MikroTik.by
For every complex problem, there is a solution that is simple, neat, and wrong.
- Список форумовФорум по операционной системе MikroTik RouterOSОбщие вопросы
- Поиск
Изолирование сетей
Базовая функциональность RouterOS
2 сообщения • Страница 1 из 1
Dozent Сообщения: 2 Зарегистрирован: 01 май 2021, 18:16
Изолирование сетей
Сообщение Dozent » 23 авг 2021, 17:12
Добрый день.
Имеется 4 VLAN
VLAN 1 192.168.1.1 общая
VLAN 10 192.168.10.1 сервера
VLAN 20 192.168.20.1 личная
VLAN 100 192.168.100.1 тестовая
В 3 сетях кроме 100 маршрутизация прописана в dnsmask
100 сеть нужно изолировать от всех, т.к в ней свой DNS и DHCP сервер но должна иметь доступ только к определённому адресу 20 сети
Chupaka Сообщения: 3831 Зарегистрирован: 29 фев 2016, 15:26 Откуда: Минск Контактная информация:
Re: Изолирование сетей
Сообщение Chupaka » 23 авг 2021, 18:40
Здравствуйте.
Dozent писал(а): ↑ 23 авг 2021, 17:12 В 3 сетях кроме 100 маршрутизация прописана в dnsmask
Это что значит. Если имеется в виду dnsmasq — то в нём нет никакой маршрутизации, это DHCP- и DNS-сервер же.
Dozent писал(а): ↑ 23 авг 2021, 17:12 100 сеть нужно изолировать от всех, т.к в ней свой DNS и DHCP сервер но должна иметь доступ только к определённому адресу 20 сети
Изолирование делается правилами фильтра файрвола, цепочка forward: например, разрешаете нужные направления, внизу добавляете правило action=reject на всё остальное.
Изоляция подсетей
Чтобы компьютеры из офисной сети и сети хотспота не видели друг друга, нужно изолировать подсети.
Это можно сделать двумя способами: через Firewall или правила маршрутизации Route Rules.
Мы опишем, как изолировать подсети в MikroTik с помощью Route Rules. Откройте меню IP — Routes;
Перейдите на вкладку Rules;
Нажмите «плюсик»;
В поле Src. Address укажите офисную подсеть 192.168.88.0/24;
В поле Dst. Address укажите гостевую подсеть 192.168.10.0/24;
В списке Action выберите unreachable; Нажмите кнопку OK. Добавляем второе правило аналогичным образом, только меняем местами подсети. Нажмите «красный плюсик»;
В поле Src. Address укажите офисную подсеть 192.168.10.0/24;
В поле Dst. Address укажите гостевую подсеть 192.168.88.0/24;
В списке Action выберите unreachable;
Нажмите кнопку OK.
Микротик. 4 подсетей. Как правильно сделать?
Задача не думаю, что простая ( но для меня как далекому от этого темы очень сложная)
Имеется микротик.
Есть интернет.
Есть сеть ЛВС 192.168.80.0/24
Надо еще добавить 3 подсети, что бы они друг друга не видели, но могли обменяться файлами через NAS (обменник, подключен как сетевой диск) и иметь интернет.
NAS находится по адресу 192.168.80.28
Интернет (порт №1)
ЛВС 192.168.80.0/24 (порт 2)
1. подсеть 192.168.90.0/27 (порт №3)
2 подсеть 192.168.100.0/27 (порт №4)
3 подсеть 192.168.110.0/27 (порт №5)
- Вопрос задан более трёх лет назад
- 573 просмотра
Комментировать
Решения вопроса 0
Ответы на вопрос 3
Внесистемный администратор
С добавлением подсетей, надеюсь, справитесь. А ограничение можно сделать так.
/ip firewall address-list add address=192.168.90.0/27 list=privatelans
/ip firewall address-list add address=192.168.100.0/27 list=privatelans
/ip firewall address-list add address=192.168.110.0/27 list=privatelans
/ip firewall filter add action=reject chain=forward src-address-list=privatelans dst-address-list=privatelans
Первые три команды создадут адрес лист с изолированными подсетями. Четвертая команда добавит правило фильтра, запрещающее трафик между ними. Его необходимо поднять выше всех разрешающих правил. Если нет запрещающих правил в подсеть 192.168.80.0/24, то все три будут иметь к ней доступ.
Ответ написан более трёх лет назад
Комментировать
Нравится 2 Комментировать
если в файрволле отсутствуют запрещающие правила — микротик по-умолчанию разрешит трафик между подсетями, соот-но вам нужно сделать такие правила (запрещающие) и сделать в них исключение в виде NAS
Ответ написан более трёх лет назад
Нравится 1 4 комментария
AntonJZ @AntonJZ Автор вопроса
Вы наверное говорите, о правилах в Route List —> Rules «unreachable»
Уточните пожалуйста как добавить в исключения ?
AntonJZ, нет, о ip firewall filter. ниже коммен как примерно можно сделать, а исключение указывается с использованием «!» (без кавычек) в правиле (для ip\mac адреса NAS)
AntonJZ, подобный вопрос показывает ваш уровень знаний по данному вопросу.
Или подтягивайте уровень или обратитесь к специалистам. Иначе накосячите.
Учитывая вопрос то ограничение доступа вы скорее всего завалите, где-нибудь, что-нибудь сделаете не так, а по сему или не мучайте микротик и пусть все работает из коробки, или учите.
Задача действительно очень и очень тривиальная.
Один из способов IP->Firewall->Firewall rules нужно создать правила forward где адрес назначения ваш nas, а адрес источника каждая ваша подсеть( получиться три правила, можно попробовать обойтись одним, но там менее тривиально будет ). + правило которое разрешает forward для установленных соединений. Плюс несколько правил которые запрещают forward во все подсети.
