Добрый ночи/день/вечер!
Был бы признателен. Если сможете мне немного объяснить или направить на путь истинный.
Стоит в которе микрот.
Встала задача разнести локалку по отдельным подсетям и закрыть доступ из 12 подсети в 13.
Что было сделано:
1. На одном интерфесе созданы VLANы к примеру 10 бух, 11 продажники, 12 сервис, 13 сервера.
1.2 Создал для каждого VLAN свой Bridge
2. Созданы для каждого VLANа свой ip диапозон. К примеру 10.0/24, 11.0/24, 12.0/24, 13.0/24
3. Создал DHCP для каждого VLANа, с пулом адресов.
4. ПРописал в нате разрешение на выход в инет для определенных сетей.
Сообственно вопрос!
Как мне закрыть доступ к примеру сервису доступ к серверам?
При этом доступ с серверов что бы был к сервису.
Что пробовал:
В ip -Routes-Rules добавлял правило 12.0/24 - 13.0/24 unreachble - доступ закрывался. НО при этом из 13 сети я не смог подключиться ни к одному Ip из 12.
ПРобовал через Firewall 2 разными способами.
1. Создал правило forward из 12 в 13 drop Результат тот же что и при ip-routes
2. Создал 2 правила разрешаюше из 13 в 12 и запрещаюе из 12 в 13.
Результат доступ закрываеться прекрассно. Но проблема остается я не вижу из 13 сети 12....
Мозг сломал. Понимаю, что где-то косяк, причем на ровном месте, но где?....
Несколько VLANов и доступы между ними.
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
nintendoos
- Сообщения: 3
- Зарегистрирован: 27 апр 2020, 00:38
Вот код
Код: Выделить всё
/interface bridge
add admin-mac=74:4D:28:4E:66:F6 auto-mac=no comment=defconf disabled=yes name=\
bridge
add arp=proxy-arp name=bridge1
add arp=proxy-arp fast-forward=no name=clinnnic
add disabled=yes name=tehin
add disabled=yes name=nas
add name=ruba
add fast-forward=no name=test
/interface ethernet
set [ find default-name=ether1 ] mac-address=0C:80:63:4E:E3:02
set [ find default-name=ether4 ] disabled=yes
/interface vlan
add interface=ether3 name=clinnic vlan-id=7
add disabled=yes interface=ether3 name=nas8 vlan-id=8
add interface=ether3 name=vlan3 vlan-id=3
add disabled=yes interface=ether3 name=vlan4 vlan-id=4
add interface=ether3 name=vlan5 vlan-id=5
add interface=ether3 name=vlan6 vlan-id=6
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=profile1 supplicant-identity=""
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=profile2 supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
disabled=no distance=indoors frequency=auto mode=ap-bridge \
security-profile=profile2 ssid=MikroTik wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX \
disabled=no distance=indoors frequency=auto mode=ap-bridge \
security-profile=profile1 ssid=MikroTik5ghz wireless-protocol=802.11
/ip dhcp-server
add disabled=no interface=bridge name=defconf
add disabled=no interface=mtehinvest name=server1
add disabled=no interface=nas name=nas
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.89.10-192.168.89.254
add name=lan ranges=192.168.12.30-192.168.12.130
add name=pool1 ranges=192.168.14.100-192.168.14.110
add name=pool2 ranges=192.168.15.100-192.168.15.110
add name=pool3 ranges=192.168.16.100-192.168.16.102
add name=pool4 ranges=192.168.17.100-192.168.17.105
/ip dhcp-server
add address-pool=lan disabled=no interface=bridge1 name=LAN
add address-pool=pool2 disabled=no interface=test name=server2
add address-pool=pool3 disabled=no interface=shiruba name=ruba
add address-pool=pool4 disabled=no interface=clinnnic name=clinnic
/ppp profile
add change-tcp-mss=yes name=server use-compression=yes use-encryption=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge1 comment=defconf interface=wlan2
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=vlan3
add bridge=tehin interface=vlan4
