Mikrotik как изолировать подсети
Перейти к содержимому

Mikrotik как изолировать подсети

  • автор:

Mikrotik как изолировать подсети

Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.

Изолирование двух подсетей

Раздел для тех, кто начинает знакомиться с MikroTik

Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку «Действия до настройки роутера».
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.

ullquiorra Сообщения: 9 Зарегистрирован: 25 апр 2013, 17:26

Поиском найти не смог, видимо совсем проблема глупая и мне должно быть стыдно, но я, что-то, никак не могу справиться.

Что мы имеем:
RB750 в роли домашнего роутера.
1 порт — WAN, 2 и 3 — бридж1, 4 и 5 — бридж2.
На бридже1 адрес 192.168.1.1, на бридже2 — 192.168.0.1.
Диашсипи сервера выдают соответственные настройки на каждый бридж.

Задача: изолировать первую подсеть от нулевой, без вланов, так, чтобы микротик натил один и тот же интернет на обе подсети, но не давал им между собой общаться через себя.

Чисто логически понятно, что нужно закрыть форвардинг бридж1 -> бридж2 и аналоично бридж2 -> бридж1. Bridge filter, по логике, позволяет реализовать такой фукционал. Но то ли я чего-то не так понял, то ли я синтаксически где-то промахнулся.

Знающие люди, не поделитесь скриншотом винбокса с реализацией такого фильтра?

ullquiorra Сообщения: 9 Зарегистрирован: 25 апр 2013, 17:26

Поиском не нашел, но покликав соседние темы, все-таки, смог по крупицам собрать нужную мне информацию.
В итоге реализовал не бридж-фильтром, а фаерволльным.

IP > Firewall > Address Lists
Создаем адресс-лист для 192.168.0.0/24 (я назвал local0)
Создаем адресс-лист для 192.168.1.0/24 (я назвал local1)

New Terminal
ip firewall filter add drop src-address-list=local0 dst-address-list=local1 chain=forward #дропаем пакеты из 192.168.0.0/24 в 192.168.1.0/24
ip firewall filter add drop src-address-list=local1 dst-address-list=local0 chain=forward #дропаем пакеты в обратном направлении

На выходе имеем две изолированные друг от друга подсетки

Изолирование двух подсетей

привет знатокам
Задача: ether2 отвязать от bridge и изолировать подсеть от «всево зоопарка», без вланов, так, чтобы микротик натил один и тот же интернет на обе подсети, но не давал им между собой общаться через себя. 

# oct/10/2020 14:17:19 by RouterOS 6.47.4 # software model = RB750Gr3 # serial number = xxxxxxxxxxxx /interface bridge add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge /interface ethernet set [ find default-name=ether1 ] mac-address=XX:XX:XX:XX:00:00 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=dhcp ranges=192.168.1.10-192.168.1.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN

Лучшие ответы ( 1 )
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
Ответы с готовыми решениями:

Передача трафика двух подсетей по одному кабелю (VLAN)?
Здравствуйте! Ребят подскажите с vlan. Есть одна ethernet розетка которая идет от коммутатора Cisco.

Объединение двух подсетей
нужно объединить эти 2 подсети. через Vlan?объединить маршрутизатор и коммутатор транком? need.

Объединение двух одинаковых подсетей
Здравствуйте, у меня такой вопрос: можно ли объединить две подсети, находящиеся по разные стороны.

соединение двух подсетей или .
Задача казалась тривиальной, но результата нет! Две подсети со своими ADSL-модемами D-Link.

Эксперт по компьютерным сетямЭксперт NIX

12937 / 7342 / 785
Регистрация: 09.09.2009
Сообщений: 28,714

а проблема-то в чем?
2 диапазона адресов
2 дхцп-сервера
2 правила про маскарад
ну и в файерволе правила про дроп взаимные (тоже 2, имхо)

Эксперт по компьютерным сетям

11417 / 6987 / 1900
Регистрация: 25.12.2012
Сообщений: 29,394

1. Убрать из бриджа ether2
2. Повесить адрес 192.168.2.1/24 на ether2
3. Добавить ether2 в группу интерфейсов LAN 

/interface list member add interface=ether2 list=LAN

4.Создать новый пул 

/ip pool add name=dhcp2 ranges=192.168.2.10-192.168.2.254

5. Включить dhcp сервер на ether2 

/ip dhcp-server add address-pool=dhcp2 disabled=no interface=ether2

И настроить параметры нового dhcp:
Network, gateway, dns
6. Правила nat и firewall

Выложите полный конфиг: 

export compact

Или правила файрволла хотя бы 

ip firewall export compact

Регистрация: 25.05.2020
Сообщений: 8

ЦитатаСообщение от insect_87 Посмотреть сообщение

1. Убрать из бриджа ether2

Настройка сделана через QuickSet, firewall стандартный, что Вы написалм понятно, но как граматно убрать ? неохота настраивать с нуля

Эксперт по компьютерным сетям

11417 / 6987 / 1900
Регистрация: 25.12.2012
Сообщений: 29,394
1. Вот когда выложите export compact, напишу, что сделать пошагово, как грамотно убрать.

PS: Забудьте совсем про quick set

2. Вам нужен доступ к управлению микротиком из второй подсети?

Регистрация: 25.05.2020
Сообщений: 8
нету под рукой железки, но есть «config_backup.rsc» он поможеть?

Эксперт по компьютерным сетям

11417 / 6987 / 1900
Регистрация: 25.12.2012
Сообщений: 29,394
Да.
Откройте его блокнотом.
Скопируйте текст конфига и выложите сюда под спойлер.
Регистрация: 25.05.2020
Сообщений: 8
config_backup.rsc_1
Кликните здесь для просмотра всего текста

# oct/09/2020 12:51:00 by RouterOS 6.47.4
# software /> #
# model = RB750Gr3
# serial number = xxxxxxxxxxxx
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=XX:XX:XX:XX:00:00
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2 network=\
192.168.1.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
«defconf: accept established,related,untracked» connection-state=\
established,related,untracked
add action=drop chain=input comment=»defconf: drop invalid» connection-state=\
invalid
add action=accept chain=input comment=»defconf: accept ICMP» protocol=icmp
add action=accept chain=input comment=\
«defconf: accept to local loopback (for CAPsMAN)» dst-address=127.0.0.1
add action=drop chain=input comment=»defconf: drop all not coming from LAN» \
in-interface-list=!LAN
add action=accept chain=forward comment=»defconf: accept in ipsec policy» \
ipsec-policy=in,ipsec
add action=accept chain=forward comment=»defconf: accept out ipsec policy» \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=»defconf: fasttrack» \
connection-state=established,related
add action=accept chain=forward comment=\
«defconf: accept established,related, untracked» connection-state=\
established,related,untracked
add action=drop chain=forward comment=»defconf: drop invalid» \
connection-state=invalid
add action=drop chain=forward comment=\
«defconf: drop all from WAN not DSTNATed» connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=»defconf: masquerade» \
ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Vilnius
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Эксперт по компьютерным сетям

11417 / 6987 / 1900
Регистрация: 25.12.2012
Сообщений: 29,394

/interface bridge port add bridge=bridge interface=ether2 disabled=yes
/ip address add address=192.168.1.1/24 interface=ether2 disabled=yes add address=192.168.1.1/24 interface=bridge add address=192.168.2.1/24 interface=ether2
/interface list member add interface=ether2 list=LAN
/ip pool add name=dhcp2 ranges=192.168.2.10-192.168.2.254
/ip dhcp-server add address-pool=dhcp2 disabled=no interface=ether2
/ip dhcp-server network add address=192.168.2.0/24 gateway=192.168.2.1 netmask=24 dns-server=192.168.2.1
/ip firewall filter add action=drop chain=forward src-address=192.168.1.0/24 dst-address=192.168.2.0/24 add action=drop chain=forward src-address=192.168.2.0/24 dst-address=192.168.1.0/24

Mikrotik: как правильно изолировать подсети?

