Изоляция vlan. Не пойму как сделать изоляцию шлюзов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Erik_U писал(а): 27 янв 2020, 18:02
KARaS'b писал(а): 27 янв 2020, 17:51
Собираете свои сети в один адрес лист и в фаерволе пишите

Код: Выделить всё

add action=drop chain=forward dst-address-list=all_lan src-address-list=all_lan
Где all_lan адрес лист с вашими сетями.
А если в дальнейшем вам нужно будет делать исключения. то просто создадите правила для них и поставите их выше этого и это позволит отрабатывать исключениям.
Если у одной сети несколько портов у микротика - между ними в рамках одной сети тоже связи не будет.
Если включен "использовать фанрвол для бриджа" да, а так это чистый l2 никак не маршрутизируемый и не должен затронуть трафик даже если он через микрот гуляет, он же просто проходит через микрот в виде l2.


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Если Hardware Offload на порту не включено, все пакеты обрабатываются ROS в соответствии с правилами.
Могут быть нюансы.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Не полностью и далеко не все варианты конечно, но проверил и не нашел вашим словам подтверждения, L2 трафик ходит спокойно.


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

KARaS'b писал(а): 28 янв 2020, 10:25 Не полностью и далеко не все варианты конечно, но проверил и не нашел вашим словам подтверждения, L2 трафик ходит спокойно.
Ну и хорошо. Значит отличное решение одним правилом.
L2 по мак-адресу работает. Когда арп таблицы пустые, проблем не возникает?


Tarion
Сообщения: 12
Зарегистрирован: 23 янв 2020, 16:59

Erik_U писал(а): 27 янв 2020, 17:46
Tarion писал(а): 27 янв 2020, 13:43
Ну как бы трафик приходящий с порта LAN на подсеть должен перенаправляться на новый неуказанный порт. Пинг до шлюза всех подсетей и правда пропадает :). но это не мешает продолжать ходить в интернет через шлюз любого влана.
То есть как-то странно ICMP режется а TCP пропускается :ne_vi_del:
Если дело только в ограничении выхода в интернет, добавьте в правило
/ip firewall nat
add action=masquerade chain=srcnat out-interface=MGTS

Src. Address = нужная_подсеть/24

И в интернет будет ходить только одна нужная подсеть.

Если нужно выпустить вторую - для нее свое такое же правило.
Нет нет... интернет должен быть у всех, но сетки должны друг друга не видеть в принципе. и чтобы у них была возможность пользоваться шлюзом ТОЛЬКО своей подсети.
единственно чего удалось пока добиться, это правилом

Код: Выделить всё

add action=reject chain=forward dst-address=10.0.0.0/8 reject-with=icmp-network-unreachable src-address=10.0.0.0/8
сделать так, что они, машины в подсетях, не могут пинговать друг друга (кроме шлюзов, а этого мне также не надо). но если руками прописать на машине с адресом например 10.0.102.24 шлюз 10.0.103.254 то все прекрасно работает и машина ходит в инет через чужой шлюз. А мне так не надо!
Последний раз редактировалось Tarion 28 янв 2020, 12:44, всего редактировалось 1 раз.


Tarion
Сообщения: 12
Зарегистрирован: 23 янв 2020, 16:59

KARaS'b писал(а): 27 янв 2020, 17:51
Tarion писал(а): 27 янв 2020, 16:16 В теме рассматривается две подсети, у меня их 9, получается портянка правил (о чем так же упоминал Vqd ниже в той теме).
Собираете свои сети в один адрес лист и в фаерволе пишите

Код: Выделить всё

add action=drop chain=forward dst-address-list=all_lan src-address-list=all_lan
Где all_lan адрес лист с вашими сетями.
А если в дальнейшем вам нужно будет делать исключения. то просто создадите правила для них и поставите их выше этого и это позволит отрабатывать исключениям.
Окей, в первом сообщении я писал об этом правиле. у меня есть такое в фильтрах. Ну чуть иное:

Код: Выделить всё

add action=reject chain=forward dst-address=10.0.0.0/8 reject-with=icmp-network-unreachable src-address=10.0.0.0/8
я поменял его на то что вы посоветовали.
Создал адрес-лист со всеми своими подсетями:

Код: Выделить всё

/ip firewall address-list
add address=10.0.100.0/24 list=ALL_VLANs
add address=10.0.101.0/24 list=ALL_VLANs
add address=10.0.102.0/24 list=ALL_VLANs
add address=10.0.103.0/24 list=ALL_VLANs
add address=10.0.104.0/24 list=ALL_VLANs
add address=10.0.105.0/24 list=ALL_VLANs
add address=10.0.106.0/24 list=ALL_VLANs
add address=10.0.107.0/24 list=ALL_VLANs
add address=10.0.108.0/24 list=ALL_VLANs
и создал правило в фаерволе

Код: Выделить всё

add action=drop chain=forward dst-address-list=ALL_VLANs src-address-list=ALL_VLANs
Оно более правильно выглядит, но тем не менее результат не изменился, машины в разных подсетях, да, друг друга не пингуют, но могут пинговать и пользоваться шлюзом в иной подсети соседнего влана.
то есть если машине с адресом 10.0.102.24 указать шлюз 10.0.103.254, то у нее будет доступ в интернет.


Tarion
Сообщения: 12
Зарегистрирован: 23 янв 2020, 16:59

Erik_U писал(а): 28 янв 2020, 10:55
KARaS'b писал(а): 28 янв 2020, 10:25 Не полностью и далеко не все варианты конечно, но проверил и не нашел вашим словам подтверждения, L2 трафик ходит спокойно.
Ну и хорошо. Значит отличное решение одним правилом.
L2 по мак-адресу работает. Когда арп таблицы пустые, проблем не возникает?
На всякий случай уточню еще раз. у меня бриджов нет. порт с локальными сетями ОДИН. и он же транк. второй порт -- под провайдера.


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Tarion писал(а): 28 янв 2020, 12:39
то есть если машине с адресом 10.0.102.24 указать шлюз 10.0.103.254, то у нее будет доступ в интернет.
У вас с маской на машине не напутано?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Tarion писал(а): 28 янв 2020, 12:30 но если руками прописать на машине с адресом например 10.0.102.24 шлюз 10.0.103.254 то все прекрасно работает и машина ходит в инет через чужой шлюз. А мне так не надо!
Это не возможно, если на клиентах стоит правильная маска, т.к. данный адрес попросту не перекрывается маской и не может быть доступен априори, при обращении к такому шлюза на ваших клиентских устройствах как минимум еще должен присутствовать маршрут до этого самого 10.0.103.254. На клиентах маска точно 24, а не 8, как вы местами указываете, или любая другая. больше 24?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Tarion писал(а): 28 янв 2020, 12:30 но если руками прописать на машине с адресом например 10.0.102.24 шлюз 10.0.103.254 то все прекрасно работает
и машина ходит в инет через чужой шлюз. А мне так не надо!
Как меня эта фраза резанула, думаю что-то не то....

а сейчас, после этой фразы:
Tarion писал(а): 28 янв 2020, 12:30 у меня бриджов нет. порт с локальными сетями ОДИН. и он же транк. второй порт -- под провайдера.
Вырисовывается картина:
Микротик у Вас не роутер в такой ситуации, на один порт ВЫ повесили все адреса(алиасы),
где и как и что будет маршрутизироватся?

Вы должны на одном порту сделать одну сеть, на другом порту другую сеть,
и уже в настройках микротика оградить/запретить такую маршрутизацию.
(трафик должен идти через микротик).

Поэтому и шлюз можно менять и всё работает у Вас при таком подключении.
Обычно если компу поменять шлюз (который не входит в длину его указанной маски)
у Вас просто ничего не будет из сетевого работать.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить