Изоляция vlan. Не пойму как сделать изоляцию шлюзов

[KARaS'b]

Собираете свои сети в один адрес лист и в фаерволе пишите

Код: Выделить всё

add action=drop chain=forward dst-address-list=all_lan src-address-list=all_lan

Где all_lan адрес лист с вашими сетями.
А если в дальнейшем вам нужно будет делать исключения. то просто создадите правила для них и поставите их выше этого и это позволит отрабатывать исключениям.

Если у одной сети несколько портов у микротика - между ними в рамках одной сети тоже связи не будет.

Если включен "использовать фанрвол для бриджа" да, а так это чистый l2 никак не маршрутизируемый и не должен затронуть трафик даже если он через микрот гуляет, он же просто проходит через микрот в виде l2.

[Erik_U]

Если Hardware Offload на порту не включено, все пакеты обрабатываются ROS в соответствии с правилами.
Могут быть нюансы.

[KARaS'b]

Не полностью и далеко не все варианты конечно, но проверил и не нашел вашим словам подтверждения, L2 трафик ходит спокойно.

[Erik_U]

Не полностью и далеко не все варианты конечно, но проверил и не нашел вашим словам подтверждения, L2 трафик ходит спокойно.

Ну и хорошо. Значит отличное решение одним правилом.
L2 по мак-адресу работает. Когда арп таблицы пустые, проблем не возникает?

[Tarion]

Ну как бы трафик приходящий с порта LAN на подсеть должен перенаправляться на новый неуказанный порт. Пинг до шлюза всех подсетей и правда пропадает :). но это не мешает продолжать ходить в интернет через шлюз любого влана.
То есть как-то странно ICMP режется а TCP пропускается

Если дело только в ограничении выхода в интернет, добавьте в правило
/ip firewall nat
add action=masquerade chain=srcnat out-interface=MGTS

Src. Address = нужная_подсеть/24

И в интернет будет ходить только одна нужная подсеть.

Если нужно выпустить вторую - для нее свое такое же правило.

Нет нет... интернет должен быть у всех, но сетки должны друг друга не видеть в принципе. и чтобы у них была возможность пользоваться шлюзом ТОЛЬКО своей подсети.
единственно чего удалось пока добиться, это правилом

Код: Выделить всё

add action=reject chain=forward dst-address=10.0.0.0/8 reject-with=icmp-network-unreachable src-address=10.0.0.0/8

сделать так, что они, машины в подсетях, не могут пинговать друг друга (кроме шлюзов, а этого мне также не надо). но если руками прописать на машине с адресом например 10.0.102.24 шлюз 10.0.103.254 то все прекрасно работает и машина ходит в инет через чужой шлюз. А мне так не надо!

[Tarion]

В теме рассматривается две подсети, у меня их 9, получается портянка правил (о чем так же упоминал Vqd ниже в той теме).

Собираете свои сети в один адрес лист и в фаерволе пишите

Код: Выделить всё

add action=drop chain=forward dst-address-list=all_lan src-address-list=all_lan

Где all_lan адрес лист с вашими сетями.
А если в дальнейшем вам нужно будет делать исключения. то просто создадите правила для них и поставите их выше этого и это позволит отрабатывать исключениям.

Окей, в первом сообщении я писал об этом правиле. у меня есть такое в фильтрах. Ну чуть иное:

Код: Выделить всё

add action=reject chain=forward dst-address=10.0.0.0/8 reject-with=icmp-network-unreachable src-address=10.0.0.0/8

я поменял его на то что вы посоветовали.
Создал адрес-лист со всеми своими подсетями:

Код: Выделить всё

/ip firewall address-list
add address=10.0.100.0/24 list=ALL_VLANs
add address=10.0.101.0/24 list=ALL_VLANs
add address=10.0.102.0/24 list=ALL_VLANs
add address=10.0.103.0/24 list=ALL_VLANs
add address=10.0.104.0/24 list=ALL_VLANs
add address=10.0.105.0/24 list=ALL_VLANs
add address=10.0.106.0/24 list=ALL_VLANs
add address=10.0.107.0/24 list=ALL_VLANs
add address=10.0.108.0/24 list=ALL_VLANs

и создал правило в фаерволе

Код: Выделить всё

add action=drop chain=forward dst-address-list=ALL_VLANs src-address-list=ALL_VLANs

Оно более правильно выглядит, но тем не менее результат не изменился, машины в разных подсетях, да, друг друга не пингуют, но могут пинговать и пользоваться шлюзом в иной подсети соседнего влана.
то есть если машине с адресом 10.0.102.24 указать шлюз 10.0.103.254, то у нее будет доступ в интернет.

[Tarion]

Не полностью и далеко не все варианты конечно, но проверил и не нашел вашим словам подтверждения, L2 трафик ходит спокойно.

Ну и хорошо. Значит отличное решение одним правилом.
L2 по мак-адресу работает. Когда арп таблицы пустые, проблем не возникает?

На всякий случай уточню еще раз. у меня бриджов нет. порт с локальными сетями ОДИН. и он же транк. второй порт -- под провайдера.

[Erik_U]

то есть если машине с адресом 10.0.102.24 указать шлюз 10.0.103.254, то у нее будет доступ в интернет.

У вас с маской на машине не напутано?

[KARaS'b]

но если руками прописать на машине с адресом например 10.0.102.24 шлюз 10.0.103.254 то все прекрасно работает и машина ходит в инет через чужой шлюз. А мне так не надо!

Это не возможно, если на клиентах стоит правильная маска, т.к. данный адрес попросту не перекрывается маской и не может быть доступен априори, при обращении к такому шлюза на ваших клиентских устройствах как минимум еще должен присутствовать маршрут до этого самого 10.0.103.254. На клиентах маска точно 24, а не 8, как вы местами указываете, или любая другая. больше 24?

[Vlad-2]

но если руками прописать на машине с адресом например 10.0.102.24 шлюз 10.0.103.254 то все прекрасно работает
и машина ходит в инет через чужой шлюз. А мне так не надо!

Как меня эта фраза резанула, думаю что-то не то....

а сейчас, после этой фразы:

у меня бриджов нет. порт с локальными сетями ОДИН. и он же транк. второй порт -- под провайдера.

Вырисовывается картина:
Микротик у Вас не роутер в такой ситуации, на один порт ВЫ повесили все адреса(алиасы),
где и как и что будет маршрутизироватся?

Вы должны на одном порту сделать одну сеть, на другом порту другую сеть,
и уже в настройках микротика оградить/запретить такую маршрутизацию.
(трафик должен идти через микротик).

Поэтому и шлюз можно менять и всё работает у Вас при таком подключении.
Обычно если компу поменять шлюз (который не входит в длину его указанной маски)
у Вас просто ничего не будет из сетевого работать.