полностью изолированный bridge в Микротике

Обсуждение оборудования и его настройки
Ответить
alch
Сообщения: 4
Зарегистрирован: 18 ноя 2018, 12:56

Привет всем.
Есть Микротик RB-3011 (десять портов, соответственно) для одного клиента и еще один простенький роутер Длинк для другого клиента.. От провайдера в серверную по одному кабелю приходят две подсети по одной каждому клиенту. Смысл в том, что нужно разделить физически каждую подсеть и пустить по своему кабелю в нужный роутер.
С дополнительным свичем для этих целей связываться не хочется.
На Микротике три последних порта 8,9,10 свободны и совсем не планируются быть задействованными. Идея именно в них разделить провайдерские подсети. Достаточно ли объединить их в отдельный бридж2, назначить ему какой-то влан и воткнуть в 8 порт, например, провайдера, 9 соединить с 1 портом того же Микротика, 10 пустить на Длинк?
В файрволе дополнительно запретить любое движение от\к бридж2.
Буду благодарен за советы по дополнительным настройкам, чтобы не было проблем с безопасностью\работоспособностью.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну да создавайте доп бридж и в фильтрах фаервола запретите в цепочке форвард движение трафика между сетями. Собственно все.


Есть интересная задача и бюджет? http://mikrotik.site
alch
Сообщения: 4
Зарегистрирован: 18 ноя 2018, 12:56

То есть, по шагам ( извините, новичек совсем в Микротик,и только ГУИ пока осваиваю):
создать бридж2
добавить в него 8,9,10
включить use ip firewal для бридж2
влан-то вообще нужно делать к нему?
в ФВ сделать правило цепочка запретить от бридж2 куда-бы то ни было?
и хотелось бы еще l2 тоже изолировать, не очень понимаю, где..

пришел в голову другой вариант, прошу спецов прокомментировать, если есть нюансы.
сделать бридж из последних 3х портов
добавить эти три порта в интерфейс-лист ИФЛ1
сделать правило в ФВ, что все, что входит через ИФЛ1, блокировать в цепях форвард и инпут..


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

л2 и так ходить не будет.Изолируйте просто по сетям да и все. Про вланы не знаю, если оно вам надо для решения каких то задач то используйте


Есть интересная задача и бюджет? http://mikrotik.site
alch
Сообщения: 4
Зарегистрирован: 18 ноя 2018, 12:56

Да вот по сетям не получается, так как нет адресов портов 8,9,10. И не нужны они там. Похоже, только бридж+интерфейс лист..


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну если микротик у вас тупо в режиме коммутатора, а не пограничного роутера то проста 2 бриджа и все. Больше ничего не надо


Есть интересная задача и бюджет? http://mikrotik.site
alch
Сообщения: 4
Зарегистрирован: 18 ноя 2018, 12:56

Все, кроме портов 8,9,10 - как раз пограничный роутер с настроенными правилами и тп) В том и дело, если бы был внутренним коммутатором, я бы не задавал здесь вопрос этот..


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

уже все методы рассказаны, готового решения факт делать не буду, да и в ясновидящего играть тоже надоело


Есть интересная задача и бюджет? http://mikrotik.site
hirsh
Сообщения: 12
Зарегистрирован: 20 фев 2017, 23:32

Доброго времени суток.

тоже интересен вопрос.
есть бридж в нем состоят eoip туннели и влан от pppoe срвера.

можно как то изолировать eoip туннели друг от друга?

спасибо


Ответить