Russian Users MikroTik | Форум пользователей MikroTik

Всем доброго времени суток! Есть задумка, но не знаю как грамотно реализовать.
Ситуация:
Имеется dhcp server на MT. Раздает сеть 10.0.0.0/16. Внутренний адрес MT для данной сети 10.0.0.1. Естественно для этой же сети он и является шлюзом.

Задумка: Закрыть какую либо коммуникацию с интернетом для сети 10.0.0.0/16. Однако создать ещё один шлюз, например 10.0.200.1, через который смогут выходить в интернет те, кому он будет прислан из dhcp.

Вопрос:
Как это реализовать правильно и грамотно? И возможно ли такое вообще в рамках одного MT?

Так сходу не выглядит, как что-то невозможное.
Даже если повесить оба шлюза на один интерфейс.

xvo писал(а): ↑03 июл 2020, 12:48 Даже если повесить оба шлюза на один интерфейс.

Пробовал. Не получилось. Возможно я что-то не так делал. Получается только при условии разных масок сети. Однако вся сложность и заключается, что маска одна и таже. Думал еще через Route реализовать, но покачто изучаю документацию на эту тему и на тестовом стенде не получается.

Сейчас задумался немного... и вот. Тотже вопрос, но с другого ракурса. А как можно запретить роутинг за роутер по шлюзу 10.0.0.1?

А что значит не получается?

По шлюзу не запретишь, по крайней мере мне сходу в голову не приходит механизма, как это сделать.

И вообще, я подумал, наверное на одном интерфейсе в этом вообще смысла нет - и так и так придется запрещать/разрешать на основе адреса источника, так а зачем тогда разные шлюзы?

Просто одним адресам разрешаете выход, другим - нет.

Собственно так и надо делать:
1) Запрещаете хождение наружу всей подсети 10.0.0.1/16 кроме адресов из адрес-листа.
2) Указываете кому надо в DHCP в статических записях, что их добавлять в этот лист.

И все.

Поправьте если ошибаюсь. Достаточно ли будет создать адрес лист White и указать его в НАТе в правило маскарадинг как Src.Address List?

Ну в теории то так конечно работать у всех, кроме списка white, не будет, но только NAT это не средство запрещения/резрешения.
И все попытки выйти наружу, которые непромаскарадятся, просто будут улетать к провайдеру с вашими внутренними адресами.

Так что маскарад оставьте в покое, а менять вам надо что-то в firewall'е.

И тем не менее. Есть ли возможность как-то абстрагировать сеть или шлюз? Так сказать изолировать сеть в целом, за исключением пары адресов. При работе с фаерволом, у меня включается паранойя, хочется какую-то "защиту от дурака". Чтобы даже случайно не удалить правило или случайно не перекрыть его другим.

Можно использовать Route -> Rules если не нравится firewall.
В соседней теме ровно таким образом у человека подсети друг от друга изолированы:
viewtopic.php?f=1&t=11788.

Можете попробовать основной подсети вообще никакого шлюза не отдавать.

Но вообще сама идея запрещать выход на основании знания где шлюз, без фильтрации, она странная: а если кто-то просто руками пропишет себе правильный адрес шлюза?