Вопрос, почему: Локальные сети в разных VLAN доступны по ICMP.

Обсуждение оборудования и его настройки
Ответить
Michael
Сообщения: 11
Зарегистрирован: 26 ноя 2016, 22:39

Добрый день.

Имею железку: MikroTik Routerboard RB3011UiAS-RM на чипе QCA-8337, версия прошивки 6.37.3

Вопрос, почему: Локальные сети в разных VLAN доступны по ICMP?

Введение:
На данном роутере настроил

1. NAT - с помощью перегруженного NAT -> через srcnat и маскарадинг
2. WAN - кабель от провайдера, Switch1 порт 5, засунул в VLAN111 и получаю интернетовски IP через DHCP Client.
3. Настроил порты Switch1 с 1-го по 4-ый порт VLAN333
4. Настроил порты Switch2 с 6-го по 9-ый порт VLAN444
5. На каждый VLAN id333 и id444 настроил адресацию (IP->Addresses)
* VLAN333 10.1.1.1/24
* VLAN444 10.55.55.1/24
и DHCP сервер с соответствующими адресами.

И так, дело подошло к кульминации:
1. Подключаю кабель в Switch1, по факту нахожусь в VLAN333 и получаю IP 10.1.1.5 шлюз 10.1.1.1
2. Подключаю кабель в Switch2, по факту нахожусь в VLAN444 и получаю IP 10.55.55.4 шлюз 10.55.55.1

Пингую адреса компьютеров с одного и другого ПК, которые находятся в разных VLAN'ах и вижу что пинг идет :-( ведь они не должны друг друга видеть.


Пингую из сети с VLAN333 c ПК с адресом 10.1.1.5

C:\Users\Administrator>ping 10.55.55.4

Pinging 10.55.55.4 with 32 bytes of data:
Reply from 10.55.55.4: bytes=32 time<1ms TTL=63
Reply from 10.55.55.4: bytes=32 time<1ms TTL=63

Ping statistics for 10.55.55.4:
Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

Подскажите пожалуйста в чем ошибка? Мне так кажется что как-то через NAT они доступны, поправьте меня пожалуйста. :hi_hi_hi:
Мне нужно чтобы локальные сети не видели друг друга, но ходили в интернет через 1 интернетовский IP, полученный на интерфейсе WAN с VLAN 111.

Тема обсуждения настройки VLAN мигрировала с темы viewtopic.php?f=3&t=7179 из-за некоторых технических особенностей и постановки вопроса.
Последний раз редактировалось Michael 09 дек 2016, 18:11, всего редактировалось 2 раза.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

В микротике все посдети видят друг друга по умолчанию.
Надо специально блокировать.

http://podarok66.livejournal.com/14975.html


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Уберите с виланов IP-адресацию и всё, ничего видно не будет.
Виланы будут друг друга не видить.
Как ставите адресацию (в рамках микротика), всё, перешли на другой уровень (L3) ,
а в микротике он - доброжелательный, всё всем всё дано и видно.
Так что или на L2 и виланах (уровень коммутации) или L3 - в рамках сетей/ограничений и файрвола.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
seregaelcin
Сообщения: 176
Зарегистрирован: 27 фев 2016, 17:12

gmx писал(а):В микротике все посдети видят друг друга по умолчанию. Надо специально блокировать.


Видят, т.к. это директ коннектед сети. На любом роутере они должны пингаться без настройки машрутизации


Обладатель Mikrotik RB2011UAS-2HnD-IN
Ответить