Маршрутизация между vlan Mikrotik

[Alex00645]

Добрый день
Нужна подсказка как настроить трафик между vlan на микротике, сейчас мой прогресс таков:
1. Подключены все комуторы
2. Настроены vla'ы
3. Все компьютеры получают адреса по dhcp
4. У всех есть интернет
5. Все сидят по своим vla'нам и не могут получить доступ к серверам ( хотя бы 1с)

Чего бы хотелось добиться :
1. Интернет у всех
2. Определенные vla'ны ходят в определенные vla'ны (например: vlan30 "бухгалтера" ходят в vlan20 "сервера 1С" а остальные нет)


Конфигурация Микротика (она по сути пустая, там только vlan'ы и интернет):

 

[admin@MainOffice] > export
# 2024-06-20 13:11:28 by RouterOS 7.15.1
# software id =
#
/interface bridge
add name=bridge1 vlan-filtering=yes
/interface vlan
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30
add interface=bridge1 name=vlan40 vlan-id=40
add interface=bridge1 name=vlan50 vlan-id=50
add interface=bridge1 name=vlan60 vlan-id=60
add interface=bridge1 name=vlan70 vlan-id=70
add interface=bridge1 name=vlan80 vlan-id=80
/ip pool
add name=dhcp_pool8 ranges=10.10.10.2-10.10.10.254
add name=dhcp_pool9 ranges=10.10.20.2-10.10.20.254
add name=dhcp_pool10 ranges=10.10.30.2-10.10.30.254
add name=dhcp_pool11 ranges=10.10.40.2-10.10.40.254
add name=dhcp_pool12 ranges=10.10.50.2-10.10.50.254
add name=dhcp_pool13 ranges=10.10.60.2-10.10.60.254
add name=dhcp_pool14 ranges=10.10.70.2-10.10.70.254
add name=dhcp_pool15 ranges=10.10.80.2-10.10.80.254
/ip dhcp-server
add address-pool=dhcp_pool8 interface=vlan10 name=dhcp1
add address-pool=dhcp_pool9 interface=vlan20 name=dhcp2
add address-pool=dhcp_pool10 interface=vlan30 name=dhcp3
add address-pool=dhcp_pool11 interface=vlan40 name=dhcp4
add address-pool=dhcp_pool12 interface=vlan50 name=dhcp5
add address-pool=dhcp_pool13 interface=vlan60 name=dhcp6
add address-pool=dhcp_pool14 interface=vlan70 name=dhcp7
add address-pool=dhcp_pool15 interface=vlan80 name=dhcp8
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether8 pvid=10
/ipv6 settings
set disable-ipv6=yes forward=no
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether2,ether3,ether4 untagged=ether8 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether2,ether3,ether4 vlan-ids=20
add bridge=bridge1 tagged=bridge1,ether2,ether3,ether4 vlan-ids=30
add bridge=bridge1 tagged=bridge1,ether2,ether3,ether4 vlan-ids=40
add bridge=bridge1 tagged=bridge1,ether2,ether3,ether4 vlan-ids=50
add bridge=bridge1 tagged=bridge1,ether3,ether2,ether4 vlan-ids=60
add bridge=bridge1 tagged=bridge1,ether4,ether2,ether3 vlan-ids=70
add bridge=bridge1 tagged=bridge1,ether2,ether3,ether4 vlan-ids=80
/ip address
add address=10.10.10.1/24 interface=vlan10 network=10.10.10.0
add address=10.10.20.1/24 interface=vlan20 network=10.10.20.0
add address=10.10.30.1/24 interface=vlan30 network=10.10.30.0
add address=10.10.40.1/24 interface=vlan40 network=10.10.40.0
add address=10.10.50.1/24 interface=vlan50 network=10.10.50.0
add address=10.10.60.1/24 interface=vlan60 network=10.10.60.0
add address=10.10.70.1/24 interface=vlan70 network=10.10.70.0
add address=10.10.80.1/24 interface=vlan80 network=10.10.80.0
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=10.10.10.0/24 gateway=10.10.10.1
add address=10.10.20.0/24 gateway=10.10.20.1
add address=10.10.30.0/24 gateway=10.10.30.1
add address=10.10.40.0/24 gateway=10.10.40.1
add address=10.10.50.0/24 gateway=10.10.50.1
add address=10.10.60.0/24 gateway=10.10.60.1
add address=10.10.70.0/24 gateway=10.10.70.1
add address=10.10.80.0/24 gateway=10.10.80.1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system identity
set name=MainOffice
/system note
set show-at-login=no
[admin@MainOffice] >

[Alex00645]

Пару дней почитал в интернете кучу всякого и все стало более менее понятно.
Для новичков таких же как и я :
1. Когда Вы создаете Vlan'ы на бридже и там есть уже скажем vlan20 и vlan30 и при этом нет ни каких правил в firtwall то микротик уже все сделал за Вас и все друг друга видят
2. На микротике по умолчанию все vlan'ы на бридже видят друг друга а вот изолировать их надо именно в firewall.
3. Я долго не мог понять почему linux видят друг друга (при этом они в разных vlan'нах), а windows нет. К сожалению идея проверить все на linux пришла ко мне только через несколько дней ---- так вот на большинстве linux firewall не такой злой как на windows и linux попросту разрешает себя пинговать из другой сети !
4. Решение: на windows просто надо в его firewall разрешить доступ из нужной Вам сети
5. После того как Вы настроите firewall'лы на Ваших windows, надо будет заняться firewall'ом Вашего микротика (кому куда ходить а кому куда не ходить, повторюсь без правил в firewall все ходят и видят друга ) - настройка это тема обширная и микротик реально умеет многое я доволен что выбрал его !
6. Совет : что бы все понять и более менее начать настраивать надо практиковаться, есть такая штука EVE-NG там можно строить хоть целые корпоративные сети. Если бы я про нее знал чуть раньше, мне бы это сэкономило бы кучу времени.

PS
Все что я написал выше это взгляд человека который лишь несколько дней живет с микротиком, возможно через месяц я посмотрю на это и подумаю какую же ересь я написал