add bridge=test interface=vlan5
add bridge=ruba interface=vlan6
add bridge=clinnnict interface=clinnic
add bridge=nas interface=nas8
add bridge=bridge1 interface=ether4
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=server enabled=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.89.1/24 comment=defconf interface=ether2 network=\
192.168.89.0
add address=192.168.12.1/24 interface=vlan3 network=192.168.12.0
add address=192.168.14.1/24 disabled=yes interface=vlan4 network=192.168.14.0
add address=192.168.15.1/24 interface=vlan5 network=192.168.15.0
add address=192.168.16.1/24 interface=vlan6 network=192.168.16.0
add address=192.168.17.1/24 interface=clinnic network=192.168.17.0
add address=192.168.20.1/24 disabled=yes interface=nas network=192.168.20.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.12.40 client-id=1:0:11:32:1f:4c:f3 mac-address=\
00:11:32:1F:4C:F3 server=LAN
add address=192.168.12.43 client-id=1:0:11:32:1f:4c:f4 mac-address=\
00:11:32:1F:4C:F4 server=LAN
add address=192.168.12.50 client-id=1:74:d0:2b:c7:88:e0 mac-address=\
74:D0:2B:C7:88:E0 server=LAN
add address=192.168.12.48 client-id=1:c:c4:7a:7f:91:ca mac-address=\
0C:C4:7A:7F:91:CA server=LAN
add address=192.168.12.37 client-id=1:2:11:32:2e:8a:18 mac-address=\
02:11:32:2E:8A:18 server=LAN
add address=192.168.17.102 client-id=1:0:50:56:85:f3:82 mac-address=\
00:50:56:85:F3:82 server=clinnic
add address=192.168.15.100 client-id=1:0:50:56:85:7b:5b mac-address=\
00:50:56:85:7B:5B server=server2
/ip dhcp-server network
add address=192.168.12.0/24 comment=defconf gateway=192.168.12.1
add address=192.168.14.0/24 comment=defconf gateway=192.168.14.1
add address=192.168.15.0/24 gateway=192.168.15.1
add address=192.168.16.0/24 gateway=192.168.16.1
add address=192.168.17.0/24 gateway=192.168.17.1
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
add address=192.168.12.37 name=site1.com
add address=192.168.12.48 name=site2.com
add address=192.168.12.1 name=site3.com
add address=192.168.12.55 name=site4.com
add address=192.168.16.100 name=site5.com
/ip firewall address-list
add address=192.168.88.0/24 list=clinic
add address=192.168.18.0/24 list=clinic
add address=192.168.0.0/24 list=clinic
add address=192.168.12.0/24 list=vlan3
add address=192.168.16.0/24 list=vlan3
/ip firewall filter
add action=drop chain=forward disabled=yes dst-address-list=vlan3 \
src-address-list=clinic
add action=accept chain=input dst-port=5659 protocol=tcp
add action=accept chain=forward dst-address=192.168.17.0/24 src-address=\
192.168.12.0/24
add action=accept chain=forward disabled=yes dst-address=192.168.12.0/24 \
src-address=192.168.15.100
add action=accept chain=forward disabled=yes dst-address=192.168.15.100 \
src-address=192.168.12.50
add action=drop chain=forward disabled=yes src-address=192.168.15.100
add action=drop chain=forward disabled=yes dst-address=192.168.12.0/24 \
src-address=192.168.17.0/24
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=accept chain=forward disabled=yes dst-address=192.168.14.0/24 \
src-address=192.168.12.0/24
add action=accept chain=forward disabled=yes dst-address=192.168.17.0/24 \
src-address=192.168.12.0/24
add action=drop chain=forward connection-state=new disabled=yes dst-address=\
192.168.88.0/24 src-address=192.168.12.0/24
add action=drop chain=forward disabled=yes in-interface=clinnicdent \
out-interface=bridge1
add action=drop chain=forward disabled=yes dst-address=192.168.12.0/24 \
src-address=192.168.17.0/24
add action=drop chain=forward disabled=yes dst-address=192.168.12.1 \
src-address=192.168.17.0/24
add action=drop chain=forward disabled=yes dst-address=!192.168.17.0/24 \
