С наступающим Новым годом! Форум программистов, компьютерный форум, киберфорум
Наши страницы
Mikrotik
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.67/3: Рейтинг темы: голосов - 3, средняя оценка - 4.67
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 18
1

Отдельные сети на порты

07.12.2017, 09:44. Просмотров 562. Ответов 17
Метки нет (Все метки)

Отдельные сети на порты


Подскажите как настроить М1 и М2, выделив на М2 порты на подсети для клиентов с доступом в интернет через основной роутер M1.
На М1 создан Address List, Queue и правила разрешающие доступ в интернет указанным подсетям.
При этом клиентские сети нужно изолировать от промежуточных узлов сети, чтобы у них был доступ внутри своей сети и был доступ в интернет.
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
07.12.2017, 09:44
Ответы с готовыми решениями:

Пробросить порты в локальной сети
Есть два последовательно подключённых роутера. Внешний: Sercomm RV6688BCM (От...

И опять микротик не пропускает отдельные сайты
Добрый день. есть следующая ситуация : - микротик 2011 - отключены УЖЕ все...

Как защитить отдельные компьютеры в сети
Здравствуйте! Мы делаем сеть для небольшого офиса (10 ПК и роутер). В офисе 8...

Windows 2003 тормоза в сети, не пингуются отдельные ПК
Сеть 2 домена на windows 2003: на одном обоих развернута AD, на первом DNS,...

Закрыть порты на серверном терминале (какие порты в данном случае можно закрыть?)
Имеется серверный терминал,человек сказал что требуется закрыть ВСЕ порты....

17
NoNaMe
Эксперт по компьютерным сетям
671 / 320 / 52
Регистрация: 10.06.2009
Сообщений: 1,440
Завершенные тесты: 1
07.12.2017, 14:39 2
Какие настройки уже есть?
Для изоляции соединений промаркировать маршруты, и в ip route rules создать правила для проименованных соединений, ограничивающий доступ к внутренним сегментам сети.
0
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 18
07.12.2017, 15:15  [ТС] 3
Пока настроек нет.... Если не сложно опишите подробнее как правильно промаркировать и настроить
0
NoNaMe
Эксперт по компьютерным сетям
671 / 320 / 52
Регистрация: 10.06.2009
Сообщений: 1,440
Завершенные тесты: 1
07.12.2017, 15:37 4
Например вот так:
Код
/ip firewall man add chain=prerouting in-interface-list=Leasers action=mark-routing new-routing-mark=Leasers
/ip route rule add src-address=100.64.0.0/10 table=leasers
0
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 18
08.12.2017, 06:48  [ТС] 5
Можно ли на М2 подсети в один VLAN завернуть, а на М1 их обработать, при этом при отсутствии связи с М1 подсети на М2 должны работать внутри.
0
NoNaMe
Эксперт по компьютерным сетям
671 / 320 / 52
Регистрация: 10.06.2009
Сообщений: 1,440
Завершенные тесты: 1
08.12.2017, 12:22 6
Клиентские сети зачастую именно так и разделяют. Иногда добавляют PPPoE авторизации, когда на один VLAN находится много пользователей.
0
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 18
08.12.2017, 12:26  [ТС] 7
Не подскажите как на клиентские подсети выделить VLAN и собрать все на М1, PPPoE не получиться реализовать у клиентов нет роутеров
0
NoNaMe
Эксперт по компьютерным сетям
671 / 320 / 52
Регистрация: 10.06.2009
Сообщений: 1,440
Завершенные тесты: 1
08.12.2017, 13:01 8
Например я выделил 100.64.0.0/10 для клиентов на VLAN999 у интерфейса ether9.
/interface vlan add interface=ether9 vlan-id=999 name=vlan999_ether_9
/ip address add address=100.64.0.1/10 interface=vlan999_ether_9 network=100.64.0.0
Вам необходимо написать правила для ip route rule, для блокировки внутренних сетей.
/ip route add distance=1 gateway=ether1 routing-mark=leasers
/ip route rule add src-address=100.64.0.0/10 table=leasers
/ip route rule add src-address=100.64.0.0/10 dst-address=172.16.0.1 table=leasers
/ip route rule add src-address=100.64.0.0/10 dst-address=172.16.0.0/16 action=unreachable table=leasers
А дальше создаёте сервис который будет назначать ip клиентам.
Если будете использовать DHCP, то вам придётся написать dhcp client options что-бы клиенты не видели друг друга в сети.

Добавлено через 7 минут
За вас никто конфигурацию писать не будет.
https://wiki.mikrotik.com/images/thumb/a/ac/Fib.png/400px-Fib.png
1
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 18
08.12.2017, 13:04  [ТС] 9
Спасибо буду пробовать....
0
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 18
09.12.2017, 11:35  [ТС] 10
Вот что получилось, пока без Firewall
M1
Eth1 - Интернет
Eth2 - Сеть общая

Отдельные сети на порты


M2
Eth1 - Общая сеть
Eth2 - Сеть клиента 1
Eth3 - Сеть клиента 2

Отдельные сети на порты


Что можете посоветовать переделать?
Может вывести промежуточные узлы тоже в отдельный VLAN для управления?
0
.None
Эксперт по компьютерным сетям
2384 / 929 / 132
Регистрация: 23.06.2009
Сообщений: 3,283
09.12.2017, 20:09 11
что-то я не понял всю эту затею с мостами в которых по 1 порту, вланами и т.д., вам чтобы было по феншую или чтоб работало?

IMHO тут сильно все усложнено и накручено, я бы сделал изоляию между сетями в firewall filter запретив форвард, там же запретил форвард из сетей клиентов к промежуточным узлам. все, никаких вланов и мостов
0
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 18
09.12.2017, 21:59  [ТС] 12
М2 и NS2 на схеме это оборудование которое ставиться конечному пользователю а их много, NS2 это точка доступа Wi-Fi, роутер М2 ставиться если несколтео клиентов после точки, если только один тогда NS2 настраиваю в режим роутера
0
.None
Эксперт по компьютерным сетям
2384 / 929 / 132
Регистрация: 23.06.2009
Сообщений: 3,283
09.12.2017, 23:28 13
по сути это ничего не меняет, у вас есть сеть управления 30.0.0.0/8, что весьма очень странно относительно выбора адреса сети так и ее маски, поскольку клиентские сети 30.2.x.x/24 входят в эту большую сеть /8
рекомендую пересмотреть адресацию и применить для этих целей специально выделенные адреса типа 10.0.0.0/8, 172.16.0.0/16, 192.168.0.0/16 и т.д.
так вот, на каждом М2 создаете список интерфейсов в который включаете порты клиентских сетей, и дальше 1 правилом фаервола блокируете доступ к сети управления, при этом можно разрешить icmp для облегчения диагностики сети

теперь по мостам, мост служит для объединения 2 и более интерфейсов (сегментов сети) в единую сеть, у вас в каждом мосту (как на М1 так и на М2) 1 интерфейс (сеть), ничего ни с чем не объединяется, нет никакой необходимости использовать мосты, увеличивая при этом нагрузку на ЦП роутера

для изоляции клиентских сетей друг от друга, сначала разрешаете форвард с каждого интерфейса (порта) на "WAN" интерфейс М2, а последним правилом запрещаете весь остальной форвард

и еще, я не спец по радио сетям точка-многоточка, но судя по материалам на различных форумах и ресурсов в сети интернет, такие сети строятся немного по другому принципу

какой смысл применения бриджей?
какой смысл применения вланов?

я серьезно не понимаю, можете высказать свою точку зрения, может я ошибаюсь?
0
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 18
10.12.2017, 14:36  [ТС] 14
Мосты буду убирать.

А если так?

M2 - WAN адрес 172.16.10.2/20
gw 172.16.0.1,
тогда внутренние адреса
Eth2 - 10.2.1.0/24
Eth3 - 10.2.2.0/24

M3 - WAN адрес 172.16.10.3/20
gw 172.16.0.1,
тогда внутренние адреса
Eth2 - 10.3.1.0/24
Eth3 - 10.3.2.0/24
0
.None
Эксперт по компьютерным сетям
2384 / 929 / 132
Регистрация: 23.06.2009
Сообщений: 3,283
10.12.2017, 15:31 15
можно и так, только опять же не понятна причина выбора маски сети /20, /24 сети не хватит? типа gw 172.16.0.1/24, М2 172.16.0.2/24, М2 172.16.0.3/24 и т.д.

и вообще чем больше читаю тему тем больше вопросов

ваши клиенты это что какие-то организации?
для какой цели после М2 установлены коммутаторы? что к ним будет подключаться? непосредственно ПК клиентов или их роутеры?

не понятен смысл блокировки трафика между клиентскими подсетями (по крайней мере которые подключены к 1 маршрутизатору М2)
0
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 18
10.12.2017, 15:55  [ТС] 16
После М2 клиенты - разные организации, каждая подключена в отдельный порт М2, поэтому либо они ставят свой роутер или просто используют свой свитч.
0
.None
Эксперт по компьютерным сетям
2384 / 929 / 132
Регистрация: 23.06.2009
Сообщений: 3,283
10.12.2017, 16:10 17
тут нужно понимать, что в случае поломки/сбоя M2 у клиентов пропадет не только интернет, но и ляжет вся их локальная сеть
я бы отказался от коммутаторов после М2, пусть клиенты ставят маршрутизаторы и сами рулят в своей LAN
0
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 18
10.12.2017, 17:47  [ТС] 18
Ставить их роутер это идеальный вариант, но пока не все хотят докупать оборудование, тогда бы я выделял на каждый порт М2 только один адрес для их роутера а не целую подсеть)
0
10.12.2017, 17:47
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
10.12.2017, 17:47

СМА Electrolux EWF 12981W, Prod No 91452270000 - не устанавливаются отдельные программы, не устанавливаются отдельные программы
В стиральной машине устанавливаются следующие программы: Хлопок Эко( 2 поз,...

Не находит отдельные страницы
Есть сайт, на котором есть десять категорий. Нажимая на разные категории, я,...

вывод бд в отдельные блоки
как вывести информацию из бд от 1 до бесконечности в отдельных блоках допустим...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
18
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru