Russian Users MikroTik | Форум пользователей MikroTik

Добрый день, потихонечку разбираюсь с Микротиком.
Стоит в офисе MIKROTIK RB941-2ND (дома стоит Mikrotik hAP ac lite (RB952Ui-5ac2nD) )
в офисе есть HP Proliant g8, на нем стоит основная база 1С,сервер видеонаблюдения, стоит Hyper V, в нем 3 виртуальные машины
1)Астериск
2)Пару корпоративных сайтов
3)Песочница для разработки и предоставления доступа программистам по сайту.

У сервера есть 3 физических сетевых карты по 1 гбит.
В данный момент Интернет заходит в Микротик, далее с него идет на гигабитный свитч, к которому подключены компы, от него идет провод к еще одному гигабитному Свичу, в который заходят 3 сетевых карты от сервера и 1 карта ILO.
В данный момент все работает внутри подсети 192.168.0.0 , все имеют доступ ко всем. Все пробросы работают, нат натится, телефония звонит.

Основная задача развести физически виртуальные машины от физической сети.
Те если гипотетически будет взломан какой то сайт или астериск и получен root доступ, чтобы не было выхода в корп сеть и доступа через сеть к серваку либо в локалку.
Возможно ли это все разграничить? когда идет 1 физический кабель к Свитчу, от которого запитан сервак? или нужен отдельный кабель на каждую сетевуху и ее непосредственно в Микротик. Возможно, часть можно сделать на уровне Hyperv, выкладываю скриншот (Hyper-V vSwitch — это программно-определяемый коммутатор трафика сети Ethernet, работающий на канальном уровне (layer-2).)



p.s. Проброс портов и Нат практически осовил, а вот виртуальные сети, разграничение доступа пока в процессе, поэтому прошу помощи.

igor.grinin писал(а): ↑05 янв 2019, 01:35 Добрый день, потихонечку разбираюсь с Микротиком.

Это хорошо....но дальше, увы...всё плохо

igor.grinin писал(а): ↑05 янв 2019, 01:35 Стоит в офисе MIKROTIK RB941-2ND (дома стоит Mikrotik hAP ac lite (RB952Ui-5ac2nD) )

Хоть бы ознакомились с линейкой всех роутеров микротик!????
941 роутер - самый простой роутер, сделан на архитектуре smips, под данную
архитектуру даже сервер времени (пакет) не делают. Да и просто сравните память в 941 и в 952!?
Для офиса 941 роутер = категорически НЕТ. Его атаками, и активным трафиком
можно положить. Официально, РБ941 - называют "домашней точкой доступа".
Так что советую срочно рассмотреть вопрос замены роутера на более мощный,
чтобы памяти хватало, чтобы можно было строить акцес-листы, адрес-листы, и
прочее. И с гигабитными портами конечно.
(у меня с 3х провайдеров за сутки около 1000-1700 атак в сутки по DNS-и-SSH портам).

igor.grinin писал(а): ↑05 янв 2019, 01:35 гигабитному Свичу, в который заходят 3 сетевых карты от сервера и 1 карта ILO.

карта iLO, как бы существует для резервного/обходного/запасного управления.
Обычно её выводят в отдельную под-сеть и не подключают в общую, или
она подключена в общую физическую сеть, но обернута отдельным виланом.
Вариаций много, но карта iLO или попросту IPMI должен быть доступен
при недоступности сети, свитчей и прочего.
Поэтому как раз возможно, как резерв продумать вариант роутера 941 и iLO карты
= как отдельный сегмент с отдельным входом/подключением.

igor.grinin писал(а): ↑05 янв 2019, 01:35 Основная задача развести физически виртуальные машины от физической сети.

В такой постановке задачи = не получиться. Виртуальные машины (сервера) работают, и дают(предоставляют)
какой-то сервис, значит они взаимодействуют с локальной сетью, поэтому "помыть посуду не намочив её водой"
не получиться. Физическая сеть есть физическая, виртуальные машины можно тоже сегментировать,
вынести часть сервисов в отдельную подсеть (то есть будет сеть локальная и будет DMZ сеть).
Между ними сделать уже защиту/прохождения трафика, и так далее, но это надо всё продумать,
рассчитать и делать....(если сделать по-быстрому, скорее всего локальная сеть встанет и офис остановиться).

igor.grinin писал(а): ↑05 янв 2019, 01:35 Те если гипотетически будет взломан какой то сайт или астериск и получен root доступ, чтобы не было выхода в корп сеть и доступа через сеть к серваку либо в локалку.

Выше объяснил = если сервис работает в общей сети = то доступ будет. Разделять надо сеть, на сети, под-сети,
наконец-то есть технология виланов (VLAN) = это всё основы сетей, с микротиком никак не связаны.
Почитайте...

igor.grinin писал(а): ↑05 янв 2019, 01:35 Возможно ли это все разграничить? когда идет 1 физический кабель к Свитчу, от которого запитан сервак? или нужен отдельный кабель на каждую сетевуху и ее непосредственно в Микротик. Возможно, часть можно сделать на уровне Hyperv, выкладываю скриншот (Hyper-V vSwitch — это программно-определяемый коммутатор трафика сети Ethernet, работающий на канальном уровне (layer-2).)

Нужно понимать сеть, её нагрузку, логику, тем более у Вас 1С там, а это вообще, требования к сети
у 1С = большие, обычно важные сервисы/виртуальные машины делают на одном хосте (на одной физическом сервере,
где работают сервисы), а на другом хосте = делают уже веб-приложения.

igor.grinin писал(а): ↑05 янв 2019, 01:35 p.s. Проброс портов и Нат практически осовил, а вот виртуальные сети, разграничение доступа пока в процессе, поэтому прошу помощи.

На уровне виртуализации чтобы сделать защиту между виртуалками целые системы есть,
которые стоят как джипы, поэтому это задача - целый комплекс подходов и практика+теория.
Изучите вопрос более шире и в целом.

Спасибо за коммент, на данном этапе я изучаю теоретическую составляющую. Насчет офисного микротика, да это понятно что это начальный сегмент, Вчера почитал немного, технология VLAN как я понимаю мне подходит, те сделать несколько VLANOV и на фаерволе разделить подсети. Насчет роутера - будет перегруз заменю, на данный момент в офисе всего 5 рабочих станций с учетом сервера, нагрузка небольшая.