+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Отключи связь между подсетями, но разреши доступ в сеть.

Отключи связь между подсетями, но разреши доступ в сеть., RouterOS

masonandgray

Guest

23.12.2013 03:48:00

Привет! Недавно познакомился с продукцией Mikrotik и пока что очень доволен. Купил пару RB750GL и RB751U-2HND. RB750GL использую с VLAN в схеме "Router on a stick". Работает отлично, клиенты на нужных VLAN получают DHCP и свои корректные IP-адреса от роутера. Роутер обеспечивает NAT для доступа клиентов в интернет, и всё работает хорошо. Единственная проблема в том, что клиенты из одного VLAN могут общаться с клиентами из другого VLAN, и я понимаю, что это делает роутер. Есть ли способ отключить межсетевое взаимодействие VLAN? Сейчас всего 3 VLAN, но планируется увеличение их количества. У меня сейчас такие правила:
* Drop traffic from VLAN A to VLAN B
* Drop traffic from VLAN B to VLAN A
* Drop traffic from VLAN A to VLAN C
* Drop traffic from VLAN C to VLAN A
* Drop traffic from VLAN B to VLAN C
* Drop traffic from VLAN C to VLAN B

… Понятно, как это не будет масштабироваться с увеличением количества VLAN. Есть ли способ сделать это лучше? Спасибо.

c0d3rSh3ll Guest	#2 0 23.12.2013 14:32:00 Твоё правило NAT (маскарада) установлено следующим образом: Ip firewall nat add chain=scr-nat out-interface=wan action=masquerade. Отправлено с моего мобильного телефона через Tapatalk.

efaden Guest	#3 0 23.12.2013 16:41:00 Добавьте что-то вроде этого: /interface bridge filter add action=drop chain=forward in-interface=!ether1 out-interface=!ether1

masonandgray

Guest

03.01.2014 16:43:00

Привет, с новым годом! Большое спасибо за ответы. Мои правила NAT masquerade выглядят так: add action=masquerade chain=srcnat comment="NATing for 192.168.10.0/24 Network" out-interface=ether1 src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="NATing for 192.168.12.0/24 Network" out-interface=ether1 src-address=192.168.12.0/24
add action=masquerade chain=srcnat comment="NATing for 192.168.11.0/24 Network" out-interface=ether1 src-address=192.168.11.0/24 Привет, efaden. Можешь, пожалуйста, объяснить мне свою настройку? Я пытаюсь понять, что она делает. Спасибо.

masonandgray Guest	#5 0 08.01.2014 19:19:00 Привет. Вот как выглядит моя конфигурация. Пока что у меня 3 VLAN, и в будущем, возможно, добавлю ещё. `/interface bridge` `add l2mtu=1598 name="B - VLAN 10"` `add name="B - VLAN 11"` `add name="B - VLAN 12"` `/interface vlan` `add interface=ether2 l2mtu=1594 name="VLAN 10" vlan-id=10` `add interface=ether2 l2mtu=1594 name="VLAN 11" vlan-id=11` `add interface=ether2 l2mtu=1594 name="VLAN 12" vlan-id=12` `/interface bridge port` `add bridge="B - VLAN 10" interface="VLAN 10"` `add bridge="B - VLAN 11" interface="VLAN 11"` `add bridge="B - VLAN 12" interface="VLAN 12"` `add bridge="B - VLAN 10" interface=ether5` `add bridge="B - VLAN 10" interface=ether3` `add bridge="B - VLAN 11" interface=ether4` `/ip address` `add address=192.168.10.1/24 interface="VLAN 10" network=192.168.10.0` `add address=192.168.11.1/24 interface="VLAN 11" network=192.168.11.0` `add address=192.168.12.1/24 interface="VLAN 12" network=192.168.12.0` `/ip firewall nat` `add action=masquerade chain=srcnat comment="NATing for 192.168.10.0/24 Network" out-interface=ether1 src-address=192.168.10.0/24` `add action=masquerade chain=srcnat comment="NATing for 192.168.12.0/24 Network" out-interface=ether1 src-address=192.168.12.0/24` `add action=masquerade chain=srcnat comment="NATing for 192.168.11.0/24 Network" out-interface=ether1 src-address=192.168.11.0/24` `/ip dhcp-server network` `add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 netmask=24 ntp-server=192.168.10.1` `add address=192.168.11.0/24 dns-server=192.168.11.1 gateway=192.168.11.1 netmask=24 ntp-server=192.168.11.1` `add address=192.168.12.0/24 dns-server=192.168.12.1 gateway=192.168.12.1 netmask=24 ntp-server=192.168.12.1` Порт 1 моего MikroTik подключен к трунковому порту коммутатора, и беспроводные и проводные клиенты получают DHCP и нормально просматривают интернет в своих VLAN. Сейчас я убрал точку доступа и коммутатор, и подключаю два ноутбука к портам 4 и 5 на роутере MikroTik, которые находятся в VLAN 11 и 10 соответственно. Как в этом случае будет работать фильтр моста? Правильно ли я реализовал VLAN? Единственное, с чем у меня проблемы, это разделение трафика и маршрутизация его через роутер между VLAN. Также, есть ли способ разрешить маршрутизацию определенного трафика через VLAN? Я посмотрел [http://forum.mikrotik.com/t/multiple-dhcp-servers-networks-vlan-help-one-doesnt-work/72992/1](<#0 >) и вижу что-то похожее на то, что хочу сделать, но не уверен, как это применить к моей ситуации. Не перемудрил ли я с мостами? Спасибо.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры