Запрет сканирования локальной сети.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

http://mikrotik.ru/katalog/katalog/mars ... ommutatory

проставте таикие , и наделайте вланов


Corvus
Сообщения: 33
Зарегистрирован: 25 апр 2013, 05:39

Значит никак, нужен управляемый коммутатор...


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну либо втыкайте пользователей непосредственно в мтик.


aolc
Сообщения: 0
Зарегистрирован: 09 сен 2013, 17:31

Доброго времени суток.
Стоит похожая задача, поэтому спрашиваю в этой теме. Имеется сетка, в сетке 3 вайфай точки. Необходимо сделать разграничение доступа между двумя группами вайфай юзеров. 1 группа - наши сотрудники, нужен полный доступ ко всему в сети, 2 группа - коммандированный народ, доступ нужен только к инету. Первая мысль была воткнуть роутеры с гостевым вайфаем, но для этого придется переделывать структуру сети. Гугл вывел на микротик, говорят можно сделать все, что хочешь. Так вот вопрос - можно ли фаерволом микротика(ну к примеру 951) группе (пользователей/айпишников/маков) зарезать доступ таким образом, чтобы из всей подсети у них был доступ только к одному айпишнику(инет шлюзу)?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

viewtopic.php?f=13&t=1345 это как-то не поможет в Вашем вопросе?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Если с ходу и "топорно", то я бы выделил постоянных пользователей в отдельную подсеть (хотя бы по макам и static dhcp), а всех остальных по обычному dhcp в другую подсеть. А там уже рулить правилами.


aolc
Сообщения: 0
Зарегистрирован: 09 сен 2013, 17:31

podarok66 писал(а):http://mikrotik.ru/forum/viewtopic.php?f=13&t=1345 это как-то не поможет в Вашем вопросе?


Если бы раздача инета производилась той же железкой, что раздает вайфай...

plin2s писал(а):Если с ходу и "топорно", то я бы выделил постоянных пользователей в отдельную подсеть (хотя бы по макам и static dhcp), а всех остальных по обычному dhcp в другую подсеть. А там уже рулить правилами.


Вот как то так мне это и видится.
192.168.0.0/24 - сеть
192.168.0.1 - инет шлюз
Вариант 1:
Своим раздаем по static dhcp адреса из этой сетки. Получается некий "свой" список ip. Никаких правил для него не пишем, можно всё. Чужим раздаем динамические адреса из этой же сетки. Чужим режем всё, кроме 192.168.0.1.

Вариант 2(как Вы предложили):
Своих в 192.168.0.0/24, чужих в 192.168.1.0/24. Чужих правилом заворачиваем на 192.168.0.1.

Вот и вопрос в том, реализуются ли эти варианты микротиком(принципиально, подробности пока не интересны). Сильно не пинайте, о продукции микротика узнал пару дней назад.


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Вполне реализуется.
1) В ip - adresses добавляете еще один адрес для бриджа. Например 192.168.2.1/24.
2) В dhcp - networks прописываете новую сеть 192.168.2.0/24 gw 192.168.2.1
3) В ip - pool добавляете пул адресов для сети 192.168.2.0/24
4) В настройках dhcp выбираете дефолтом новый "гостевой" пул.

Далее нужно будет смотреть на dhcp leases. Нужна человеку локалка - отправляем его в первую подсеть. Нет - пусть остается в гостевой.
Остается только правилами фаервола зарезать доступ между 1.0/24 и 2.0/24 viewtopic.php?f=3&t=4130
Я бонусом еще и скорость гостям резал для всей подсети разом, чтоб не слишком канал просаживали.

Итого имеем: гости в своей песочнице, нужные клиенты отправляются в основную подсеть, из гостевой подсети в обычную (и наоборот) доступа нет.

Как вариант - можно не привязывать основную группу клиентов на статические адреса, а сделать второй dhcp сервер и у клиентов в leases выбирать от какого сервера они получают ответ, но я так не делал. Если сеть маленькая, то, мне лично, удобнее использовать статические аренды. А если большая, то такой вариант очень накладный - лучше думать на тему физического разделения сетей, о чем вы уже писали


aolc
Сообщения: 0
Зарегистрирован: 09 сен 2013, 17:31

Спасибо за подробный ответ. Будем брать :)


Ответить