3 шлюза в одну сеть

Тут размещаем отчеты о готовых работающих решениях на оборудовании Mikrotik
kosko
Сообщения: 2
Зарегистрирован: 03 окт 2017, 09:01

03 окт 2017, 09:11

Всем привет. Столкнулся с такой проблемой: Есть небольшая сеть на 25 пк. Есть Mikrotik 951G-2HnD который раздаёт адреса в локальную сеть 192.168.0.0/24. Для доступа в интернет на Mikrotik прописаны настройки провайдера ip: 10.130.xx.ххх netmask: 255.255.255.192 GW: 10.130.41.xxx DNS: 176.97.37.97 176.97.37.98
Помимо доступа в интернет провайдер предостовляет доступ к ресурсам закрытого сегмента городской сети для чего установлено устройство шифрования данных "Застава" на которой выделено
2 LAN порта которые пачкордом подключены на прямую в свитч Mikrotik. Для работы с первым закрытым сегментом на пк в локальной сети необходимо сменить сетевые настройки в ручную ip: 10.130.149.153.2-254 netmask:255.255.255.0 GW:10.149.153.1 DNS:10.128.0.9 Для работы со вторым сегментом необходимо прописать настройки ip:172.30.123.138-142 netmask:255.255.255.248 GW:172.30.123.137 DNS нет
Всё это неудобно так как при смене настроек нет доступа в интернет и к устройствам в локальной сети.
В сети есть точка доступа роль которой выполняет zyxel keenetic ultra и управляемый коммутатор D-Link DGS 1100-08
Подскажите как настроить Mikrotik чтоб клиентам в локальной сети не менять ip в ручную и при этом работал доступ в интернет и локальную.


kosko
Сообщения: 2
Зарегистрирован: 03 окт 2017, 09:01

03 окт 2017, 09:52

Пробовал вариант с маршрутизацией  в список IP-адресов (IP->Adresses) добавляешь несколько локальных подсетей (172.30.123.136/29, 10.149.153.0/24 и т.д.) при этом указываешь у всех ether2-master-local Не работает.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 1888
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

03 окт 2017, 10:45

Задача не сложная, правда всё же Вы как-то не по порядку рассказали.
1) куда провод от Интернета подключается? в какой порт микротика?
2) указали какой-то странный адрес, цитирую: "в ручную ip: 10.130.149.153.2-254" много цифр для адреса...
Ну да ладно.

Как вижу я решение:
1) создаёте бридж, без бриджа нам ни как, портов мало. Бриджу присваиваете адресацию 192.168.0.1/24
Теперь микротик для локалки будет 192.168.0.1/24 (ну или тот адрес поставьте, который был ранее на микротике из адресации 192.168.0.0/24, чтобы
не бегать по конторе и не менять шлюзы на 25-и компах)
(свитч-чип коммутацию надо отключить/разорвать если активна)
2) 1-й порт -микротика пусть будет Интернет у нас, задаёте на ethe1 адресацию интернетовскую, то есть согласно Вашему описанию это 10.130.xx.ххх netmask: 255.255.255.192 GW: 10.130.41.xxx DNS: 176.97.37.97 176.97.37.98
3) 2-й порт микротика- будет использоваться для подключения первого порта с устройства "Застава" и на порту ether2 Вы устанавливаете адресацию которую нужно для первого порта "Заставы"
4) 3-й порт микротика будет для второго порта Заставы и также на ether3 Вы устанавливаете адресацию которую якобы нужно давать компу для доступа в другую (во вторую) часть Заставы.
5) Идёте в файрвол, создаёте адрес-листы, скажем Zastava-1 и Zastava-2, куда прописываете адреса локальных компьютеров(компьютера) из сети 192.168.0.0/24
кому можно идти на порт1 Заставы (Zastava-1) и отдельный адрес лист для порт2 Заставы (Zastava-2).
6) Всё там же, в файрволле, идёте в раздел NAT - и создаёте правила, что если кто-то из адрес-листа Zastava-1 обращается в закрытый сегмент, то его проНАТить (то есть скрыть 192.168.0.50 от адреса который мы поставили на порт2 микротика). Такое же правило сделать для второй сети Застава, для адрес листа Zastava-2 и проНАТить уже от порт3 микротика.
7) НАТ общий - интернетовский, тоже это правило сделать. Я так понимаю у Вас статика, поэтому НАТить будете от порт1 микротика, но так как это правило общее, на всю сеть,
то оно должно быть ниже двух предыдущих.
8) В порт 4 - подключаете Ваш свитч и соответственно Вашу сеть локальную и 4й порт должен быть добавлен в бридж (который мы создали в первом правиле). Даже можно сразу это сделать.
9) Точку доступа подключаете в 5й порт и 5й порт микротика как и 4й добавляете в бридж или сэкономить порт на микротике и точку подключить к свитчу.

