Страница 2 из 4
Re: Изоляция vlan. Не пойму как сделать изоляцию шлюзов
Добавлено: 27 янв 2020, 19:46
KARaS'b
Erik_U писал(а): ↑27 янв 2020, 18:02
KARaS'b писал(а): ↑27 янв 2020, 17:51
Собираете свои сети в один адрес лист и в фаерволе пишите
Код: Выделить всё
add action=drop chain=forward dst-address-list=all_lan src-address-list=all_lan
Где all_lan адрес лист с вашими сетями.
А если в дальнейшем вам нужно будет делать исключения. то просто создадите правила для них и поставите их выше этого и это позволит отрабатывать исключениям.
Если у одной сети несколько портов у микротика - между ними в рамках одной сети тоже связи не будет.
Если включен "использовать фанрвол для бриджа" да, а так это чистый l2 никак не маршрутизируемый и не должен затронуть трафик даже если он через микрот гуляет, он же просто проходит через микрот в виде l2.
Re: Изоляция vlan. Не пойму как сделать изоляцию шлюзов
Добавлено: 28 янв 2020, 07:14
Erik_U
Если Hardware Offload на порту не включено, все пакеты обрабатываются ROS в соответствии с правилами.
Могут быть нюансы.
Re: Изоляция vlan. Не пойму как сделать изоляцию шлюзов
Добавлено: 28 янв 2020, 10:25
KARaS'b
Не полностью и далеко не все варианты конечно, но проверил и не нашел вашим словам подтверждения, L2 трафик ходит спокойно.
Re: Изоляция vlan. Не пойму как сделать изоляцию шлюзов
Добавлено: 28 янв 2020, 10:55
Erik_U
KARaS'b писал(а): ↑28 янв 2020, 10:25
Не полностью и далеко не все варианты конечно, но проверил и не нашел вашим словам подтверждения, L2 трафик ходит спокойно.
Ну и хорошо. Значит отличное решение одним правилом.
L2 по мак-адресу работает. Когда арп таблицы пустые, проблем не возникает?
Re: Изоляция vlan. Не пойму как сделать изоляцию шлюзов
Добавлено: 28 янв 2020, 12:30
Tarion
Erik_U писал(а): ↑27 янв 2020, 17:46
Tarion писал(а): ↑27 янв 2020, 13:43
Ну как бы трафик приходящий с порта LAN на подсеть должен перенаправляться на новый неуказанный порт. Пинг до шлюза всех подсетей и правда пропадает :). но это не мешает продолжать ходить в интернет через шлюз любого влана.
То есть как-то странно ICMP режется а TCP пропускается
Если дело только в ограничении выхода в интернет, добавьте в правило
/ip firewall nat
add action=masquerade chain=srcnat out-interface=MGTS
Src. Address = нужная_подсеть/24
И в интернет будет ходить только одна нужная подсеть.
Если нужно выпустить вторую - для нее свое такое же правило.
Нет нет... интернет должен быть у всех, но сетки должны друг друга не видеть в принципе. и чтобы у них была возможность пользоваться шлюзом ТОЛЬКО своей подсети.
единственно чего удалось пока добиться, это правилом
Код: Выделить всё
add action=reject chain=forward dst-address=10.0.0.0/8 reject-with=icmp-network-unreachable src-address=10.0.0.0/8
сделать так, что они, машины в подсетях, не могут пинговать друг друга (кроме шлюзов, а этого мне также не надо). но если руками прописать на машине с адресом например 10.0.102.24 шлюз 10.0.103.254 то все прекрасно работает и машина ходит в инет через чужой шлюз. А мне так не надо!
Re: Изоляция vlan. Не пойму как сделать изоляцию шлюзов
Добавлено: 28 янв 2020, 12:39
Tarion
KARaS'b писал(а): ↑27 янв 2020, 17:51
Tarion писал(а): ↑27 янв 2020, 16:16
В теме рассматривается две подсети, у меня их 9, получается портянка правил (о чем так же упоминал Vqd ниже в той теме).
Собираете свои сети в один адрес лист и в фаерволе пишите
Код: Выделить всё
add action=drop chain=forward dst-address-list=all_lan src-address-list=all_lan
Где all_lan адрес лист с вашими сетями.
А если в дальнейшем вам нужно будет делать исключения. то просто создадите правила для них и поставите их выше этого и это позволит отрабатывать исключениям.
Окей, в первом сообщении я писал об этом правиле. у меня есть такое в фильтрах. Ну чуть иное:
Код: Выделить всё
add action=reject chain=forward dst-address=10.0.0.0/8 reject-with=icmp-network-unreachable src-address=10.0.0.0/8
я поменял его на то что вы посоветовали.
Создал адрес-лист со всеми своими подсетями:
Код: Выделить всё
/ip firewall address-list
add address=10.0.100.0/24 list=ALL_VLANs
add address=10.0.101.0/24 list=ALL_VLANs
add address=10.0.102.0/24 list=ALL_VLANs
add address=10.0.103.0/24 list=ALL_VLANs
add address=10.0.104.0/24 list=ALL_VLANs
add address=10.0.105.0/24 list=ALL_VLANs
add address=10.0.106.0/24 list=ALL_VLANs
add address=10.0.107.0/24 list=ALL_VLANs
add address=10.0.108.0/24 list=ALL_VLANs
и создал правило в фаерволе
Код: Выделить всё
add action=drop chain=forward dst-address-list=ALL_VLANs src-address-list=ALL_VLANs
Оно более правильно выглядит, но тем не менее результат не изменился, машины в разных подсетях, да, друг друга не пингуют, но могут пинговать и пользоваться шлюзом в иной подсети соседнего влана.
то есть если машине с адресом 10.0.102.24 указать шлюз 10.0.103.254, то у нее будет доступ в интернет.
Re: Изоляция vlan. Не пойму как сделать изоляцию шлюзов
Добавлено: 28 янв 2020, 12:43
Tarion
Erik_U писал(а): ↑28 янв 2020, 10:55
KARaS'b писал(а): ↑28 янв 2020, 10:25
Не полностью и далеко не все варианты конечно, но проверил и не нашел вашим словам подтверждения, L2 трафик ходит спокойно.
Ну и хорошо. Значит отличное решение одним правилом.
L2 по мак-адресу работает. Когда арп таблицы пустые, проблем не возникает?
На всякий случай уточню еще раз. у меня бриджов нет. порт с локальными сетями ОДИН. и он же транк. второй порт -- под провайдера.
Re: Изоляция vlan. Не пойму как сделать изоляцию шлюзов
Добавлено: 28 янв 2020, 13:21
Erik_U
Tarion писал(а): ↑28 янв 2020, 12:39
то есть если машине с адресом 10.0.102.24 указать шлюз 10.0.103.254, то у нее будет доступ в интернет.
У вас с маской на машине не напутано?
Re: Изоляция vlan. Не пойму как сделать изоляцию шлюзов
Добавлено: 28 янв 2020, 13:38
KARaS'b
Tarion писал(а): ↑28 янв 2020, 12:30
но если руками прописать на машине с адресом например 10.0.102.24 шлюз 10.0.103.254 то все прекрасно работает и машина ходит в инет через чужой шлюз. А мне так не надо!
Это не возможно, если на клиентах стоит правильная маска, т.к. данный адрес попросту не перекрывается маской и не может быть доступен априори, при обращении к такому шлюза на ваших клиентских устройствах как минимум еще должен присутствовать маршрут до этого самого 10.0.103.254. На клиентах маска точно 24, а не 8, как вы местами указываете, или любая другая. больше 24?
Re: Изоляция vlan. Не пойму как сделать изоляцию шлюзов
Добавлено: 28 янв 2020, 13:50
Vlad-2
Tarion писал(а): ↑28 янв 2020, 12:30
но если руками прописать на машине с адресом например 10.0.102.24 шлюз 10.0.103.254 то все прекрасно работает
и машина ходит в инет через чужой шлюз. А мне так не надо!
Как меня эта фраза резанула, думаю что-то не то....
а сейчас, после этой фразы:
Tarion писал(а): ↑28 янв 2020, 12:30
у меня бриджов нет. порт с локальными сетями ОДИН. и он же транк. второй порт -- под провайдера.
Вырисовывается картина:
Микротик у Вас не роутер в такой ситуации, на один порт ВЫ повесили все адреса(алиасы),
где и как и что будет маршрутизироватся?
Вы должны на одном порту сделать одну сеть, на другом порту другую сеть,
и уже в настройках микротика оградить/запретить такую маршрутизацию.
(трафик должен идти через микротик).
Поэтому и шлюз можно менять и всё работает у Вас при таком подключении.
Обычно если компу поменять шлюз (который не входит в длину его указанной маски)
у Вас просто ничего не будет из сетевого работать.