain=srcnat out-interface=MGTS
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set sip disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=197.19.104.75
/ip service
set telnet disabled=yes
set ftp address=10.0.100.0/24,10.0.101.0/24
set www disabled=yes
set ssh address=10.0.101.0/24,10.0.100.0/24 port=8033
set api disabled=yes
set winbox address=10.0.100.0/24,10.0.101.0/24 port=38033
set api-ssl disabled=yes
/lcd
set backlight-timeout=5m read-only-mode=yes
/lcd screen
set 3 disabled=yes
/ppp secret
add local-address=10.0.100.254 name=xxx password=xxx \
    remote-address=10.0.100.100 routes=10.0.101.0/24
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=194.190.168.1 secondary-ntp=37.193.156.169 \
    server-dns-names=8.8.8.8
/tool traffic-monitor
add interface=MGTS name=tmon1 threshold=0 trigger=always


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Почитайте внимательно что такое vlan.
На пальцах vlan это виртуальные кабеля между сетевыми устройствами типа "умные свичи", которые виртуально проложены вместе с физическим кабелем и не пересекаются между собой.

А теперь перечитайте Ваш пост.
Tarion писал(а): 24 янв 2020, 11:28 настраиваю изоляцию vlan ...
Изолировать vlan нельзя он и так изолированный по определению. Изолировать нужно СЕТИ!
Tarion писал(а): 24 янв 2020, 11:28 Сами машины разделены на вланы...
Машины не могут быть разделены на вланы, машины могут быть разнесены в различные СЕТИ!
Ну и так далее по тексту :ni_zia:

Вам нужно настроить изоляцию сетей.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Ca6ko писал(а): 24 янв 2020, 16:41
Изолировать vlan нельзя он и так изолированный по определению. Изолировать нужно СЕТИ!
Это просто способ говорить.

https://wiki.mikrotik.com/wiki/Manual:S ... ated_VLANs
Isolated VLANs
If your device has a rule table, then you can limit access between VLANs on a hardware level. As soon as you add an IP address on the VLAN interface you enable interVLAN routing, but this can be limited on a hardware level yet preserving DHCP Server and other router related services' functionality. To do so, use these ACL rules:

Код: Выделить всё

/interface ethernet switch rule
add dst-address=192.168.20.0/24 new-dst-ports="" ports=ether2 switch=switch1
add dst-address=192.168.10.0/24 new-dst-ports="" ports=ether3 switch=switch1
And you are done! With this type of configuration you can achieve isolated port groups using VLANs.


Tarion
Сообщения: 12
Зарегистрирован: 23 янв 2020, 16:59

Erik_U писал(а): 24 янв 2020, 16:50 https://wiki.mikrotik.com/wiki/Manual:S ... ated_VLANs
Isolated VLANs
If your device has a rule table, then you can limit access between VLANs on a hardware level. As soon as you add an IP address on the VLAN interface you enable interVLAN routing, but this can be limited on a hardware level yet preserving DHCP Server and other router related services' functionality. To do so, use these ACL rules:

Код: Выделить всё

/interface ethernet switch rule
add dst-address=192.168.20.0/24 new-dst-ports="" ports=ether2 switch=switch1
add dst-address=192.168.10.0/24 new-dst-ports="" ports=ether3 switch=switch1
And you are done! With this type of configuration you can achieve isolated port groups using VLANs.
Спасибо! Прочитал. То есть получается, что здесь то что приходит на 20 подсеть с порта ether2 и на 10 подсеть с порта ether3 перенаправляется на новый неуказанный порт -- то есть в никуда.
Но у меня один порт. на котором кучка вланов.
даже если проэксперементировать и сделать так:
/interface ethernet switch rule
add dst-address=10.0.101.0/24 new-dst-ports="" ports=LAN switch=switch1
add dst-address=10.0.102.0/24 new-dst-ports="" ports=LAN switch=switch1
...
add dst-address=10.0.108.0/24 new-dst-ports="" ports=LAN switch=switch1
Ну как бы трафик приходящий с порта LAN на подсеть должен перенаправляться на новый неуказанный порт. Пинг до шлюза всех подсетей и правда пропадает :). но это не мешает продолжать ходить в интернет через шлюз любого влана.
То есть как-то странно ICMP режется а TCP пропускается :ne_vi_del:


Tarion
Сообщения: 12
Зарегистрирован: 23 янв 2020, 16:59

Ca6ko писал(а): 24 янв 2020, 16:41 Почитайте внимательно что такое vlan.
На пальцах vlan это виртуальные кабеля между сетевыми устройствами типа "умные свичи", которые виртуально проложены вместе с физическим кабелем и не пересекаются между собой.