Вот наверно примерно так...(обобщённо, но сама сущность и логика - наверно так, как я описал).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Erik_U
Сообщения: 996
Зарегистрирован: 09 июл 2014, 12:33

06 окт 2017, 14:58

Вообще то закрытые сегменты могут быть созданы именно для изоляции от интернета. Часто, при работе в закрытом сегменте ЗАПРЕЩЕНО иметь одновременное соединение с другими сетями.
И если вы целенаправлено нарушаете политику ИБ, это может стоить вам работы.

А классическая схема нарушения политики ИБ в этом случае такая.

У вас есть 3 подсети, в которых могут находится ПК (2 подсети от заставы и 1 подсеть для остальной офисной сети), и 1 подсеть подключения интернета.

Вам нужно 3 коммутатора (не микротик), в которые подключить компьютеры в соответствии с их принадлежностью к подсетям (3 группы - "Застава1", "Застава2", "Офис").
В микротик в 1 порт вставляете интернет.
Во второй порт - коммутатор группы "Застава1".
В третий порт - коммутатор группы "Застава2",
В четвертый порт - коммутатор группы "Офис".
Заставу подключаете ее интерфейсами в нужный коммутатор, соответствующий группе.

На микротике выключаете бридж, Делаете его маршрутизатором, в котором каждый порт - отдельная сеть.
Нат (маскарадинг) включаете в сторону интернета.
Настраиваете 3 DHCP сервера, которые на каждом из 2-4 порта будут раздавать адреса из диапазонов, соответствующих группе (каждой группе из своего пула).
Настраиваете маршрутизацию для закрытых сегментов (застава1 и застава2). Для этого нужно получить перечень подсетей в каждом сегменте, и внести их в таблицу маршрутизации, указав шлюзом соответствующий интерфейс заставы. Маршрут по умолчанию направить в интернет (на шлюз интернет провайдера). Если возможности получить перечень подсетей в каждом сегменте нет - нужно дефолтные маршруты направить как должно - на заставу, а для обеспечения доступа в интернет поднять в сети прокси (хоть на том же микротике).
Все.
Работает так.
Независимо, к какому сегменту относится ПК, у него шлюз по умолчанию - микротик,
Запросы в интернет микротик направит в сторону оператора интернета, запросы в закрытые сегменты - перенаправит на соответствующие интерфейсы заставы. А заставы сами являющиеся межсетевыми экранами отбросят не разрешенные адреса (пустят только тех, кто имеет правильный IP).

Адреса менять не нужно. Интернет будет и на адресах закрытых сегментов.

Обязательно сделать второй конфиг, в котором на ПК в защищенных сегментах интернета нет, и иметь возможность загрузить его быстро, при первых признаках проверки.
Последний раз редактировалось Erik_U 07 окт 2017, 09:04, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 1888
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

07 окт 2017, 06:08

Erik_U писал(а):Вам нужно 3 коммутатора (не микротик), в которые подключить компьютеры в соответствии с их принадлежностью к подсетям (3 группы - "Застава1", "Застава2", "Офис").
Настраиваете 3 DHCP сервера, которые на каждом из 2-4 порта будут раздавать адреса из диапазонов, соответствующих группе (каждой группе из своего пула).