src-address=!192.168.12.1
add action=drop chain=input disabled=yes dst-port=22 protocol=tcp \
src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new disabled=yes \
dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new disabled=yes \
dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new disabled=yes \
dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new disabled=yes \
dst-port=22 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
192.168.14.0/24
add action=masquerade chain=srcnat disabled=yes out-interface-list=WAN \
src-address=192.168.15.0/24
add action=masquerade chain=srcnat src-address=192.168.17.0/24
add action=masquerade chain=srcnat src-address=192.168.16.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
192.168.89.0/24
add action=masquerade chain=srcnat src-address=192.168.12.0/24
add action=netmap chain=dstnat disabled=yes in-interface=tehin protocol=\
tcp src-address=192.168.14.0/24 to-addresses=192.168.14.100 to-ports=80
add action=dst-nat chain=dstnat dst-port=6969 in-interface=ether1 log=yes \
log-prefix=log1 protocol=tcp to-addresses=192.168.16.100 to-ports=22
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.17.102 \
out-interface=bridge1 src-address=192.168.12.50
/ip firewall service-port
set dccp disabled=yes
/ip proxy
set enabled=yes
/ip proxy access
add action=deny comment="block telnet & spam e-mail relaying" dst-port=23-25
add action=deny comment=\
"allow CONNECT only to SSL ports 443 [https] and 563 [snews]" dst-port=\
!443,563 method=CONNECT
/ip proxy direct
add action=deny dst-port=23-25
add dst-host=site3.com dst-port=80
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=172.16.33.2 pref-src=\
172.16.33.1
add distance=1 dst-address=192.168.18.0/24 gateway=172.16.33.3 pref-src=\
172.16.33.1
add distance=1 dst-address=192.168.88.0/24 gateway=172.16.33.4 pref-src=\
172.16.33.1
/ip route rule
add action=unreachable disabled=yes dst-address=192.168.12.0/24 src-address=\
192.168.14.0/24
add action=unreachable disabled=yes dst-address=192.168.12.0/24 src-address=\
192.168.17.0/24
add action=unreachable disabled=yes dst-address=192.168.12.0/24 src-address=\
192.168.16.0/24
add action=unreachable disabled=yes dst-address=192.168.17.0/24 src-address=\
192.168.16.0/24
add action=unreachable disabled=yes dst-address=192.168.16.0/24 src-address=\
192.168.17.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.12.0/24 port=****
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.12.0/24 port=****
set api-ssl disabled=yes
/ppp secret
add disabled=yes local-address=172.16.33.1 name=lomo remote-address=\
172.16.33.2 service=l2tp
add disabled=yes local-address=172.16.33.1 name=Eli remote-address=\
172.16.33.3 service=l2tp
add disabled=yes local-address=172.16.33.1 name=Kol remote-address=\
172.16.33.4 service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=micr
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
-
nintendoos
- Сообщения: 3
- Зарегистрирован: 27 апр 2020, 00:38
Вроде разобрался.
Сам же в своем посте указал....
Если кто посмотрит на мой конфиг, то поймет, что в посте есть ошибка.
Создал правил0 из 12 (прописал их в адрес лист) сети в 13 (так же адрес лист) и потом дропающие правило на 12 сети. все заработало.
Не уверен, что сделал все верно.
Если есть иной способ, буду рад его услышать и попробовать в деле.
Сам же в своем посте указал....
Если кто посмотрит на мой конфиг, то поймет, что в посте есть ошибка.
Создал правил0 из 12 (прописал их в адрес лист) сети в 13 (так же адрес лист) и потом дропающие правило на 12 сети. все заработало.
Не уверен, что сделал все верно.
Если есть иной способ, буду рад его услышать и попробовать в деле.