Форум программистов, компьютерный форум, киберфорум
Наши страницы

Mikrotik

Войти
Регистрация
Восстановить пароль
 
 
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 15
#1

Отдельные сети на порты - Mikrotik

07.12.2017, 09:44. Просмотров 397. Ответов 17
Метки нет (Все метки)

Отдельные сети на порты

Подскажите как настроить М1 и М2, выделив на М2 порты на подсети для клиентов с доступом в интернет через основной роутер M1.
На М1 создан Address List, Queue и правила разрешающие доступ в интернет указанным подсетям.
При этом клиентские сети нужно изолировать от промежуточных узлов сети, чтобы у них был доступ внутри своей сети и был доступ в интернет.
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
07.12.2017, 09:44
Я подобрал для вас темы с готовыми решениями и ответами на вопрос Отдельные сети на порты (Mikrotik):

Пробросить порты в локальной сети - Сетевое оборудование
Есть два последовательно подключённых роутера. Внешний: Sercomm RV6688BCM (От МГТС) И внутренний: Asus RT-N66U И комп, подключенный к...

И опять микротик не пропускает отдельные сайты - Mikrotik
Добрый день. есть следующая ситуация : - микротик 2011 - отключены УЖЕ все правила в файрволе - большинство сайтов открывается в том...

Как защитить отдельные компьютеры в сети - Сети
Здравствуйте! Мы делаем сеть для небольшого офиса (10 ПК и роутер). В офисе 8 компьютеров рядовых сотрудников, а также ПК директора и...

Windows 2003 тормоза в сети, не пингуются отдельные ПК - Windows Server
Сеть 2 домена на windows 2003: на одном обоих развернута AD, на первом DNS, DHCP. второй на втором только сервер терминалов стоит и 1с...

Закрыть порты на серверном терминале (какие порты в данном случае можно закрыть?) - Windows Server
Имеется серверный терминал,человек сказал что требуется закрыть ВСЕ порты. Понятно что все нельзя закрывать. Подскажите какие порты в...

СМА Electrolux EWF 12981W, Prod No 91452270000 - не устанавливаются отдельные программы, не устанавливаются отдельные программы - Ремонт стиральной машины
В стиральной машине устанавливаются следующие программы: Хлопок Эко( 2 поз, причем, она повторятся на 3 и 4 поз.), ручная стирка, шелк и...

17
NoNaMe
Эксперт по компьютерным сетям
631 / 285 / 45
Регистрация: 10.06.2009
Сообщений: 1,290
07.12.2017, 14:39 #2
Какие настройки уже есть?
Для изоляции соединений промаркировать маршруты, и в ip route rules создать правила для проименованных соединений, ограничивающий доступ к внутренним сегментам сети.
0
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 15
07.12.2017, 15:15  [ТС] #3
Пока настроек нет.... Если не сложно опишите подробнее как правильно промаркировать и настроить
0
NoNaMe
Эксперт по компьютерным сетям
631 / 285 / 45
Регистрация: 10.06.2009
Сообщений: 1,290
07.12.2017, 15:37 #4
Например вот так:
Код
/ip firewall man add chain=prerouting in-interface-list=Leasers action=mark-routing new-routing-mark=Leasers
/ip route rule add src-address=100.64.0.0/10 table=leasers
0
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 15
08.12.2017, 06:48  [ТС] #5
Можно ли на М2 подсети в один VLAN завернуть, а на М1 их обработать, при этом при отсутствии связи с М1 подсети на М2 должны работать внутри.
0
NoNaMe
Эксперт по компьютерным сетям
631 / 285 / 45
Регистрация: 10.06.2009
Сообщений: 1,290
08.12.2017, 12:22 #6
Клиентские сети зачастую именно так и разделяют. Иногда добавляют PPPoE авторизации, когда на один VLAN находится много пользователей.
0
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 15
08.12.2017, 12:26  [ТС] #7
Не подскажите как на клиентские подсети выделить VLAN и собрать все на М1, PPPoE не получиться реализовать у клиентов нет роутеров
0
NoNaMe
Эксперт по компьютерным сетям
631 / 285 / 45
Регистрация: 10.06.2009
Сообщений: 1,290
08.12.2017, 13:01 #8
Например я выделил 100.64.0.0/10 для клиентов на VLAN999 у интерфейса ether9.
/interface vlan add interface=ether9 vlan-id=999 name=vlan999_ether_9
/ip address add address=100.64.0.1/10 interface=vlan999_ether_9 network=100.64.0.0
Вам необходимо написать правила для ip route rule, для блокировки внутренних сетей.
/ip route add distance=1 gateway=ether1 routing-mark=leasers
/ip route rule add src-address=100.64.0.0/10 table=leasers
/ip route rule add src-address=100.64.0.0/10 dst-address=172.16.0.1 table=leasers
/ip route rule add src-address=100.64.0.0/10 dst-address=172.16.0.0/16 action=unreachable table=leasers
А дальше создаёте сервис который будет назначать ip клиентам.
Если будете использовать DHCP, то вам придётся написать dhcp client options что-бы клиенты не видели друг друга в сети.

Добавлено через 7 минут
За вас никто конфигурацию писать не будет.
https://wiki.mikrotik.com/images/thumb/a/ac/Fib.png/400px-Fib.png
1
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 15
08.12.2017, 13:04  [ТС] #9
Спасибо буду пробовать....
0
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 15
09.12.2017, 11:35  [ТС] #10
Вот что получилось, пока без Firewall
M1
Eth1 - Интернет
Eth2 - Сеть общая

Отдельные сети на порты

M2
Eth1 - Общая сеть
Eth2 - Сеть клиента 1
Eth3 - Сеть клиента 2

Отдельные сети на порты

Что можете посоветовать переделать?
Может вывести промежуточные узлы тоже в отдельный VLAN для управления?
0
.None
Эксперт по компьютерным сетям
2336 / 887 / 121
Регистрация: 23.06.2009
Сообщений: 3,125
09.12.2017, 20:09 #11
что-то я не понял всю эту затею с мостами в которых по 1 порту, вланами и т.д., вам чтобы было по феншую или чтоб работало?

IMHO тут сильно все усложнено и накручено, я бы сделал изоляию между сетями в firewall filter запретив форвард, там же запретил форвард из сетей клиентов к промежуточным узлам. все, никаких вланов и мостов
0
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 15
09.12.2017, 21:59  [ТС] #12
М2 и NS2 на схеме это оборудование которое ставиться конечному пользователю а их много, NS2 это точка доступа Wi-Fi, роутер М2 ставиться если несколтео клиентов после точки, если только один тогда NS2 настраиваю в режим роутера
0
.None
Эксперт по компьютерным сетям
2336 / 887 / 121
Регистрация: 23.06.2009
Сообщений: 3,125
09.12.2017, 23:28 #13
по сути это ничего не меняет, у вас есть сеть управления 30.0.0.0/8, что весьма очень странно относительно выбора адреса сети так и ее маски, поскольку клиентские сети 30.2.x.x/24 входят в эту большую сеть /8
рекомендую пересмотреть адресацию и применить для этих целей специально выделенные адреса типа 10.0.0.0/8, 172.16.0.0/16, 192.168.0.0/16 и т.д.
так вот, на каждом М2 создаете список интерфейсов в который включаете порты клиентских сетей, и дальше 1 правилом фаервола блокируете доступ к сети управления, при этом можно разрешить icmp для облегчения диагностики сети

теперь по мостам, мост служит для объединения 2 и более интерфейсов (сегментов сети) в единую сеть, у вас в каждом мосту (как на М1 так и на М2) 1 интерфейс (сеть), ничего ни с чем не объединяется, нет никакой необходимости использовать мосты, увеличивая при этом нагрузку на ЦП роутера

для изоляции клиентских сетей друг от друга, сначала разрешаете форвард с каждого интерфейса (порта) на "WAN" интерфейс М2, а последним правилом запрещаете весь остальной форвард

и еще, я не спец по радио сетям точка-многоточка, но судя по материалам на различных форумах и ресурсов в сети интернет, такие сети строятся немного по другому принципу

какой смысл применения бриджей?
какой смысл применения вланов?

я серьезно не понимаю, можете высказать свою точку зрения, может я ошибаюсь?
0
Dima_89
0 / 0 / 0
Регистрация: 16.10.2015
Сообщений: 15
10.12.2017, 14:36  [ТС] #14
Мосты буду убирать.

А если так?

M2 - WAN адрес 172.16.10.2/20
gw 172.16.0.1,
тогда внутренние адреса
Eth2 - 10.2.1.0/24
Eth3 - 10.2.2.0/24

M3 - WAN адрес 172.16.10.3/20
gw 172.16.0.1,
тогда внутренние адреса
Eth2 - 10.3.1.0/24
Eth3 - 10.3.2.0/24
0
.None
Эксперт по компьютерным сетям
2336 / 887 / 121
Регистрация: 23.06.2009
Сообщений: 3,125
10.12.2017, 15:31 #15
можно и так, только опять же не понятна причина выбора маски сети /20, /24 сети не хватит? типа gw 172.16.0.1/24, М2 172.16.0.2/24, М2 172.16.0.3/24 и т.д.

и вообще чем больше читаю тему тем больше вопросов

ваши клиенты это что какие-то организации?
для какой цели после М2 установлены коммутаторы? что к ним будет подключаться? непосредственно ПК клиентов или их роутеры?

не понятен смысл блокировки трафика между клиентскими подсетями (по крайней мере которые подключены к 1 маршрутизатору М2)
0
10.12.2017, 15:31
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
10.12.2017, 15:31
Привет! Вот еще темы с ответами:

Разбить на отдельные функции - C++
Написал программу, сделав все в мейне, но разбить её на функции: vyvod1 (вывод сгенерированной матрицы) sglazhivanie (сглаживание...

отдельные стили для IE - HTML, CSS
как прописать отдельные стили чтобы они могли работать только в IE а другие браузеры на них не обращали внимания?

Отдельные части изображений - C#
Помогите, плиз!!! Можно ли как-то сделать приложение, с помощью которого можно создавать коллажи. Допустим, загружаю одно изображение,...

вывод бд в отдельные блоки - PHP БД
как вывести информацию из бд от 1 до бесконечности в отдельных блоках допустим 1 блок в нём 3 блока новостей и в них автоматом выводило от...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
15
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru