Настройка изолированной подсети в домашней сети

Ответить
soxo
Сообщения: 3
Зарегистрирован: 03 май 2018, 00:19

В уже имеющуюся безопасную домашнюю сеть необходимо добавить ИЗОЛИРОВАННУЮ небезопасную подсеть с видеокамерами.

Схема -
Изображение

Казалось бы, масса примеров описана, но они решают слегка другую задачу - Микротик там выступает центральным роутером, в который приходит интернет от провайдера, и на нем поднимают одну или несколько подсетей (LAN/WiFi), включая изолированые гостевые HotSpot.

Там везде WAN от провайдера не требуется защищать, а достаточно завести VLAN-ы на уникальных IP-подсетях, которые между собой и изолируются:
http://www.technotrade.com.ua/Articles/ ... -05-08.php
http://www.technotrade.com.ua/Articles/ ... _setup.php

У меня же отличие в том, что от провайдера стоит роутер, от которого не избавиться (коаксиал/DOCSIS), он раздает домашнюю сеть (LAN1, 192.168.0.0, которую и нужно защитить), и он же (192.168.0.1) выступает WAN-Gateway для MikroTik-а, на котором уже и хочу поднять небезопасную сеть (LAN2, 10.1.1.1).

Проблема связана с тем, что поскольку 192.168.0.1 является Gateway-ем, то в Роутере непросто перекрыть доступ в подсеть LAN1 (192.168.0.0/24), т.к. и DHCP client туда ходит, и NAT и Ether1.
В итоге, в своих экспериментах я либо отрубаю интернет в LAN2 (10.1.1.0), или из LAN2 свободно пингую сервера, расположенные в LAN1.

Я не хочу обрисовывать варианты, которые уже перепробовал, т.к. боюсь усложнить пост. Лучше, если кто-то из понимающих предложит правильную конфигурацию. Я готов ее протестировать и отписаться.
(только просьба, описывать по-подробнее свои предложения, т.к. я явно какие-то тонкости Микротика упускаю).
Я думаю, я не одинок в такой схеме.
И мне именно такую схему хочется реализовать по разным причинам, но открыт к предложениям.

Готов заплатить за настройку. Пишите в личку.
Заранее спасибо!


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

soxo писал(а): 03 май 2018, 06:24 Проблема связана с тем, что поскольку 192.168.0.1 является Gateway-ем, то в Роутере непросто перекрыть доступ в подсеть LAN1 (192.168.0.0/24)
Описание и картинка как-то противоречат друг другу.

Если Микротик используется только для сети 10.1.1.0/24, а сеть 192.168.0.0/24 для него как Uplink, то настраиваете порт который в эту сеть смотрит как wan, а в форварде добавляете запрещающие правила с 10.1.1.0/24 в 192.168.0.0/24 и обратно. Думаю этого будет достаточно.

Если Микротик используется для двух сетей, то правильнее обе сети только на микротике держать, разнеся их портам, а маршрутизатор провайдера использовать только как Uplink.


Александр
soxo
Сообщения: 3
Зарегистрирован: 03 май 2018, 00:19

Александр, да, нужно первое -
algerka писал(а): 03 май 2018, 12:26 Если Микротик используется только для сети 10.1.1.0/24, а сеть 192.168.0.0/24 для него как Uplink, то настраиваете порт который в эту сеть смотрит как wan, а в форварде добавляете запрещающие правила с 10.1.1.0/24 в 192.168.0.0/24 и обратно. Думаю этого будет достаточно.
Попробую на днях. Все никак не добирусь (


Хотел бы уточнить:

1)
algerka писал(а): 03 май 2018, 12:26 Если Микротик используется только для сети 10.1.1.0/24, а сеть 192.168.0.0/24 для него как Uplink, то настраиваете порт который в эту сеть смотрит как wan...
Правильно ли я понимаю, что объединяем в Бридж все порты, включая и тот, что смотрит в 192.168.0.0/24 как wan?

Так работает, однако, как только включаю изоляцию на правилах, как указано ниже, пропадает интернет в 10.1.1.0 -
Изоляцию настраивал через Route Rules;
Добавлял правило -
Src. Address - 192.168.0.0/24;
Dst. Address - 10.1.1.0/24;
Action = unreachable;

И такое же зеркальное, только наоборот сети.

2)
algerka писал(а): 03 май 2018, 12:26 ... а в форварде добавляете запрещающие правила с 10.1.1.0/24 в 192.168.0.0/24 и обратно. Думаю этого будет достаточно.
"в форварде" - это где, пардон? Как я указал выше, на Правилах?

3)
Я использовал DHCP-client (к 192.168.0.1) на Бридже - надеюсь, не в этом дело.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

soxo писал(а): 08 май 2018, 07:33 Правильно ли я понимаю, что объединяем в Бридж все порты, включая и тот, что смотрит в 192.168.0.0/24 как wan?
нет.


Александр
soxo
Сообщения: 3
Зарегистрирован: 03 май 2018, 00:19

В итоге, извращаться не стал, последовал совету Александра и настроил 2 подсети на Mikrotike.

Т.к. в этом случае воспользоваться в полной мере быстрым WiFi на роутере провайдера не получается, докупил быструю WiFi-точку. Это решило задачу.


Ответить