Russian Users MikroTik | Форум пользователей MikroTik

Привет всем.
Есть Микротик RB-3011 (десять портов, соответственно) для одного клиента и еще один простенький роутер Длинк для другого клиента.. От провайдера в серверную по одному кабелю приходят две подсети по одной каждому клиенту. Смысл в том, что нужно разделить физически каждую подсеть и пустить по своему кабелю в нужный роутер.
С дополнительным свичем для этих целей связываться не хочется.
На Микротике три последних порта 8,9,10 свободны и совсем не планируются быть задействованными. Идея именно в них разделить провайдерские подсети. Достаточно ли объединить их в отдельный бридж2, назначить ему какой-то влан и воткнуть в 8 порт, например, провайдера, 9 соединить с 1 портом того же Микротика, 10 пустить на Длинк?
В файрволе дополнительно запретить любое движение от\к бридж2.
Буду благодарен за советы по дополнительным настройкам, чтобы не было проблем с безопасностью\работоспособностью.

Ну да создавайте доп бридж и в фильтрах фаервола запретите в цепочке форвард движение трафика между сетями. Собственно все.

То есть, по шагам ( извините, новичек совсем в Микротик,и только ГУИ пока осваиваю):
создать бридж2
добавить в него 8,9,10
включить use ip firewal для бридж2
влан-то вообще нужно делать к нему?
в ФВ сделать правило цепочка запретить от бридж2 куда-бы то ни было?
и хотелось бы еще l2 тоже изолировать, не очень понимаю, где..

пришел в голову другой вариант, прошу спецов прокомментировать, если есть нюансы.
сделать бридж из последних 3х портов
добавить эти три порта в интерфейс-лист ИФЛ1
сделать правило в ФВ, что все, что входит через ИФЛ1, блокировать в цепях форвард и инпут..

л2 и так ходить не будет.Изолируйте просто по сетям да и все. Про вланы не знаю, если оно вам надо для решения каких то задач то используйте

Да вот по сетям не получается, так как нет адресов портов 8,9,10. И не нужны они там. Похоже, только бридж+интерфейс лист..

Ну если микротик у вас тупо в режиме коммутатора, а не пограничного роутера то проста 2 бриджа и все. Больше ничего не надо

Все, кроме портов 8,9,10 - как раз пограничный роутер с настроенными правилами и тп) В том и дело, если бы был внутренним коммутатором, я бы не задавал здесь вопрос этот..

уже все методы рассказаны, готового решения факт делать не буду, да и в ясновидящего играть тоже надоело

Доброго времени суток.

тоже интересен вопрос.
есть бридж в нем состоят eoip туннели и влан от pppoe срвера.

можно как то изолировать eoip туннели друг от друга?

спасибо

hirsh писал(а): ↑01 дек 2018, 14:45 есть бридж в нем состоят eoip туннели и влан от pppoe срвера.
можно как то изолировать eoip туннели друг от друга?

Сам нашел решение
параметр port horizon
порты с одинаковым значением общаться не будут

Главное не забыть, порты в мосте должны иметь отключенную HW-offload