несколько подсетей на одном микротике

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

Блин извините за тупой вопрос. но что то я завис. Как сделать несколько подсетей на одном микроте? и чтобы у всех был интернет, но разный доступ к сервисам и другим подсетям..

допустим у микрота есть несколько физ. портов. В эти порты воткнуты свитчи, за каждым из свитчей какая-то сетка.

Все эти физ порты объеденены в один бридж, который имеет адрес 192.168.1.1/24

я же хочу чтобы у меня было несколько подсетей, например 192.168.2.Х 192.168.5.Х и так далее, но каждой из них раздать определенную скорость в инет, определенные доступы к сервисам и к другим подсетям.

как это сделать? просто всунуть в бридж другую маску? но я как бы не хочу делать очень большой широковещательный домен..

подозреваю что в этом деле как то замешаны бриджи. может можно как то создать несколько бриджей каждый для своей подсети? но как?

Изображение


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Добавьте бриджу столько IP адресов, сколько вам нужно.

Более правильно: не объединять порты в бридж. Для каждой подсети выделите физический Ether на микротике. Каждому Ether укажите нужный IP, он и будет шлюзом для соответствующей подсети.

Все остальное по-желанию... Например, можно для каждой подсети сделать свое правило NAT, а можно сделать правило NAT настолько общим, чтобы все подсети в него попадали.


Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

каждой подсети отдельный Ethetnet порт? хм наверное не получится.


У меня настроен capsman, есть много "гостевых" клиентов и много "своих". своих же от чужих как-то надо отделять? я планирую делить их именно с помощью подсетей. Своим дхцп будет раздавать жестко прописанные статик-адреса, чужим раздает из пула. та же песня с проводными "гостями" и проводными "своими".
или как в таком случае решить эту проблему?
Последний раз редактировалось lexalex83 22 янв 2018, 13:41, всего редактировалось 1 раз.


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Плохая идея запихать все это в один бридж. Если подсетей будет много и в них будет много хостов, то вы очень быстро столкнетесь с проблемой обильного бродкаста и последующих глюков от него, т.к. в вашей сети все это будет вариться разом и на всем оборудовании, более того, про несколько dhcp, при такой схеме, вам придется забыть, сам микротик не даст вам повесить больше одного dhcp сервера на один бридж.
Если подсетей меньше чем количество портов вашего микротика (минус порты\порт под ван интерефейс) то лучше и логичней сделать как вы описали - раздать каждому интерфейсу адрес, повесить на каждый интерфейс dhcp, если он нужен и т.д. по необходимости и цеплять к этим портом свичи. Если подсетей больше чем портов, то нужен хотя бы один "умный" свич, дабы спихнуть на него часть ваших подсетей посредсвам вланов.
И дальше все просто, шейпите, разграничиваете и вообще делаете что хотите со своими подсетями.


Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

да, но как мне тогда отделить своих от гостей? гость же может подключится к любой розетке. я не хочу чтобы подсеть гостя зависела от его месторасположения. гость должен быть всегда гость. а если он Wi-Fi гость? как тогда? точки доступа вообще все воткнуты по всему предприятию и управляются капсманом. или надо делать много капсманов в таком случае?


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

lexalex83 писал(а):да, но как мне тогда отделить своих от гостей? гость же может подключится к любой розетке. я не хочу чтобы подсеть гостя зависела от его месторасположения. гость должен быть всегда гость. а если он Wi-Fi гость? как тогда? точки доступа вообще все воткнуты по всему предприятию и управляются капсманом. или надо делать много капсманов в таком случае?

Если гость может воткнуться куда угодно, в любую розетку, то вы никак не выкрутитесь. Да и в принципе, на мой взгляд, такой подход неверный и небезопасный, т.к. вы своего гостя запускаете в свою сеть, а с какой целью этот гость пришел и что он вам "принес" на своем устройстве только ему и известно, а может и ему даже неизвестно. Но если вы действительно разрешаете гостям "втыкаться" куда угодно, то ничто вам мне поможет, даже если у вас все коммутаторы будут управляемыми, второй dhcp, под гостей все равно вы не сделаете, точнее это будет бессмысленно и даже противопоказано в ваших условиях.
С вайфаем немного проще, на каждую точку вешаете еще один ssid и его упаковываете во влан, который полетит прямиком к контроллеру, который уже может отделить своих от чужих, главное что бы ваши гости подключались исключительно к гостевым ssidам и им никто не давал возможности подключится к рабочим.


Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

а dynamic ARP Inspection не спасет?


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

До этого не слышал про эту штуку, но из того, что успел о ней прочесть, мне кажется что она совершенно для другого предназначена.


Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

она предназначена чтобы никто не мог вручную прописать параметры сети.


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

ОК!

Еще раз, назначьте нужном интерфейсу (который DownLink, который смотрит в сторону подсетей) столько IP адресов, сколько у вас подсетей.
Эти IP будут шлюзом в подсетях, соответственно.


Ответить