+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Добавил Mikrotik в существующую сеть. Как правильно сегментировать/изолировать?

Добавил Mikrotik в существующую сеть. Как правильно сегментировать/изолировать?, RouterOS

hish747

Guest

18.12.2023 04:08:00

У меня уже есть сеть 192.168.0.0, и я добавил Mikrotik 750gr3, подключив WAN к существующей LAN. Это создало новую сеть 192.168.88.0. Когда я подключаюсь к LAN Mikrotik, я всё ещё могу получить доступ к устройствам в родительской сети 192.168.0.0. Как сделать так, чтобы Mikrotik не мог ни обращаться к родительской сети 192.168.0.0, ни быть доступным из неё? Мне нужно, чтобы Mikrotik выходил в интернет, но не взаимодействовал с другой сетью. Знаю, что это очень начинающий вопрос… спасибо за помощь. Hish

hish747

Guest

04.01.2024 03:47:00

Значит ли это, что я могу добавить дополнительные правила разрешения для любого IP-адреса устройства в сети, которому хочу предоставить доступ? Допустим, я хочу, чтобы люди могли отправлять задачи на сетевой принтер. Спасибо еще раз!

anav

Guest

04.01.2024 04:02:00

Никому не нравится бегать за постоянно меняющейся историей. Запишите все требования подробно.
а. определите всех пользователей/устройства и группы пользователей/устройств
б. определите все потоки трафика, которые им нужны.
Кстати, вы управляете маршрутизатором на стороне провайдера или это делает сам провайдер, то есть ISP-модем/маршрутизатор?

hish747

Guest

04.01.2024 14:51:00

Сеть подключается от провайдера через кабельный модем. К модему подключён основной роутер (10.1.1.x), который раздаёт интернет компьютерам, принтерам и роутеру Mikrotik (192.168.88.1), питающему Wi-Fi точки доступа. Я хочу предоставить людям через Wi-Fi доступ в интернет, но при этом не давать доступ к другим ресурсам сети, кроме принтеров. То есть, чтобы те, кто подключается к Wi-Fi точкам доступа, могли только серфить в интернете и печатать, и больше ничего. Вопрос: можно ли реализовать это с помощью описанной выше схемы, добавив IP адреса отдельных принтеров в правило брандмауэра на разрешение выше правила на запрет?

anav

Guest

04.01.2024 15:01:00

Чтобы прояснить, верхний роутер принадлежит владельцам дома, а Hex — вам, арендатору, и у них нет Wi-Fi, но они хотят пользоваться вашим Wi-Fi? Тогда да, вы можете настроить свой Hex-роутер как роутер (двойной NAT) и создать собственные подсети/VLAN. Вы можете выделить гостевые VLAN, которые они смогут использовать, назначив их на отдельные SSID. Их трафик будет напрямую проходить через ваш роутер к их роутеру и дальше в интернет, но они не смогут общаться с вашими другими VLAN/подсетями, так что это не проблема. Пользователи на их роутере не смогут напрямую получить доступ к вашим VLAN/подсетям через ваш роутер — этот вопрос закрыт.

НО! Весь ваш трафик можно перехватить, как только он покинет ваш роутер, так как он больше не будет находиться в VLAN. Если вас беспокоит, что кто-то может следить за вашим трафиком, у вас нет защиты после выхода из роутера. Я не совсем понимаю, как именно это происходит, но они легко могут видеть, куда вы заходите, и, возможно, даже содержимое (я не хакер, так что точно не знаю). Единственное, что, скорее всего, не видно — это HTTPS и прочие защищённые протоколы, а сейчас почти весь интернет-трафик именно такой. Не уверен насчёт почты... Например, шифруется ли Google Mail?

Единственный способ обеспечить полную конфиденциальность — использовать VPN в своём роутере для всего интернет-трафика. Wireguard на VPS — один из вариантов, или можно подключиться к другому другу по Wireguard, если у друга есть современный роутер с поддержкой Wireguard.

hish747 Guest	#6 0 05.01.2024 00:14:00 Мне удалось это сделать, добавив правило разрешения в брандмауэре для каждого IP-адреса принтера. Ещё раз спасибо.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры