Страница 4 из 7
Re: изоляция подсетей и маршрутизация избранных хостов
Добавлено: 16 фев 2016, 14:01
qwerty
Я поглядел вашу схему. Получается, что сеть камер физикой попадает только в микротик и больше ни в один коммутатор не заходит??? То есть сети фактически не пересекаются между собой в одних и тех же проводах??? Тогда зачем VLAN вообще нужны??? Все ограничения можно сделать на микротке и забивать голову VLAN.
А по портами 3 и 4 на роутере разве не соединяется с коммутатором(3 и 11 соответственно), кстати тоже микротик.
Re: изоляция подсетей и маршрутизация избранных хостов
Добавлено: 16 фев 2016, 14:44
KARaS'b
Лирическое отступление.
Который день уже наблюдаю за этой темой, даже подписался на нее и все жду сакрального момента когда здешние гуру расскажут и покажут какой нибудь элементарный пример, как кроме "ip-routes-rule" можно разделить две сети и обеспечить доступ определенных хостов из одной сети в другую.
Re: изоляция подсетей и маршрутизация избранных хостов
Добавлено: 16 фев 2016, 14:56
gmx
qwerty писал(а): А по портами 3 и 4 на роутере разве не соединяется с коммутатором(3 и 11 соответственно), кстати тоже микротик.
Так вся и прелесть микротик в том, что одним легким движением порты объединяются в бриджы, в количестве и набором портов, нужных нам.
Re: изоляция подсетей и маршрутизация избранных хостов
Добавлено: 16 фев 2016, 15:00
qwerty
Так вся и прелесть микротик в том, что одним легким движением порты объединяются в бриджы, в количестве и набором портов, нужных нам.
Причём тут бриджы?! Не пойму ...
Вы же имели в виду, что роутер и коммутатор физически не связаны.
Re: изоляция подсетей и маршрутизация избранных хостов
Добавлено: 16 фев 2016, 15:21
gmx
Все смешалось в кучу кони, люди.
Вы путаете понятия видимости.
Вам два дня пытаются объяснить, что электрическое соединение и маршрутизация и контроль подсетей на уровне роутера - это разные вещи.
Сети могут быть связны через роутер электрически, но могут быть быть не доступны друг другу. И при этом роутер будет для обеих сетей шлюзом и обеим сетям будет доступен интернет, но друг друга они видеть не будут.
Еще раз, в микротике порты Ethernet - это не просто тупой свич. Порты можно разобрать из свича, объединить между собой в разных вариантах. Можно вообще сделать так, что каждый порт будет самостоятельным. И на каждый порт можно свою подсеть организовать.
Re: изоляция подсетей и маршрутизация избранных хостов
Добавлено: 16 фев 2016, 15:29
qwerty
Еще раз, в микротике порты Ethernet - это не просто тупой свич. Порты можно разобрать из свича, объединить между собой в разных вариантах. Можно вообще сделать так, что каждый порт будет самостоятельным. И на каждый порт можно свою подсеть организовать.
Это я уже понял.
Сети могут быть связны через роутер электрически, но могут быть быть не доступны друг другу.
Пока не настроишь соответствующе, правильно?
И при этом роутер будет для обеих сетей шлюзом и обеим сетям будет доступен интернет, но друг друга они видеть не будут.
Как это сделать подскажите, если можете? Или правильнее спросить "если имеете желание"?!
Re: изоляция подсетей и маршрутизация избранных хостов
Добавлено: 16 фев 2016, 15:31
qwerty
Который день уже наблюдаю за этой темой, даже подписался на нее и все жду сакрального момента когда здешние гуру расскажут и покажут какой нибудь элементарный пример, как кроме "ip-routes-rule" можно разделить две сети и обеспечить доступ определенных хостов из одной сети в другую.
KARaS'b, респект! )
Re: изоляция подсетей и маршрутизация избранных хостов
Добавлено: 16 фев 2016, 15:41
gmx
Я же вам написал. Давайте тимвьювер.
Ну или такой вариант, сами:
0. Удаляем текущий конфиг микротика.
1. Порты исключаем из бриджа и аппаратного свича.
2. Порту 1 и 2 назначаем IP из разных подсетей
3. Втыкаем в эти порты какие ни будь устройства (ноуты, другие микротки), назначаем им IP из соответствующих подсетей.
4. Проверяем пинги в разные подсети.
5. Добавляем правило вроде этого
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.77.0/24
ip адреса, естественно, ставьте свои. И убеждаетесь, что пакеты между сетями больше не ходят.
Re: изоляция подсетей и маршрутизация избранных хостов
Добавлено: 16 фев 2016, 19:20
vqd
KARaS'b писал(а):Лирическое отступление.
Который день уже наблюдаю за этой темой, даже подписался на нее и все жду сакрального момента когда здешние гуру расскажут и покажут какой нибудь элементарный пример, как кроме "ip-routes-rule" можно разделить две сети и обеспечить доступ определенных хостов из одной сети в другую.
нуу, есть же замечательный инструмент /ip firewall filter
Re: изоляция подсетей и маршрутизация избранных хостов
Добавлено: 16 фев 2016, 21:07
KARaS'b
vqd писал(а):KARaS'b писал(а):Лирическое отступление.
Который день уже наблюдаю за этой темой, даже подписался на нее и все жду сакрального момента когда здешние гуру расскажут и покажут какой нибудь элементарный пример, как кроме "ip-routes-rule" можно разделить две сети и обеспечить доступ определенных хостов из одной сети в другую.
нуу, есть же замечательный инструмент /ip firewall filter
Ну то что он есть это мы знаем, а вот как им правильно воспользоваться для именно такой задачи, как разделение сетей и тем более с возможностью определенных товарищей исключить из этого ограничения, вот это бы от опытных людей увидеть и услышать!)