изоляция подсетей и маршрутизация избранных хостов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Я поглядел вашу схему. Получается, что сеть камер физикой попадает только в микротик и больше ни в один коммутатор не заходит??? То есть сети фактически не пересекаются между собой в одних и тех же проводах??? Тогда зачем VLAN вообще нужны??? Все ограничения можно сделать на микротке и забивать голову VLAN.

А по портами 3 и 4 на роутере разве не соединяется с коммутатором(3 и 11 соответственно), кстати тоже микротик.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Лирическое отступление.
Который день уже наблюдаю за этой темой, даже подписался на нее и все жду сакрального момента когда здешние гуру расскажут и покажут какой нибудь элементарный пример, как кроме "ip-routes-rule" можно разделить две сети и обеспечить доступ определенных хостов из одной сети в другую. :hi_hi_hi:


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

qwerty писал(а): А по портами 3 и 4 на роутере разве не соединяется с коммутатором(3 и 11 соответственно), кстати тоже микротик.


Так вся и прелесть микротик в том, что одним легким движением порты объединяются в бриджы, в количестве и набором портов, нужных нам.


qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Так вся и прелесть микротик в том, что одним легким движением порты объединяются в бриджы, в количестве и набором портов, нужных нам.

Причём тут бриджы?! Не пойму ...
Вы же имели в виду, что роутер и коммутатор физически не связаны.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Все смешалось в кучу кони, люди.

Вы путаете понятия видимости.
Вам два дня пытаются объяснить, что электрическое соединение и маршрутизация и контроль подсетей на уровне роутера - это разные вещи.
Сети могут быть связны через роутер электрически, но могут быть быть не доступны друг другу. И при этом роутер будет для обеих сетей шлюзом и обеим сетям будет доступен интернет, но друг друга они видеть не будут.

Еще раз, в микротике порты Ethernet - это не просто тупой свич. Порты можно разобрать из свича, объединить между собой в разных вариантах. Можно вообще сделать так, что каждый порт будет самостоятельным. И на каждый порт можно свою подсеть организовать.


qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Еще раз, в микротике порты Ethernet - это не просто тупой свич. Порты можно разобрать из свича, объединить между собой в разных вариантах. Можно вообще сделать так, что каждый порт будет самостоятельным. И на каждый порт можно свою подсеть организовать.

Это я уже понял.

Сети могут быть связны через роутер электрически, но могут быть быть не доступны друг другу.

Пока не настроишь соответствующе, правильно?

И при этом роутер будет для обеих сетей шлюзом и обеим сетям будет доступен интернет, но друг друга они видеть не будут.

Как это сделать подскажите, если можете? Или правильнее спросить "если имеете желание"?!


qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Который день уже наблюдаю за этой темой, даже подписался на нее и все жду сакрального момента когда здешние гуру расскажут и покажут какой нибудь элементарный пример, как кроме "ip-routes-rule" можно разделить две сети и обеспечить доступ определенных хостов из одной сети в другую. :hi_hi_hi:

KARaS'b, респект! )


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Я же вам написал. Давайте тимвьювер.


Ну или такой вариант, сами:
0. Удаляем текущий конфиг микротика.
1. Порты исключаем из бриджа и аппаратного свича.
2. Порту 1 и 2 назначаем IP из разных подсетей
3. Втыкаем в эти порты какие ни будь устройства (ноуты, другие микротки), назначаем им IP из соответствующих подсетей.
4. Проверяем пинги в разные подсети.
5. Добавляем правило вроде этого
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.77.0/24

ip адреса, естественно, ставьте свои. И убеждаетесь, что пакеты между сетями больше не ходят.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

KARaS'b писал(а):Лирическое отступление.
Который день уже наблюдаю за этой темой, даже подписался на нее и все жду сакрального момента когда здешние гуру расскажут и покажут какой нибудь элементарный пример, как кроме "ip-routes-rule" можно разделить две сети и обеспечить доступ определенных хостов из одной сети в другую. :hi_hi_hi:


нуу, есть же замечательный инструмент /ip firewall filter


Есть интересная задача и бюджет? http://mikrotik.site
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

vqd писал(а):
KARaS'b писал(а):Лирическое отступление.
Который день уже наблюдаю за этой темой, даже подписался на нее и все жду сакрального момента когда здешние гуру расскажут и покажут какой нибудь элементарный пример, как кроме "ip-routes-rule" можно разделить две сети и обеспечить доступ определенных хостов из одной сети в другую. :hi_hi_hi:


нуу, есть же замечательный инструмент /ip firewall filter


Ну то что он есть это мы знаем, а вот как им правильно воспользоваться для именно такой задачи, как разделение сетей и тем более с возможностью определенных товарищей исключить из этого ограничения, вот это бы от опытных людей увидеть и услышать!)


Ответить