В уже имеющуюся безопасную домашнюю сеть необходимо добавить ИЗОЛИРОВАННУЮ небезопасную подсеть с видеокамерами.
Схема -
Казалось бы, масса примеров описана, но они решают слегка другую задачу - Микротик там выступает центральным роутером, в который приходит интернет от провайдера, и на нем поднимают одну или несколько подсетей (LAN/WiFi), включая изолированые гостевые HotSpot.
Там везде WAN от провайдера не требуется защищать, а достаточно завести VLAN-ы на уникальных IP-подсетях, которые между собой и изолируются:
http://www.technotrade.com.ua/Articles/ ... -05-08.php
http://www.technotrade.com.ua/Articles/ ... _setup.php
У меня же отличие в том, что от провайдера стоит роутер, от которого не избавиться (коаксиал/DOCSIS), он раздает домашнюю сеть (LAN1, 192.168.0.0, которую и нужно защитить), и он же (192.168.0.1) выступает WAN-Gateway для MikroTik-а, на котором уже и хочу поднять небезопасную сеть (LAN2, 10.1.1.1).
Проблема связана с тем, что поскольку 192.168.0.1 является Gateway-ем, то в Роутере непросто перекрыть доступ в подсеть LAN1 (192.168.0.0/24), т.к. и DHCP client туда ходит, и NAT и Ether1.
В итоге, в своих экспериментах я либо отрубаю интернет в LAN2 (10.1.1.0), или из LAN2 свободно пингую сервера, расположенные в LAN1.
Я не хочу обрисовывать варианты, которые уже перепробовал, т.к. боюсь усложнить пост. Лучше, если кто-то из понимающих предложит правильную конфигурацию. Я готов ее протестировать и отписаться.
(только просьба, описывать по-подробнее свои предложения, т.к. я явно какие-то тонкости Микротика упускаю).
Я думаю, я не одинок в такой схеме.
И мне именно такую схему хочется реализовать по разным причинам, но открыт к предложениям.
Готов заплатить за настройку. Пишите в личку.
Заранее спасибо!
Настройка изолированной подсети в домашней сети
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Описание и картинка как-то противоречат друг другу.
Если Микротик используется только для сети 10.1.1.0/24, а сеть 192.168.0.0/24 для него как Uplink, то настраиваете порт который в эту сеть смотрит как wan, а в форварде добавляете запрещающие правила с 10.1.1.0/24 в 192.168.0.0/24 и обратно. Думаю этого будет достаточно.
Если Микротик используется для двух сетей, то правильнее обе сети только на микротике держать, разнеся их портам, а маршрутизатор провайдера использовать только как Uplink.
Александр
-
- Сообщения: 3
- Зарегистрирован: 03 май 2018, 00:19
Александр, да, нужно первое -
Хотел бы уточнить:
1)
Так работает, однако, как только включаю изоляцию на правилах, как указано ниже, пропадает интернет в 10.1.1.0 -
Изоляцию настраивал через Route Rules;
Добавлял правило -
Src. Address - 192.168.0.0/24;
Dst. Address - 10.1.1.0/24;
Action = unreachable;
И такое же зеркальное, только наоборот сети.
2)
3)
Я использовал DHCP-client (к 192.168.0.1) на Бридже - надеюсь, не в этом дело.
Попробую на днях. Все никак не добирусь (algerka писал(а): ↑03 май 2018, 12:26 Если Микротик используется только для сети 10.1.1.0/24, а сеть 192.168.0.0/24 для него как Uplink, то настраиваете порт который в эту сеть смотрит как wan, а в форварде добавляете запрещающие правила с 10.1.1.0/24 в 192.168.0.0/24 и обратно. Думаю этого будет достаточно.
Хотел бы уточнить:
1)
Правильно ли я понимаю, что объединяем в Бридж все порты, включая и тот, что смотрит в 192.168.0.0/24 как wan?
Так работает, однако, как только включаю изоляцию на правилах, как указано ниже, пропадает интернет в 10.1.1.0 -
Изоляцию настраивал через Route Rules;
Добавлял правило -
Src. Address - 192.168.0.0/24;
Dst. Address - 10.1.1.0/24;
Action = unreachable;
И такое же зеркальное, только наоборот сети.
2)
"в форварде" - это где, пардон? Как я указал выше, на Правилах?
3)
Я использовал DHCP-client (к 192.168.0.1) на Бридже - надеюсь, не в этом дело.
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
-
- Сообщения: 3
- Зарегистрирован: 03 май 2018, 00:19
В итоге, извращаться не стал, последовал совету Александра и настроил 2 подсети на Mikrotike.
Т.к. в этом случае воспользоваться в полной мере быстрым WiFi на роутере провайдера не получается, докупил быструю WiFi-точку. Это решило задачу.
Т.к. в этом случае воспользоваться в полной мере быстрым WiFi на роутере провайдера не получается, докупил быструю WiFi-точку. Это решило задачу.