Изолирование двух подсетей

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
ullquiorra
Сообщения: 9
Зарегистрирован: 25 апр 2013, 17:26

Поиском найти не смог, видимо совсем проблема глупая и мне должно быть стыдно, но я, что-то, никак не могу справиться.

Что мы имеем:
RB750 в роли домашнего роутера.
1 порт - WAN, 2 и 3 - бридж1, 4 и 5 - бридж2.
На бридже1 адрес 192.168.1.1, на бридже2 - 192.168.0.1.
Диашсипи сервера выдают соответственные настройки на каждый бридж.

Задача: изолировать первую подсеть от нулевой, без вланов, так, чтобы микротик натил один и тот же интернет на обе подсети, но не давал им между собой общаться через себя.

Чисто логически понятно, что нужно закрыть форвардинг бридж1 -> бридж2 и аналоично бридж2 -> бридж1. Bridge filter, по логике, позволяет реализовать такой фукционал. Но то ли я чего-то не так понял, то ли я синтаксически где-то промахнулся...

Знающие люди, не поделитесь скриншотом винбокса с реализацией такого фильтра?


ullquiorra
Сообщения: 9
Зарегистрирован: 25 апр 2013, 17:26

Поиском не нашел, но покликав соседние темы, все-таки, смог по крупицам собрать нужную мне информацию.
В итоге реализовал не бридж-фильтром, а фаерволльным.

IP > Firewall > Address Lists
Создаем адресс-лист для 192.168.0.0/24 (я назвал local0)
Создаем адресс-лист для 192.168.1.0/24 (я назвал local1)

New Terminal
ip firewall filter add drop src-address-list=local0 dst-address-list=local1 chain=forward #дропаем пакеты из 192.168.0.0/24 в 192.168.1.0/24
ip firewall filter add drop src-address-list=local1 dst-address-list=local0 chain=forward #дропаем пакеты в обратном направлении

На выходе имеем две изолированные друг от друга подсетки :)


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Я сделал то же самое, только без адрес-листа. Просто прописывал адреса сетей.


ullquiorra
Сообщения: 9
Зарегистрирован: 25 апр 2013, 17:26

plin2s писал(а):Я сделал то же самое, только без адрес-листа. Просто прописывал адреса сетей.

Так даже правильнее, меньше костылей :)
Завтра буду на работе, тоже переделаю


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

а еще можно попробовать через in-interface и out-interface


ullquiorra
Сообщения: 9
Зарегистрирован: 25 апр 2013, 17:26

На роутер добавлена третья подсеть, которую так же необходимо изолировать.
Можно добавить еще 4 правила (2 на выход, 2 на вход в "0" и "1" подсети), но выглядит это уже как костыли.

Кому нибудь известен или пришел в голову более оптимальный выход из сложившейся ситуации?


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Тогда правильнее будет задействовать vlan.


r2d2
Сообщения: 3
Зарегистрирован: 06 июл 2013, 17:19

Можно подробнее по vlan?
Стоит задача как у автора - разделить сети на изолированные (eth1 - wan, eth2+eth3 - bridge1, eth4 - bridge2, eth5 - bridge3. Подсети 192.168.0.0/24, 192.168.1.0/24 и 192.168.2.0/24 соответственно), с общим выходом в интернет.


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Ну, либо прочитает любую статью про vlan, либо сделайте как несколькими топиками выше (только правил получится не 2, а 6).


r2d2
Сообщения: 3
Зарегистрирован: 06 июл 2013, 17:19

если не сложно, посоветуйте что нибудь. а то в wiki - общие моменты, а хотелось бы конкретной инструкции:)


Ответить