А зачем усложнять вообще? Фактически Вы описали моё решение, но усложнили.
а) добавили 3 свитча!
б) зачем то ввели в решение целых три DHCP сервера!
Не совсем понимаю зачем.

1) В моём решение, да и вообще в моём представлении у микротика всегда порты независимы,поэтому три свитча не нужны.
2) Не совсем понимаю зачем вводить 3 DHCP сервера, сущность условий как-бы было в том, чтобы не трогая и не переключаясь,
можно было пользоваться сетями другими, а если иметь 3 отдельных сети и три свитча, то это в любом
случаи заставит при обращении в закрытую сеть переключать физически компьютер, что не легче,
чем перенастраивать на компьютере адрес.

Я не беру сейчас нормы этики, и основы безопасности, ТС огласил задачу как сделать, вместо Заставы могли бы локальные ресурсы,
сети ограниченного доступы, халявные сети и так далее.....поэтому считаю моё предложение, не заставляющее
физически переключать устройства, не меняющее и логику (адреса используются и они настроены уже) работать в тех сетях
что надо простым переключением/или формированием пару правил и адрес-листов в файрволле.

Наподобие такова, такие схемы у меня применяются и не в одном роутере, всё прекрасно, даже не опытный пользователь может ими оперировать.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Erik_U
Сообщения: 996
Зарегистрирован: 09 июл 2014, 12:33

07 окт 2017, 07:08

Все же просто. Я их не добавил, я их предложил использовать, т.к. они там точно есть.
Есть небольшая сеть на 25 пк. Есть Mikrotik 951G-2HnD

У Mikrotik 951G-2Hn 5 (пять) портов.
https://mikrotik.ru/katalog/katalog/har ... -951g-2hnd

А изолированные сегменты и так на отдельных коммутаторах существуют.
И если использовано сертифицированное в России средство защиты (застава), значит ситуация того требует. А значит в требованиях там и запрет на разделение сетей средствами виртуализации.
Куда по вашему сейчас эти 25 пк подключены?

А натить ресурсы из "запрещенной" сети в защищенный сегмент - очень плохая идея.
Поймают в 1 день, + не факт, что приложения, которые в защищенном сегменте функционируют, сохранят работоспособность через нат.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 1888
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

07 окт 2017, 07:30

Erik_U писал(а):Куда по вашему сейчас эти 25 пк подключены?

Или я плохо понимаю или Вы так подкалываете меня :-)

ТС сказал что у него есть сеть, и есть 25 ПК, что они работают в сети. Всё точка. Сколько там
свитчей, как они работают, управляемые или нет, и так далее...нам это не дано в условиях, и нам это
и не нужно. Ибо ТС не просил менять топологию сети. И сколько у него там свитчей - тоже не важно.

Я лишь спросил - (вниманием, читаем явно) зачем Вы предлагаете между заставой и одной группой компов - использовать свитч?
Также Вы предлагаете использовать свитч и между Заставой и второй группой?
Ещё раз - зачем свитч на этом участке? Зачем лишнее звено коммутации?
ЗАДАЧа ТС озвучена - удобства работы в других сетях, оставаясь в своей сети, по Вашей задумке он
должен как то умудриться, скажем комп 3 и комп 17 засунуть(подключить) временно в Ваши свитчи?
Ну бред чистой воды. Вы заставляете физически переключать компы, что равноценно прописывать адресацию,
что опять же ТС не хочет.

Мы работаем с микротиком, всё надо делать мышкой/клавиатурой, заставив те компы с адресацией 192.168.0.0/24 выходить
туда, куда надо, не меняя им адреса, и чтобы они оставались в интернете/и в рамках локальной сети 192.168.0.0/24.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Erik_U
Сообщения: 996
Зарегистрирован: 09 июл 2014, 12:33

07 окт 2017, 07:58

Vlad-2 писал(а): Ибо ТС не просил менять топологию сети.

Так и не меняйте, пожалуйста. Сейчас ПК подключены к коммутатору, заставы - тоже же коммутатору. А вы предлагаете поставить между ними дополнительное устройство - микротик. Зачем?

Vlad-2 писал(а):Я лишь спросил - (вниманием, читаем явно) зачем Вы предлагаете между заставой и одной группой компов - использовать свитч?
Также Вы предлагаете использовать свитч и между Заставой и второй группой?
Ещё раз - зачем свитч на этом участке? Зачем лишнее звено коммутации?


Лишнее добавляете вы. ПК и так подключены НЕ к микротику. Между ними и заставой и сейчас есть коммутатор, к которому подклюбчены ПК. Вы добавляете еще одно звено, дав еще и с нат-ом


Vlad-2 писал(а):ЗАДАЧа ТС озвучена - удобства работы в других сетях, оставаясь в своей сети, по Вашей задумке он
должен как то умудриться, скажем комп 3 и комп 17 засунуть(подключить) временно в Ваши свитчи?
Ну бред чистой воды. Вы заставляете физически переключать компы, что равноценно прописывать адресацию,
что опять же ТС не хочет.


ТС просил следующее.
Подскажите как настроить Mikrotik чтоб клиентам в локальной сети не менять ip в ручную и при этом работал доступ в интернет и локальную.

Там нет ни слова о доступе из одного защищенного сегмента в другой защищенный сегмент.
И я не предлагаю что-либо переключать.
Я предлагаю настроить маршрутизацию между сегментами, чтобы доступ из любого сегмента в локальную сеть "офис" и в интернет осуществлялся через микротик, а взаимодействие внутри защищенных сегментов оставалось штатным. Без явных признаков злонамеренного НСД. Натить ПК из запрещенной сети в защищенный сегмент - это НСД. И на халатность эту ситуацию. не спишешь, тут явные злонамеренные действия.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 1888
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

07 окт 2017, 08:18

Чтож, подождём ТС.
Я прочитал ещё раз первое сообщение ТС и там явно можно понять,
что сеть (не важно какая и как сделана) уже подключена к микротику.
Микротик является шлюзом, так как он раздаёт Интернет.

И я не увидел в описании ТС - чтобы Заставы были тоже подключены к коммутатору!?

В любом случаи, ещё раз, не обсуждаем правильность и степень нарушения ИБ, ТС попросил как сделать доступ,
я считаю НАТ тут выходом. И сам ни раз пользовался, когда надо "добежать" до оборудования, которое не знает
куда отсылать пакеты и вообще иногда надо зайти на такое "тупое" оборудование, которое порой не имеет в настройках
такова параметра, как шлюза, поэтому скрыть себя за самым ближайшим шлюзом относительно к такому "мало-подвижному"
устройству/свитчу и так - является самым разумным моментом для достижения цели.

P.S.
Прочтите название темы, которую ТС сделал!:
ТРИ(3) шлюза в сеть. Шлюзы, адресация - это 3-й уровень, никаких свитчей, подключений, и так далее..



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Erik_U
Сообщения: 996
Зарегистрирован: 09 июл 2014, 12:33

07 окт 2017, 08:49

Vlad-2 писал(а): я считаю НАТ тут выходом.


А я считаю НАТ тут не приемлемым.

И ваша схема неработоспособна.

6) Всё там же, в файрволле, идёте в раздел NAT - и создаёте правила, что если кто-то из адрес-листа Zastava-1 обращается в закрытый сегмент, то его проНАТить


ПК не обращаются в свой закрытый сегмент, они обращаются к ресурсам за криптотуннелем.
В вашей схеме эти обращения улетят на дефолтный маршрут - в интернет.

А еще с ДНС задача есть. Как вы в вашей схеме собираетесь резолвить имена ресурсов за криптотуннелем?


Ответить