Видимость компов внутри Vlan

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
SergeyZ
Сообщения: 111
Зарегистрирован: 10 сен 2018, 09:07
Откуда: Санкт-Петербург

Пыль.. До тех пор, пока не появится куча правил маркировки и фильтрации..
Группы вы сделаете только на коммутаторе, к которому будете подключать клиентов.
Почему?
Да потому что внутри одной сети ваши пользователи, которые сидят на одном коммутаторе, плевать хотели на правила фаервола, так как в первую очередь пакеты полетят в соответствии с ARP-таблицей самого коммутатора, который знает какое устройство на каком порту и не гоняет пакеты через маршрутизатор.
Далее все зависит от коммутатора. Если он управляемый, то на нем уже можно настраивать кто куда. Но при этом в любом случае правильнее делать вланы или вланы во влане.
Не нужно усложнять. Делайте вланы. Нужно 100 вланов - делайте 100. Нужно 1000... Ну вы поняли.
Вланы через пол года-год будут намного проще в понимании при попытке разобраться в том, что там намудрено. А куча правил в фаерволе и на коммутаторах при возможном более простом решении - зло.

Но это мое мнение. Мне всегда хочется руки оторвать всем, кто усложняет сеть кучей ненужных правил, которые потом фиг поймешь из-за слишком большого количества.

Вы поймите одно: когда через длительный период вас попросят что-то поменять или потребуется что-то добавить, вы будете волосы рвать из-за крайне большого количества правил. А те же вланы замечательно рисуются на бумажке и всегда легко можно восстановить картину сети.


lorddemon
Сообщения: 41
Зарегистрирован: 05 дек 2017, 12:01

SergeyZ писал(а): 28 сен 2018, 22:40 Пыль.. До тех пор, пока не появится куча правил маркировки и фильтрации..
Группы вы сделаете только на коммутаторе, к которому будете подключать клиентов.
Почему?
Да потому что внутри одной сети ваши пользователи, которые сидят на одном коммутаторе, плевать хотели на правила фаервола, так как в первую очередь пакеты полетят в соответствии с ARP-таблицей самого коммутатора, который знает какое устройство на каком порту и не гоняет пакеты через маршрутизатор.
Далее все зависит от коммутатора. Если он управляемый, то на нем уже можно настраивать кто куда. Но при этом в любом случае правильнее делать вланы или вланы во влане.
Не нужно усложнять. Делайте вланы. Нужно 100 вланов - делайте 100. Нужно 1000... Ну вы поняли.
Вланы через пол года-год будут намного проще в понимании при попытке разобраться в том, что там намудрено. А куча правил в фаерволе и на коммутаторах при возможном более простом решении - зло.

Но это мое мнение. Мне всегда хочется руки оторвать всем, кто усложняет сеть кучей ненужных правил, которые потом фиг поймешь из-за слишком большого количества.

Вы поймите одно: когда через длительный период вас попросят что-то поменять или потребуется что-то добавить, вы будете волосы рвать из-за крайне большого количества правил. А те же вланы замечательно рисуются на бумажке и всегда легко можно восстановить картину сети.
господа хорошие вы философы бесспорно но ответа на вопрос я так и не получил
"хрен с ним с пальтом "
я многое обрисовал в общей конфиге но....
вопрос прост есть влан и в нем надо запретить общение компов между собой.... за тупым свичем
думаю ситуация аналогичная если в 951 порты в бридже и за каждым по одному компу и также надо запретить им видеть друг друга...


к примеру как вы говорите я сделаю 100 вланов и в каждый закину по одному компу но через мес добавятся или сменятся 10 компов и мне что при каждом изменение лепить вланы?

с чего это тупой TP Link 24 свич помешает правилам микротика?
может просто вы не знаете как эту простую задачу решить и философствуете


SergeyZ
Сообщения: 111
Зарегистрирован: 10 сен 2018, 09:07
Откуда: Санкт-Петербург

Внутри одного неуправляемого коммутатора или ненастроенного управляемого коммутатора есть ARP таблица.
Когда пакет от клиента попадает в коммутатор, он в первую очередь смотрит заголовок, в котором четко обозначено куда этот пакет летит.
Далее адресат ищется в ARP-таблице. Если адресат в ней находится, то коммутатор посылает пакет туда.
Ему целиком и полностью параллельно на правила фаервола в маршрутизаторе. Он шлет пакеты в соответствии со своими внутренними правилами и в соответствии с таблицей ARP.
Вы хоть с бубном вокруг него пляшите, но ему будет плевать на маршрутизатор.
В данном случае либо настройка вланов, либо настройка коммутатора. И вот по настройке коммутатора в данной ситуации не подскажу, ибо даже не знаю какой у вас коммутатор, да и такие настройки больше для провайдера, чтобы блокировать общение между клиентов.
В некоторых (а может и во всех) управляемых коммутаторах, как я помню, есть возможность осуществить подобное.
Но уясните, коммутатору без должных настроек самого коммутатора абсолютно наплевать на правила микротика при пересылке пакетов от клиента до клиента в пределах одного влана. Только сам коммутатор может изолировать порт (именно порт, не клиентов).
На том же TP-Link TL-SG3424P есть Port Isolation, который лишь изолирует в пределах порта и предоставляет настройку по доступу клиентов этого порта к другому физическому порту. Ито, там это лишь некий аналог VLAN.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

lorddemon писал(а): 28 сен 2018, 23:11 вопрос прост есть влан и в нем надо запретить общение компов между собой.... за тупым свичем
Начните с азов сетей, и тогда не будет возникать таких вопросов.
То что вы хотите сделать конечно можно, но только это вопрос уже не в плоскости сетей !


