Страница 1 из 2
Проблемы с настройкой маршрутизации между несколькими сетями
Добавлено: 13 фев 2018, 15:02
Jewe
День добрый!
Появилась необходимость разделить офисную сеть на 2 разные подсети, центром всего этого стал роутер BR750Gr3, 1й порт - WAN - статика от провайдера, 2-4 объединены в бридж (сеть 192.168.10.*) бриджу присвоен адрес 192.168.10.1, поднят DHCP-сервер, на 5ом порту так же поднят бридж с сетью 192.168.1.1 . Со 2го по 4й порт будут подключены офисные ПК, а к 5 - 4 точки RBwAP2ND + несколько Tp-link'ов DAP1150 и DAP2310. Застопорился на моменте изоляции подсетей, нужно дропать все попытки подключения из сети 192.168.1.0 в 192.168.10.0, и чтобы при этом из 10й подсети можно было попасть на на интерфейс точек RBwAP2ND (вообще планируется поднять CAPsMAN, но мне хотя бы так пока разобраться как оно работает).
При добавлении соответствующих правил в фаервол
add action=drop chain=forward dst-address=192.168.10.0/24 src-address=192.168.1.0/24 пропадает и пинг из 10й подсети в 1ую.
Прошивки на всех девайсах последние, стандартные конфиги удалены, в НАТе помимо маскарада ничего нет,в фаерволе тоже ни одного правила.
P. S. настроено ограничение скорости через Queues для подсети 192.168.1.0, но думаю эти настройки ни на что не влияют. Примерную схему сети прилагаю.
P.S.S D-link это простые неуправляемые свичи
Re: Проблемы с настройкой маршрутизации между несколькими сетями
Добавлено: 13 фев 2018, 16:42
Obi Van
А чего бы пинг не пропал, если правило запрещает все пакеты из 1-й подсети на 10-ю, в том числе и ICMP Echo-Reply на 10-ю подсеть.
Re: Проблемы с настройкой маршрутизации между несколькими сетями
Добавлено: 13 фев 2018, 16:52
Jewe
Тогда вопрос в следующем: как корректно дропать все попытки попасть из 1й подсети в 10ую, но чтобы при этом я мог попасть на микротики, которые находятся в 1й подсети из 10й? ( в идеале через винбокс, но и по http можно)
Re: Проблемы с настройкой маршрутизации между несколькими сетями
Добавлено: 13 фев 2018, 16:58
Obi Van
Вы будете прям из всей 1-й сети туда попадать, или с вполне конкретного IP? Просто в первом случае усложняется. Нужно будет дропать всё (как собсно обычно по дефолту и должно быть) и пропускать очевидно конкретные протоколы на конкретные порты (также вполне очевидно что у точек будет статический IP, что упрощает настройку).
Re: Проблемы с настройкой маршрутизации между несколькими сетями
Добавлено: 13 фев 2018, 17:01
Jewe
Естественно у точек будет статика, компьютеров в 10й подсети будет не больше десятка, тоже на статике, в идеале хотелось бы с любого из них подключаться к точкам
Re: Проблемы с настройкой маршрутизации между несколькими сетями
Добавлено: 13 фев 2018, 17:37
Vlad-2
всё же логично использовать вилан(ы)
1) добавьте на 5м порту виланы, а точнее пусть точки доступа будут в вилане (тегиров.траф)
2) а уже этот трафик вилана привяжите к 10.ххх сети, и с одной стороны сети будут разделены
и не видят друг друга, и с 10й сети прямиком будете попадать на точки.
Максимум что тут возникает трудности, это с ТП-линками, их надо как-то засунуть
в тегированный порт/трафик. Ну а микротиковские устройства виланы умеют сразу.
3) а вообще лучше иметь маленький на 10-16 портов управляемый свитч(с поддержкой виланов),
легче и гибче будет. И сможете разрулить и сети и направления и в какой-то степени
и безопасность будет чуть выше.
Re: Проблемы с настройкой маршрутизации между несколькими сетями
Добавлено: 13 фев 2018, 17:56
Jewe
без виланов данную схему не реально организовать? Рассматривал такой вариант, но проблема как раз втом, что мои тп-линки не умеют с виланами работать
Re: Проблемы с настройкой маршрутизации между несколькими сетями
Добавлено: 13 фев 2018, 18:03
Vlad-2
Jewe писал(а): ↑13 фев 2018, 17:56
без виланов данную схему не реально организовать? Рассматривал такой вариант, но проблема как раз втом, что мои тп-линки не умеют с виланами работать
Ну а делать умные/хитрые правила файрола чтобы что-то можно, а что-то нельзя это разве не замудренно?
Да и как-то разношёрстные устройства использовать, логично ли?
Ну или пожертвуйте ещё одним портом на микротике для логики, а компы подключите к роутеру
через обычный свитч, так трафик обычный. Кстати это разумнее.
Тогда в 4й порт подключайте скажем ТП-линки (на 4м порту трафик будет НЕтегируемый, но принадлежать к 10.ххх сети по логике)
А в 5й порт тегированный для точек микротика(сеть 10.ххх) + обычный трафик для компов (сеть 1.ххх).
Надо рисовать, прикидывать, как в школе учили, 7 раз прикинуть и уже только действовать.
Я вообще стараюсь больше 2х или 4х портов на роутерах не использовать.
Не надо на нём делать коммутацию, он не свитч, он лишь похож на него :)
Re: Проблемы с настройкой маршрутизации между несколькими сетями
Добавлено: 14 фев 2018, 07:45
kt72ru
Jewe писал(а): ↑13 фев 2018, 16:52
Тогда вопрос в следующем: как корректно дропать все попытки попасть из 1й подсети в 10ую, но чтобы при этом я мог попасть на микротики, которые находятся в 1й подсети из 10й? ( в идеале через винбокс, но и по http можно)
В начало цепочки forwad добавьте
Код: Выделить всё
/ip firewall filter
add action=accept chain=forward comment="Accept from 1 to 10 if established" dst-address=192.168.10.0/24 src-address=192.168.1.0/24 connection-state=established,related
add action=drop chain=forward dst-address=192.168.10.0/24 src-address=192.168.1.0/24
Re: Проблемы с настройкой маршрутизации между несколькими сетями
Добавлено: 15 фев 2018, 09:16
Jewe
по сути нужны 2 разные подсети, в принципе под внутреннюю локалку можно использовать всего 1 порт с центрального микротика, остальные 3 можно использоапть как заблагорассудится. Вообще с роутера будет идти только интернет, на компах уже реализована внутренняя закрытая сеть. Подсеть 192.168.1.Х будет использоваться только ради того, чтобы не перенастраивать кучу имеющихся тп-линков (они на статике в этой подсети)