Привет всем.
Есть Микротик RB-3011 (десять портов, соответственно) для одного клиента и еще один простенький роутер Длинк для другого клиента.. От провайдера в серверную по одному кабелю приходят две подсети по одной каждому клиенту. Смысл в том, что нужно разделить физически каждую подсеть и пустить по своему кабелю в нужный роутер.
С дополнительным свичем для этих целей связываться не хочется.
На Микротике три последних порта 8,9,10 свободны и совсем не планируются быть задействованными. Идея именно в них разделить провайдерские подсети. Достаточно ли объединить их в отдельный бридж2, назначить ему какой-то влан и воткнуть в 8 порт, например, провайдера, 9 соединить с 1 портом того же Микротика, 10 пустить на Длинк?
В файрволе дополнительно запретить любое движение от\к бридж2.
Буду благодарен за советы по дополнительным настройкам, чтобы не было проблем с безопасностью\работоспособностью.
полностью изолированный bridge в Микротике
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ну да создавайте доп бридж и в фильтрах фаервола запретите в цепочке форвард движение трафика между сетями. Собственно все.
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 4
- Зарегистрирован: 18 ноя 2018, 12:56
То есть, по шагам ( извините, новичек совсем в Микротик,и только ГУИ пока осваиваю):
создать бридж2
добавить в него 8,9,10
включить use ip firewal для бридж2
влан-то вообще нужно делать к нему?
в ФВ сделать правило цепочка запретить от бридж2 куда-бы то ни было?
и хотелось бы еще l2 тоже изолировать, не очень понимаю, где..
пришел в голову другой вариант, прошу спецов прокомментировать, если есть нюансы.
сделать бридж из последних 3х портов
добавить эти три порта в интерфейс-лист ИФЛ1
сделать правило в ФВ, что все, что входит через ИФЛ1, блокировать в цепях форвард и инпут..
создать бридж2
добавить в него 8,9,10
включить use ip firewal для бридж2
влан-то вообще нужно делать к нему?
в ФВ сделать правило цепочка запретить от бридж2 куда-бы то ни было?
и хотелось бы еще l2 тоже изолировать, не очень понимаю, где..
пришел в голову другой вариант, прошу спецов прокомментировать, если есть нюансы.
сделать бридж из последних 3х портов
добавить эти три порта в интерфейс-лист ИФЛ1
сделать правило в ФВ, что все, что входит через ИФЛ1, блокировать в цепях форвард и инпут..
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
л2 и так ходить не будет.Изолируйте просто по сетям да и все. Про вланы не знаю, если оно вам надо для решения каких то задач то используйте
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 4
- Зарегистрирован: 18 ноя 2018, 12:56
Да вот по сетям не получается, так как нет адресов портов 8,9,10. И не нужны они там. Похоже, только бридж+интерфейс лист..
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ну если микротик у вас тупо в режиме коммутатора, а не пограничного роутера то проста 2 бриджа и все. Больше ничего не надо
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 4
- Зарегистрирован: 18 ноя 2018, 12:56
Все, кроме портов 8,9,10 - как раз пограничный роутер с настроенными правилами и тп) В том и дело, если бы был внутренним коммутатором, я бы не задавал здесь вопрос этот..
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
уже все методы рассказаны, готового решения факт делать не буду, да и в ясновидящего играть тоже надоело
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 12
- Зарегистрирован: 20 фев 2017, 23:32
Доброго времени суток.
тоже интересен вопрос.
есть бридж в нем состоят eoip туннели и влан от pppoe срвера.
можно как то изолировать eoip туннели друг от друга?
спасибо
тоже интересен вопрос.
есть бридж в нем состоят eoip туннели и влан от pppoe срвера.
можно как то изолировать eoip туннели друг от друга?
спасибо