Александр
lorddemon
Сообщения: 41
Зарегистрирован: 05 дек 2017, 12:01

SergeyZ писал(а): 29 сен 2018, 00:07 Внутри одного неуправляемого коммутатора или ненастроенного управляемого коммутатора есть ARP таблица.
Когда пакет от клиента попадает в коммутатор, он в первую очередь смотрит заголовок, в котором четко обозначено куда этот пакет летит.
Далее адресат ищется в ARP-таблице. Если адресат в ней находится, то коммутатор посылает пакет туда.
Ему целиком и полностью параллельно на правила фаервола в маршрутизаторе. Он шлет пакеты в соответствии со своими внутренними правилами и в соответствии с таблицей ARP.
Вы хоть с бубном вокруг него пляшите, но ему будет плевать на маршрутизатор.
В данном случае либо настройка вланов, либо настройка коммутатора. И вот по настройке коммутатора в данной ситуации не подскажу, ибо даже не знаю какой у вас коммутатор, да и такие настройки больше для провайдера, чтобы блокировать общение между клиентов.
В некоторых (а может и во всех) управляемых коммутаторах, как я помню, есть возможность осуществить подобное.
Но уясните, коммутатору без должных настроек самого коммутатора абсолютно наплевать на правила микротика при пересылке пакетов от клиента до клиента в пределах одного влана. Только сам коммутатор может изолировать порт (именно порт, не клиентов).
На том же TP-Link TL-SG3424P есть Port Isolation, который лишь изолирует в пределах порта и предоставляет настройку по доступу клиентов этого порта к другому физическому порту. Ито, там это лишь некий аналог VLAN.
TP-Link TL-SF1024, Switch 24-port 10/100Mbit, 19"
неуправляемый свич 24 порта
хотите сказать что в этом случае никак не запретить общение между компами подключенными к свичу?

как вариант только вбивать все мак адреса компов и распределить их в несколько вланов?
и они будут видеть друг друга только внутри своего влана даже если подключены в один свич?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

В общем ещё разок.
1) Если у вас на порту висит тупой свитч, то решения вашей задачи нет.
2) Можно заменить этот тупой свитч на умный, умеющий изоляцию портов - и тогда на нём все настроится.

И бонусом:
3) По факту вам vlan'ы вообще не нужны - можете просто вешать по подсети на каждый порт микротика, ничего не изменится.


Telegram: @thexvo
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

lorddemon писал(а): 29 сен 2018, 09:58 TP-Link TL-SF1024, Switch 24-port 10/100Mbit, 19"
неуправляемый свич 24 порта
хотите сказать что в этом случае никак не запретить общение между компами подключенными к свичу?

как вариант только вбивать все мак адреса компов и распределить их в несколько вланов?
и они будут видеть друг друга только внутри своего влана даже если подключены в один свич?
Вы никак не сможете распределить устройства в несколько вланов, если свитч тупой и на нем нет возможности эти вланы настраивать.
На неуправляемом свитче ваша задача не решается.


Telegram: @thexvo
SergeyZ
Сообщения: 111
Зарегистрирован: 10 сен 2018, 09:07
Откуда: Санкт-Петербург

lorddemon писал(а): 29 сен 2018, 09:58 TP-Link TL-SF1024, Switch 24-port 10/100Mbit, 19"
неуправляемый свич 24 порта
хотите сказать что в этом случае никак не запретить общение между компами подключенными к свичу?
Да, никак, вообще. :nez-nayu:
lorddemon писал(а): 29 сен 2018, 09:58 как вариант только вбивать все мак адреса компов и распределить их в несколько вланов?
и они будут видеть друг друга только внутри своего влана даже если подключены в один свич?
Да, только свич должен быть управляемым, чтобы можно было настроить этот самый транк, принимающий трафик для разных VLAN, и Access порты для определения какой порт к какому VLAN принадлежит.

И правильно в какой-то мере говорят товарищи сверху. В какой-то мере VLAN'ы вам не нужны. Их можно заменить на подсети.

На данный момент вы можете запретить общение между компами в одном VLAN только по средствам настройки самих компов, то есть локально каждому компу в отдельности запретить. Но это очень плохое решение для таких масштабов.


lorddemon
Сообщения: 41
Зарегистрирован: 05 дек 2017, 12:01

а сделать неколько вланов на одном порту и фиксировать ИП по МАК чтоб одни входили в один влан а другие в другой ...?
будут иметь разные группы ИП ....?
так тоже не получится?


SergeyZ
Сообщения: 111
Зарегистрирован: 10 сен 2018, 09:07
Откуда: Санкт-Петербург

lorddemon писал(а): 29 сен 2018, 11:38 а сделать неколько вланов на одном порту и фиксировать ИП по МАК чтоб одни входили в один влан а другие в другой ...?
будут иметь разные группы ИП ....?
так тоже не получится?
VLAN - это не инструмент разделения компов по IP и MAC. Это инструмент создания виртуальных сетей, привязанных к определенным портам одного или нескольких коммутаторов.

На тупом свиче нет VLAN. Его можно воспринимать как устройство с VLAN1, у которого все порты - Access, а транка нет.

Вы, наверняка, думали, что вы пустите на тупой свич несколько вланов, а компы там сами разберутся.. Нет, так не работает. Даже на умном свиче принадлежность портов определенному VLAN настраивается на коммутаторе, и в какой порт воткнете кабель от компа, в том VLAN он и окажется.


Ответить