Russian Users MikroTik | Форум пользователей MikroTik

Доброго времени суток форумчане! Работаю с CAS125-24G-1S-RM прошивка v6.45.1. Ситуация такова: внутри предприятия есть своя локальная сеть (192.168.0.0/16), шлюзом выступает 192.168.10.1 (тоже какойто микротик), на нём поднят DHCP который раздаёт адреса 192.168.10.0/24 (остальной пул локалки либо используеться статически, либо вообще не используется). Есть помещение из нескольких компьютеров которые подключены к моему микротику (192.168.88.1), на котором поднят DHCP (192.168.88.0/24) раздющийся всем компьютерам этого помещения динамику, за исключением сервера AD (WinServer 2008 R2 - 192.168.88.2) на котором разумеется статика. Мой мироктик (88.1) подключён через ether1 к локалке предприятия, он получает себе динамику (10.x) так как статика к сожалению в данном случае не вариант, а по помещению раздаёт ip на часть компьютеров 88.x, а на другую часть 10.x (!). Как сделать так, чтобы по помещению расходилась только 88.x? А ещё лучше заблокировать всем компьютерам помещения выход в локалку предприятия, за исключением сервера AD? С микротиком столкнулся впервые, постарался описать всё максимально детально, ниже прикладываю скины настройки microtik.
P.S. Забыл на скриншоте показать Interface List - ether1=WAN, bridge1=LAN, а NAT Action - маскарад.

Описание так себе, вроде и полное, но непонятное.

MZhack писал(а): ↑08 июл 2019, 11:55 внутри предприятия есть своя локальная сеть (192.168.0.0/16),

Так у предприятия сеть вся используется (0.0/16) ? Или всё же используется 10.0/24 ?
Это важно!

MZhack писал(а): ↑08 июл 2019, 11:55 а по помещению раздаёт ip на часть компьютеров 88.x, а на другую часть 10.x (!).

Если роутер Ваш и в Вашей зоне ответственности, то Вы делаете только так как он должен
согласно Вашим представлениям работать.
У Вас свитч формально, значит либо Вам надо создать 2 бриджа, в которых будет
в одном доступна сеть предприятия, в другом только Ваша.

MZhack писал(а): ↑08 июл 2019, 11:55 А ещё лучше заблокировать всем компьютерам помещения выход в локалку предприятия, за исключением сервера AD?

Настраивайте и всё будет, у Вас сеть 88, сеть предприятия Вы знаете, делайте на файрволе правила,
что если идёт запрос с сети 88 в сеть 10.ххх (нам же часть сети 10.ххх всё же нужна), значит надо явно
описать на какие хосты из сети 10.ххх можно, а обращения на остальные хосты блокировать.
(это я пока ещё просто и обобщённо написал).

MZhack писал(а): ↑08 июл 2019, 11:55 С микротиком столкнулся впервые, постарался описать всё максимально детально, ниже прикладываю скины настройки microtik.

1) сделайте от руки схему, где предприятие, где Вы, где сервера.
2) в описании то нужен доступ, то не нужен. Нужно более детальное понимание, кому куда что нужно
3) у Вас программируемый свитч и роутер, Вы должны управляь портами, и логически их коммутировать,
то есть связать компы своей маленькой сети в единый бридж, а компы предприятия в другой бридж
и объединить с портом1 для связи с другой части сети предприятия, опять же, если так надо.
И доступы всё регламентируются.

Так что пока что у Вас ТехЗадание достаточно не явное (для меня уж), не явно описаны сети,
учтите, если на предприятии используется маска 0.0/16, и нужен доступ, а Вы сидите в сети
88.0/24 = то ряд моментов будет трудно сделать, так как 88.0/24 уже является сущностью 0.0/16
Опять же, зачем Вы используете у себя 88 сетку? Использовать служебную сетку = тоже плохая
идея, кроме роутеров, есть ещё ряд фирм (делают камеры) которые используют сетку 88.0/24,
а если подтвердиться, что в предприятии сеть 0.0/16, то Вам вообще придётся другой
класс сети использовать.