Изоляция групп портов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Закрыто
Dmitry_K
Сообщения: 2
Зарегистрирован: 12 июл 2016, 11:58

Подскажите, пожалуйста, как разделить две группы портов 2-5 и 6-12 так чтобы они не видели друг-друга, и между собой не взаимодействовали, но внутри группы- без ограничений, и при этом одно адресное пространство раздаваемое dhcp?
Сервер раздает адреса, Интернет бегает, но как изолировать группы в одном адресном- не врубился. Спасибо.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Если одна большая подсеть, но нужно две группы в ней, то подсеть делится маской:

например

начальный IP 192.168.1.1 маска 255.255.255.192 последний IP будет 192.168.1.126

далее

начальный IP 192.168.1.129 маска 255.255.255.192 последний IP будет 192.168.1.254

Соответственно в фаерволле указывая Scr и Dst Addres подсесть с маской 25 вы одну большую подсеть можете разбить на два сегмента, которые не будут видеть друг друга. При желании и больше сегментов можно сделать. Читайте в интернете статьи про "маску подсети".

Далее вы создаете два бриджа с ражными портами. Два DHCP, соответственно, отдельный DHCP на каждом бридже, они раздают адреса из разных диапазонов (пулов). Если в DHCP Leases задать фиксированные записи для MAC адресов всей вашей сети, то можно все сделать на одном DHCP и даже без пула.

Одно не могу понять, почему это в теме про CAPsMAN написано??? Админы перенесите в отдельную тему.


Dmitry_K
Сообщения: 2
Зарегистрирован: 12 июл 2016, 11:58

gmx писал(а):
Одно не могу понять, почему это в теме про CAPsMAN написано???


Благодарю за ответ. В теме про Капсман-потому, что я его и пытаюсь настроить. Четыре АР сгруппированы в одной группе портов, видеонаблюдение- в другой группе портов. Хочу, что бы каждая группа имела выход в Интернет, но не видела друг-друга.
Вариант с масками я рассматривал, но мне не очень подходит.
А если использовать возможности Switch-Port Isolation ? Или реализовать как Вы советуете бриджами, с отдельными DHCP, разным адресным пространством- и не заморачиваться? Спасибо.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Я все делаю всегда через бриджи. Так повелось.


Dmitry_K
Сообщения: 2
Зарегистрирован: 12 июл 2016, 11:58

gmx писал(а):Я все делаю всегда через бриджи. Так повелось.


Ладно, спасибо. Я знаю; чтобы задать правильный вопрос, нужно знать большую часть ответа. Я же, пока, даже сформулировать кроме как "в общем" не могу.
Не улавливаю суть. Зачем бриджами гнать через процессор когда встроенный свич и изоляция портов- в принципе решают мою задачу и не напрягают процессор. Мост между LAN-овским свичем и WAN чтобы шейперить, ограничивать, дропать и прочие файрволы- это куда ни шло. Другой вопрос, что я это практически не понимаю как сделать. За этим и пришел. А стратегию я и сам понимаю.
Еще раз спасибо.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Dmitry_K , без всяких оговорок предупреждаю, что подобное замусоривание темы ведет к удалению мусора и бану для сорящего.
Пока вывел в отдельную тему, рекомендую воспользоваться поиском по форуму для решения своей задачи. vqd вопрос изоляции-разрешений при помощи фаервола расписал до предела просто и понятно. Даже я начал понимать, что фаевол не только для запрета атак на 53 порт :-)


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Dmitry_K
Сообщения: 2
Зарегистрирован: 12 июл 2016, 11:58

podarok66 писал(а):Dmitry_K , без всяких оговорок предупреждаю, что подобное замусоривание темы ведет к удалению мусора и бану


Сперва расстыковываешь приборный и аккумуляторный, затем ставишь ПК, МАГ и УКВП, соединяешь отсеки цангой, пристыковываешь БЗО и голову, забиваешь воздух- и на качалку. Обратить внимание на отработку угла 15 и 30 градусов, крена и дифферента, засечь дистанцию выхода на активный режим. Потом купать, обдуть, задуть азот и в контейнер.
Я сейчас достаточно подробно написал "абсолютно понятную инструкцию" по сборке, проверке и приготовлению противолодочной торпеды- "Изд. 260".
Усекаете? Каждый- профессионал в своем деле. Я- не сисадмин и настройка роутеров- это игра, хобби в котором выражение "создать мост"- вообще ни о чем не говорит. Хотел помощи, а получил- общие советы. Советы- я и сам могу... Удачи!


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

Dmitry_K писал(а):Я- не сисадмин и настройка роутеров- это игра

значит на игру у вас есть время. вот и читайте правила игры .
Dmitry_K писал(а):Каждый- профессионал в своем

усекаем !!!!

вот и займитесь своим делом , остальнео оставте людям кто в этом понимает . а то все хотят и жать и рвать и на трубе играть ;-)
прям люди комбаины ;-)
если уж хотите - то придется искать читать , понимать , пробовать , ошибатся , начинать заново


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Тема закрыта, как не имеющая логического продолжения.
Dmitry_K , вам я предлагаю заняться самообразованием по RouterOs, как и подавляющее большинство посетителей форума на начальном этапе использования данного оборудования. Либо, если сие занятие вам претит, нанять специалиста для настройки его за вас. Без обид, ибо термины "мост", "фаервол", "NAT", "маскарад" и еще полтора десятка таких же есть базовая терминология, априори считающаяся всеми , имеющими дело с Тиками, понимаемой. Ну как в WOW все знают, что такое вар, кайтить, инст, рога, лок, абилка, скил и т. д.
Еще раз напоминаю, что написание инструкций и FAQ'ов на этом форуме дело абсолютно добровольное. Все претензии по поводу невыполненных пожеланий и заявок я автоматически отношу к интеллектуальному вымогательству и соответственно отношусь к авторам заявок. Заявку на платные услуги по теме Микротиков (в том числе и создание инструкций) можно оставить в разделе Барахолка ветка Услуги. При любом раскладе форум не может выступать гарантом сделок и помогает лишь наладить связь.
Во избежание досужих сплетен, сам я подобных услуг не оказывал, хотя и советовал, к кому обратиться.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Закрыто