А теперь перечитайте Ваш пост.
Tarion писал(а): 24 янв 2020, 11:28 настраиваю изоляцию vlan ...
Изолировать vlan нельзя он и так изолированный по определению. Изолировать нужно СЕТИ!
Tarion писал(а): 24 янв 2020, 11:28 Сами машины разделены на вланы...
Машины не могут быть разделены на вланы, машины могут быть разнесены в различные СЕТИ!
Ну и так далее по тексту :ni_zia:

Вам нужно настроить изоляцию сетей.
Да, спасибо. Я вас услышал. Мне надо настроить изоляцию сетей. У вас случайно нет решения для этой задачи?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну вам же выше все подсказали, правда на английском.

Есть тема, в которой все разжевано viewtopic.php?f=15&t=6572


Tarion
Сообщения: 12
Зарегистрирован: 23 янв 2020, 16:59

gmx писал(а): 27 янв 2020, 14:51 Ну вам же выше все подсказали, правда на английском.
Я прочитал что мне подсказали и написал вопрос по этой подсказке, он тоже выше.
gmx писал(а): 27 янв 2020, 14:51 Есть тема, в которой все разжевано viewtopic.php?f=15&t=6572
Я читал эту тему с вашим участием.
В этом сообщении урл недействителен, увы. В основном вы предлагаете там использовать правило типа add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.77.0/24. В теме рассматривается две подсети, у меня их 9, получается портянка правил (о чем так же упоминал Vqd ниже в той теме).
у меня это правило переложенное на мои адреса работает для всех адресов подсетей, кроме шлюзов. Оттуда тема и пошла.
В добавок, ниже, в той теме модератор vqd давал свой пример правил, о чем я писал в самом первом своем сообщении. Собственно от чего вопрос темы и возник.

Скорее всего я читаю всю эту информацию и не правильно что-то понимаю. Тогда большая просьба ТЫКНИТЕ в это пальцем. Ну не вижу я!


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Tarion писал(а): 27 янв 2020, 13:43
Ну как бы трафик приходящий с порта LAN на подсеть должен перенаправляться на новый неуказанный порт. Пинг до шлюза всех подсетей и правда пропадает :). но это не мешает продолжать ходить в интернет через шлюз любого влана.
То есть как-то странно ICMP режется а TCP пропускается :ne_vi_del:
Если дело только в ограничении выхода в интернет, добавьте в правило
/ip firewall nat
add action=masquerade chain=srcnat out-interface=MGTS

Src. Address = нужная_подсеть/24

И в интернет будет ходить только одна нужная подсеть.

Если нужно выпустить вторую - для нее свое такое же правило.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Tarion писал(а): 27 янв 2020, 16:16 В теме рассматривается две подсети, у меня их 9, получается портянка правил (о чем так же упоминал Vqd ниже в той теме).
Собираете свои сети в один адрес лист и в фаерволе пишите

Код: Выделить всё

add action=drop chain=forward dst-address-list=all_lan src-address-list=all_lan
Где all_lan адрес лист с вашими сетями.
А если в дальнейшем вам нужно будет делать исключения. то просто создадите правила для них и поставите их выше этого и это позволит отрабатывать исключениям.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

KARaS'b писал(а): 27 янв 2020, 17:51
Собираете свои сети в один адрес лист и в фаерволе пишите

Код: Выделить всё

add action=drop chain=forward dst-address-list=all_lan src-address-list=all_lan
Где all_lan адрес лист с вашими сетями.
А если в дальнейшем вам нужно будет делать исключения. то просто создадите правила для них и поставите их выше этого и это позволит отрабатывать исключениям.
Если у одной сети несколько портов у микротика - между ними в рамках одной сети тоже связи не будет.


Ответить