Добрый день, потихонечку разбираюсь с Микротиком.
Стоит в офисе MIKROTIK RB941-2ND (дома стоит Mikrotik hAP ac lite (RB952Ui-5ac2nD) )
в офисе есть HP Proliant g8, на нем стоит основная база 1С,сервер видеонаблюдения, стоит Hyper V, в нем 3 виртуальные машины
1)Астериск
2)Пару корпоративных сайтов
3)Песочница для разработки и предоставления доступа программистам по сайту.
У сервера есть 3 физических сетевых карты по 1 гбит.
В данный момент Интернет заходит в Микротик, далее с него идет на гигабитный свитч, к которому подключены компы, от него идет провод к еще одному гигабитному Свичу, в который заходят 3 сетевых карты от сервера и 1 карта ILO.
В данный момент все работает внутри подсети 192.168.0.0 , все имеют доступ ко всем. Все пробросы работают, нат натится, телефония звонит.
Основная задача развести физически виртуальные машины от физической сети.
Те если гипотетически будет взломан какой то сайт или астериск и получен root доступ, чтобы не было выхода в корп сеть и доступа через сеть к серваку либо в локалку.
Возможно ли это все разграничить? когда идет 1 физический кабель к Свитчу, от которого запитан сервак? или нужен отдельный кабель на каждую сетевуху и ее непосредственно в Микротик. Возможно, часть можно сделать на уровне Hyperv, выкладываю скриншот (Hyper-V vSwitch — это программно-определяемый коммутатор трафика сети Ethernet, работающий на канальном уровне (layer-2).)
p.s. Проброс портов и Нат практически осовил, а вот виртуальные сети, разграничение доступа пока в процессе, поэтому прошу помощи.
Разделение сетей и ограничение доступа между подсетями
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Это хорошо....но дальше, увы...всё плохо
Хоть бы ознакомились с линейкой всех роутеров микротик!????igor.grinin писал(а): ↑05 янв 2019, 01:35 Стоит в офисе MIKROTIK RB941-2ND (дома стоит Mikrotik hAP ac lite (RB952Ui-5ac2nD) )
941 роутер - самый простой роутер, сделан на архитектуре smips, под данную
архитектуру даже сервер времени (пакет) не делают. Да и просто сравните память в 941 и в 952!?
Для офиса 941 роутер = категорически НЕТ. Его атаками, и активным трафиком
можно положить. Официально, РБ941 - называют "домашней точкой доступа".
Так что советую срочно рассмотреть вопрос замены роутера на более мощный,
чтобы памяти хватало, чтобы можно было строить акцес-листы, адрес-листы, и
прочее. И с гигабитными портами конечно.
(у меня с 3х провайдеров за сутки около 1000-1700 атак в сутки по DNS-и-SSH портам).
карта iLO, как бы существует для резервного/обходного/запасного управления.igor.grinin писал(а): ↑05 янв 2019, 01:35 гигабитному Свичу, в который заходят 3 сетевых карты от сервера и 1 карта ILO.
Обычно её выводят в отдельную под-сеть и не подключают в общую, или
она подключена в общую физическую сеть, но обернута отдельным виланом.
Вариаций много, но карта iLO или попросту IPMI должен быть доступен
при недоступности сети, свитчей и прочего.
Поэтому как раз возможно, как резерв продумать вариант роутера 941 и iLO карты
= как отдельный сегмент с отдельным входом/подключением.
В такой постановке задачи = не получиться. Виртуальные машины (сервера) работают, и дают(предоставляют)igor.grinin писал(а): ↑05 янв 2019, 01:35 Основная задача развести физически виртуальные машины от физической сети.
какой-то сервис, значит они взаимодействуют с локальной сетью, поэтому "помыть посуду не намочив её водой"
не получиться. Физическая сеть есть физическая, виртуальные машины можно тоже сегментировать,
вынести часть сервисов в отдельную подсеть (то есть будет сеть локальная и будет DMZ сеть).
Между ними сделать уже защиту/прохождения трафика, и так далее, но это надо всё продумать,
рассчитать и делать....(если сделать по-быстрому, скорее всего локальная сеть встанет и офис остановиться).
Выше объяснил = если сервис работает в общей сети = то доступ будет. Разделять надо сеть, на сети, под-сети,igor.grinin писал(а): ↑05 янв 2019, 01:35 Те если гипотетически будет взломан какой то сайт или астериск и получен root доступ, чтобы не было выхода в корп сеть и доступа через сеть к серваку либо в локалку.
наконец-то есть технология виланов (VLAN) = это всё основы сетей, с микротиком никак не связаны.
Почитайте...
Нужно понимать сеть, её нагрузку, логику, тем более у Вас 1С там, а это вообще, требования к сетиigor.grinin писал(а): ↑05 янв 2019, 01:35 Возможно ли это все разграничить? когда идет 1 физический кабель к Свитчу, от которого запитан сервак? или нужен отдельный кабель на каждую сетевуху и ее непосредственно в Микротик. Возможно, часть можно сделать на уровне Hyperv, выкладываю скриншот (Hyper-V vSwitch — это программно-определяемый коммутатор трафика сети Ethernet, работающий на канальном уровне (layer-2).)
у 1С = большие, обычно важные сервисы/виртуальные машины делают на одном хосте (на одной физическом сервере,
где работают сервисы), а на другом хосте = делают уже веб-приложения.
На уровне виртуализации чтобы сделать защиту между виртуалками целые системы есть,igor.grinin писал(а): ↑05 янв 2019, 01:35 p.s. Проброс портов и Нат практически осовил, а вот виртуальные сети, разграничение доступа пока в процессе, поэтому прошу помощи.
которые стоят как джипы, поэтому это задача - целый комплекс подходов и практика+теория.
Изучите вопрос более шире и в целом.
-
- Сообщения: 2
- Зарегистрирован: 05 янв 2019, 01:19
Спасибо за коммент, на данном этапе я изучаю теоретическую составляющую. Насчет офисного микротика, да это понятно что это начальный сегмент, Вчера почитал немного, технология VLAN как я понимаю мне подходит, те сделать несколько VLANOV и на фаерволе разделить подсети. Насчет роутера - будет перегруз заменю, на данный момент в офисе всего 5 рабочих станций с учетом сервера, нагрузка небольшая.