Важно, этот не обеспечит изоляцию клиентов между собой внутри одной подсети.
Изолирование двух подсетей
привет знатокам
Задача: ether2 отвязать от bridge и изолировать подсеть от «всево зоопарка», без вланов, так, чтобы микротик натил один и тот же интернет на обе подсети, но не давал им между собой общаться через себя.
# oct/10/2020 14:17:19 by RouterOS 6.47.4 # software model = RB750Gr3 # serial number = xxxxxxxxxxxx /interface bridge add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge /interface ethernet set [ find default-name=ether1 ] mac-address=XX:XX:XX:XX:00:00 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=dhcp ranges=192.168.1.10-192.168.1.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN
Лучшие ответы ( 1 )
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
Ответы с готовыми решениями:
Передача трафика двух подсетей по одному кабелю (VLAN)?
Здравствуйте! Ребят подскажите с vlan. Есть одна ethernet розетка которая идет от коммутатора Cisco.
Объединение двух подсетей
нужно объединить эти 2 подсети. через Vlan?объединить маршрутизатор и коммутатор транком? need.
Объединение двух одинаковых подсетей
Здравствуйте, у меня такой вопрос: можно ли объединить две подсети, находящиеся по разные стороны.
соединение двух подсетей или .
Задача казалась тривиальной, но результата нет! Две подсети со своими ADSL-модемами D-Link.
12966 / 7364 / 793
Регистрация: 09.09.2009
Сообщений: 28,831
а проблема-то в чем?
2 диапазона адресов
2 дхцп-сервера
2 правила про маскарад
ну и в файерволе правила про дроп взаимные (тоже 2, имхо)
11419 / 6989 / 1900
Регистрация: 25.12.2012
Сообщений: 29,394
1. Убрать из бриджа ether2
2. Повесить адрес 192.168.2.1/24 на ether2
3. Добавить ether2 в группу интерфейсов LAN
/interface list member add interface=ether2 list=LAN
4.Создать новый пул
/ip pool add name=dhcp2 ranges=192.168.2.10-192.168.2.254
5. Включить dhcp сервер на ether2
/ip dhcp-server add address-pool=dhcp2 disabled=no interface=ether2
И настроить параметры нового dhcp:
Network, gateway, dns
6. Правила nat и firewall
Выложите полный конфиг:
export compact
Или правила файрволла хотя бы
ip firewall export compact
Регистрация: 25.05.2020
Сообщений: 8
Сообщение от insect_87 
1. Убрать из бриджа ether2
Настройка сделана через QuickSet, firewall стандартный, что Вы написалм понятно, но как граматно убрать ? неохота настраивать с нуля
11419 / 6989 / 1900
Регистрация: 25.12.2012
Сообщений: 29,394
1. Вот когда выложите export compact, напишу, что сделать пошагово, как грамотно убрать.
PS: Забудьте совсем про quick set
2. Вам нужен доступ к управлению микротиком из второй подсети?
Регистрация: 25.05.2020
Сообщений: 8
нету под рукой железки, но есть «config_backup.rsc» он поможеть?
11419 / 6989 / 1900
Регистрация: 25.12.2012
Сообщений: 29,394
Да.
Откройте его блокнотом.
Скопируйте текст конфига и выложите сюда под спойлер.
Регистрация: 25.05.2020
Сообщений: 8
config_backup.rsc_1
Кликните здесь для просмотра всего текста
# oct/09/2020 12:51:00 by RouterOS 6.47.4
# software /> #
# model = RB750Gr3
# serial number = xxxxxxxxxxxx
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=XX:XX:XX:XX:00:00
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2 network=\
192.168.1.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
«defconf: accept established,related,untracked» connection-state=\
established,related,untracked
add action=drop chain=input comment=»defconf: drop invalid» connection-state=\
invalid
add action=accept chain=input comment=»defconf: accept ICMP» protocol=icmp
add action=accept chain=input comment=\
«defconf: accept to local loopback (for CAPsMAN)» dst-address=127.0.0.1
add action=drop chain=input comment=»defconf: drop all not coming from LAN» \
in-interface-list=!LAN
add action=accept chain=forward comment=»defconf: accept in ipsec policy» \
ipsec-policy=in,ipsec
add action=accept chain=forward comment=»defconf: accept out ipsec policy» \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=»defconf: fasttrack» \
connection-state=established,related
add action=accept chain=forward comment=\
«defconf: accept established,related, untracked» connection-state=\
established,related,untracked
add action=drop chain=forward comment=»defconf: drop invalid» \
connection-state=invalid
add action=drop chain=forward comment=\
«defconf: drop all from WAN not DSTNATed» connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=»defconf: masquerade» \
ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Vilnius
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
11419 / 6989 / 1900
Регистрация: 25.12.2012
Сообщений: 29,394
/interface bridge port add bridge=bridge interface=ether2 disabled=yes
/ip address add address=192.168.1.1/24 interface=ether2 disabled=yes add address=192.168.1.1/24 interface=bridge add address=192.168.2.1/24 interface=ether2
/interface list member add interface=ether2 list=LAN
/ip pool add name=dhcp2 ranges=192.168.2.10-192.168.2.254
/ip dhcp-server add address-pool=dhcp2 disabled=no interface=ether2
/ip dhcp-server network add address=192.168.2.0/24 gateway=192.168.2.1 netmask=24 dns-server=192.168.2.1
/ip firewall filter add action=drop chain=forward src-address=192.168.1.0/24 dst-address=192.168.2.0/24 add action=drop chain=forward src-address=192.168.2.0/24 dst-address=192.168.1.0/24