Имеется 2 Микротика RB 3011, между ними поднят l2tp-туннель с IPsec, правила NAT настроены, все работает, все хорошо, но на МТ1 имеется подсеть 192.168.1.0/24, на МТ2 подсети 192.168.1.0/24 и 192.168.100.0/24.
Вопрос: возможно ли на МТ2 изолировать подсети 1.0 и 100.0 друг от друга и с МТ2 из подсети 100.0 направлять трафик в сеть 1.0 через l2tp туннель на МТ1?

  • Вопрос задан более трёх лет назад
  • 2316 просмотров

Комментировать
Решения вопроса 0
Ответы на вопрос 1

Zoominger

System Integrator

МТ2 из подсети 100.0 направлять трафик в сеть 1.0 через l2tp туннель на МТ1?

Окей Гугл, маршруты для самых маленьких.

возможно ли на МТ2 изолировать подсети 1.0 и 100.0 друг от друга

Настройте маски, можно тоже использовать маршруты (заворачивать трафик туда в никуда).
Ответ написан более трёх лет назад
Нравится 1 2 комментария
ironheaddd @ironheaddd Автор вопроса

на МТ2 изоляцию делал через firewall, запрещая хождение трафика из сетей в обе стороны, но это же правило будет запрещать в т.ч. трафик для направления в туннель, разве нет?

Zoominger

ironheaddd, у туннеля другая подсеть, всё нормально.
Ваш ответ на вопрос

Войдите, чтобы написать ответ

сетевое-администрирование

  • Сетевое администрирование
  • +3 ещё

Как вытянуть vlan с фортика линком на mikrotik swich?

  • 1 подписчик
  • вчера
  • 62 просмотра

MikroTik.by

For every complex problem, there is a solution that is simple, neat, and wrong.

  • Список форумовФорум по операционной системе MikroTik RouterOSОбщие вопросы
  • Поиск

Изолирование сетей

Базовая функциональность RouterOS
2 сообщения • Страница 1 из 1
Dozent Сообщения: 2 Зарегистрирован: 01 май 2021, 18:16

Изолирование сетей

Сообщение Dozent » 23 авг 2021, 17:12

Добрый день.
Имеется 4 VLAN
VLAN 1 192.168.1.1 общая
VLAN 10 192.168.10.1 сервера
VLAN 20 192.168.20.1 личная
VLAN 100 192.168.100.1 тестовая

В 3 сетях кроме 100 маршрутизация прописана в dnsmask

100 сеть нужно изолировать от всех, т.к в ней свой DNS и DHCP сервер но должна иметь доступ только к определённому адресу 20 сети

Chupaka Сообщения: 3758 Зарегистрирован: 29 фев 2016, 15:26 Откуда: Минск Контактная информация:

Re: Изолирование сетей

Сообщение Chupaka » 23 авг 2021, 18:40

Здравствуйте.
Dozent писал(а): ↑ 23 авг 2021, 17:12 В 3 сетях кроме 100 маршрутизация прописана в dnsmask

Это что значит. Если имеется в виду dnsmasq — то в нём нет никакой маршрутизации, это DHCP- и DNS-сервер же.

Dozent писал(а): ↑ 23 авг 2021, 17:12 100 сеть нужно изолировать от всех, т.к в ней свой DNS и DHCP сервер но должна иметь доступ только к определённому адресу 20 сети

Изолирование делается правилами фильтра файрвола, цепочка forward: например, разрешаете нужные направления, внизу добавляете правило action=reject на всё остальное.

Похожие публикации:
  1. Apt fix broken install что это
  2. Sidekiq что это
  3. Какие акции купить форум
  4. Память как у утки

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *