Как правильней настроить связку CRS326-24G-2S+RM и CSS326-24G-2S+RM для офисного центра

[pashik]

Доброй ночи!

Дано:
Серверная: CRS326-24G-2S+RM - 1шт; CSS326-24G-2S+RM - 1 шт.
Офисное здание на 30 офисов.
Из серверной в каждый офис заведено UTP и установлен простой свитч на 4-7 компьютеров.
Задача: правильно настроить связку CRS326-24G-2S+RM и CSS326-24G-2S+RM, чтоб в офисах был интернет, но офис офиса не видел (не было возможности зайти в сеть другого офиса).

Почитал про Vlan'ы. Вроде как то, что нужно. Но не до конца разобрался.

Вопросы:
1. Почему (без доп.правил) компьютер из одного бриджа (192.168.1.1/24) пингует компьютер другого бриджа (192.168.2.1/24)
2. То же у меня выходит с Vlan'ами. Почему (без доп.правил) компьютер из одного Vlan'а (192.168.10.1/24) пингует компьютер другого Vlan'а (192.168.20.1/24)
3. Можно ли для моей задачи обойтись только бриджами? Или лучше использовать Vlan'ы?
4. Предложите свой вариант решения задачи.

[gmx]

1. Подсети видны потому, что у микротика по-умолчанию все маршрутизируется по принципу "всюду и со всеми". Так и должно быть.
2. VLAN тут ни причем. Помните, что VLAN работает на 2-ом уровне OSI, а маршрутизация на 4-ом, а иногда и на 5-ом. То есть, если у подсетей шлюзом микротик, то все работает как в п.1, и когда дело дошло до IP маршрутизации, то VLAN уже остались далеко позади.
3. VLAN используются для других задач, немного. VLAN - это, фактически, виртуальный канал в одном общем канале. Их используют тогда, когда нужно в одном общем канале передачи пропустить несколько сетей, не смешивая их, читай в одном проводе несколько подсетей.
4. Совет такой: не использовать бриджи и VLAN. Для каждого офиса - своя подсеть. Для каждого офиса свой Ether порт, которому назначен IP из подсети офиса, и он же шлюз для этого офиса, до каждого офиса свой физический провод UTP.
Необходимую изоляцию настраиваем согласно подробной теме viewtopic.php?f=15&t=6572

[pashik]

Перечитал тему. Интересно. Но появилось еще больше вопросов.
1. Какое правило мне создать для запрета доступа между портами (при этом внутри порта все должно бегать).
2. Как я понимаю, после запрещающего (доступ ко всем) правила пропадет и интернет на портах. Каким вышестоящим правилом его разрешить?
3. Если все правила строить на запрете/разрешении IP-адреса, как обезопасить сеть, если пользователь введет статический IP?

[Mekok]

как обезопасить сеть, если пользователь введет статический IP?

на бридже arp поставить reply-only

[gmx]

Перечитал тему. Интересно. Но появилось еще больше вопросов.
1. Какое правило мне создать для запрета доступа между портами (при этом внутри порта все должно бегать).
2. Как я понимаю, после запрещающего (доступ ко всем) правила пропадет и интернет на портах. Каким вышестоящим правилом его разрешить?
3. Если все правила строить на запрете/разрешении IP-адреса, как обезопасить сеть, если пользователь введет статический IP?

1. Еще раз, у вас роутер, а он маршрутизирует подсети, а не порты. Поэтому создаем правила запрета доступа между сетями, а не портами. (Между портами тоже можно, но это другая история).
2. Если правильно писать запрещающие правила, то интеренет не пропадет. Читайте вышеобозначенную тему более внимательно.
3. Один из простейших вариантов viewtopic.php?f=13&t=5180&p=32599#p32599

и еще , как советовали, https://qna.habr.com/q/562657

[pashik]

Пришел к такому решению:

Каждому ether-порту создал адрес 192.168.x.0/24 и соответственно DHCP-сервер.

Создал "Address Lists" "LAN" и добавил в него все сети:
# LIST ADDRESS CREATION-TIME
0 LAN 192.168.2.0/24 mar/07/2020 15:39:08
1 LAN 192.168.3.0/24 mar/07/2020 15:39:27
2 LAN 192.168.4.0/24 mar/07/2020 15:40:18
и т.д.

Создал правило маскарада в NAT:
0 chain=srcnat action=masquerade out-interface=pppoe-out1 log=no log-prefix=""

Создал правило для изоляции между подсетями:
0 chain=forward action=drop src-address-list=LAN dst-address-list=LAN log=no log-prefix=""

В dhcp установил опцию «Add ARP For Leases».
В бридже ARP указал «reply-only».

Вроде как все работает как мне нужно: трафик внутри подсети есть, сети изолированы, интернет есть, ручной ввод IP не работает.

Правильно ли все я сделал? Не оставил ли лазеек для "доброжелателей"?

[algerka]

Помните, что VLAN работает на 2-ом уровне OSI, а маршрутизация на 4-ом, а иногда и на 5-ом.

Куда мир катится

[pashik]

Помните, что VLAN работает на 2-ом уровне OSI, а маршрутизация на 4-ом, а иногда и на 5-ом.

Куда мир катится

можно чуть подробней?

[algerka]

Помните, что VLAN работает на 2-ом уровне OSI, а маршрутизация на 4-ом, а иногда и на 5-ом.

Куда мир катится

можно чуть подробней?

Видимо я отстал от жизни считая что маршрутизация на 3 уровне.

[gmx]

Оно конечно все так, в идеальной теории osi маршрутизация на третьем. Уровень IP. Но в реалии - это несколько размыто, как только мы добавляем различные условия в правила маршрутизации, мы, фактически, прыгаем выше, но задача-то по прежнему маршрутизация. Отчасти в этом микротик виноват, простота, с которой осуществляется интеграция условий высокого уровня OSI, в правила маршрутизации, расхолаживает. :)

Но в целом вы правы, это третий уровень межсетевого взаимодействия.