изоляция подсетей и маршрутизация избранных хостов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Допустим vlan_100 - сеть ip видеонаблюдения, vlan_101 - локалка. Так вот идин или два хоста из локалки могли бы как минимум пропинговать, а лучьше и получить трафик с vlan_100(ip-камер).


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

В обще не вижу проблем. Если сети разные то без доп настроек пакеты из обоих сетей будут бегать. По крайней мере в базовой настройке именно так и будет
Обычно просят настроить изоляцию )))


Есть интересная задача и бюджет? http://mikrotik.site
qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

А что vlan разве не изолирует? :(


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

смотря что вкладывать в слово изолирует )))

Если у вас в фильтрах ничего не настроено то отработает маршрутизация между сетями которые у вас в вланах и все будет видно с двух сторон


Есть интересная задача и бюджет? http://mikrotik.site
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Уважаемый qwerty,

вы продумайте свою задачу заново более глубоко. Может VLAN вам вообще не нужны. Достаточно, как советует vqd, разделить задачи на подсети.

1. VLAN (2 уровень OSI) обычно используют, чтобы передать в одном канале (грубо говоря в по одному кабелю Ethernet) несколько подсетей, в том числе, например, сетей с одинаковой IP адресацией. При этом, как только VLAN достиг нужной точки, обычно тег снимается и далее уже трафик потребителям идет не тегированный. Следует иметь ввиду, что далеко не все клиенты сети вообще умеют работать с тегированным трафиком.

2. VLAN никого отношения не имеет к так называемой "видимости" устройств друг друга по специальным протоколам прикладного взаимодействия (SMB, NFS, RTSP и так далее, это вообще уже 6 и 7 уровни OSI). Такие ограничения осуществляется маршрутизаторами. Что обычно и делают с помощью микротика.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну не всегда так, обычно так делают у конечного юзера.
Мегафон например выдает свои улуги сразу в влане, даже если услуга одна

А так часто встречал когда юзеров от систем видеонаблюдения вланами отделяют, причем на уровне коммутаторов, а на пограничном роутере уже спокойно хождение трафика настраивают.

Вот недавно буквально инфраструктуру в конторе настраивал, там там видеонаблюдение в один ВЛАН закинули, Юзеров во второй, бухов в третий, VoIP в четвертый. Админ перся от того что он может спокойно все централизованно разграничить и все мониторить и при этом ничего лишнего не тянуть


К стати вот интересный вопрос.
Сидел тут модель выбирал для построения GPON сети, Выбирал между "Влан на абонента" и "Влан на сервис"
Влан на сервис конечно вроде как удобнее и устройства можно пачками сразу запускать без лишних телодвижений, но вот остановился на варианте "Влан на абонента"

Пока вот не придумал каким боком мне это вылезти может


Есть интересная задача и бюджет? http://mikrotik.site
qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Я читал про vlan-ы, что если хост не принадлежит vlan-у, то даже если продвинутый юзверь пропишет на хосте ip-шник подсети vlan-а, то не получит доступ к подсети в отличие от простого разбиениия на подсети без использования vlan-ов, где прописав нужный ip-шник получаешь доступ к нужной подсети.

Это не так? Нужны ещё настройки в фаервале?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

А причем тут пропишет ИП и доступ не получит? Это ни как не связанно. VLAN - это по сути кусок виртуальной проволки который тянется от вашего юзера/коммутатора до пограничного шлюза.

Собственно все.


Есть интересная задача и бюджет? http://mikrotik.site
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

если у вас типовая сеть без нарезки на сегменты то как правило она замыкается на коммутаторе и особо вы с этим ничего не сделаете, ВЛАНы же позволяют ее сегментировать спокойно и затем уже например управлять хождением трафика между этими сегментами

Вот элементарный пример.
Есть сеть А и сеть Б, каждая в своем влане. Сети изолированны друг от друга, но допустим есть некий принтер в сети А на который так же надо печатать из сети б, эту задачу вы преспокойно решите одним правилом в фильтрах


Есть интересная задача и бюджет? http://mikrotik.site
qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Вот, вот, вот!
Приблизительно этого я и добиваюсь. :)

Что нужно для этого сделать??? (сначала изолировать и потом пустить пару машин из одной подсети в другую)


Ответить