+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Как разрешить доступ в интернет, но сделать частную локальную сеть невидимой

Как разрешить доступ в интернет, но сделать частную локальную сеть невидимой, RouterOS

BobcatGuy

Guest

26.01.2009 08:57:00

Мой вопрос, вероятно, уже был задан раньше, НО мне неприятно спрашивать, но мне нужно знать… У меня есть фаервол Symantec Gateway, подключенный к RB 532a, который в прозрачном режиме соединен с другим RB 333, оба работают как точки доступа в режиме WDS, а затем другой RB 150 подключен как станция WDS к этому 333 в WDS мосту. Это работает для того, что нам нужно на трех локациях, потому что мы знаем друг друга, и доступ к одной и той же подсети не является проблемой. Я хочу сделать так, чтобы на двух Ethernet портах RB 150 был включен DHCP (это я могу решить), причем не в той же подсети, что и остальная часть моей WLAN/LAN, и обеспечить запрет доступа к моей подсети с этих двух Ethernet портов. В общем, беспроводные сети идут от моего дома к дому брата и к его магазину. Последний RB стоит на одном из моих арендных объектов, и я собирался предоставить интернет жильцам, которых я не хочу допускать к моей подсети, но при этом они должны иметь доступ к интернету. Я также не хочу, чтобы эти два Ethernet порта имели соединение друг с другом, чтобы сети жильцов на верхнем и нижнем этажах оставались отдельными. У меня есть общее представление, в общем, начать с добавления DHCP на порты ether 1 и 2, чтобы они назначали разные подсети, и убедиться, что они не объединены с моей WLAN картой… Но я хотел бы убедиться и избежать процесса проб и ошибок, к которому я обычно прибегаю. Хороший способ учиться. Сейчас у меня ether 1 настроен на IP, который такой же, как в моей подсети. На WLAN1 IP не назначен. Нужно ли мне назначить IP для беспроводного соединения в моей подсети, а затем, например, 192.168.0.1 для ETHER 1? (Моя подсеть 10.10.10.X) Заранее спасибо. В будущем мне может понадобиться перенаправить порты для видео/аудио в MSN Messenger, VOIP и т.д. В ближайшем будущем я планирую приобрести RB 493AH, чтобы он работал как мой фаервол, и отказаться от Symantec, и, вероятно, смогу использовать Ether over IP или VLAN от порта к порту через существующую WLAN сеть.

BobcatGuy

Guest

15.02.2009 08:10:00

Мне так грустно… Я тут бьюсь над настройками и не удается заставить это работать… У меня получается, чтобы DHCP назначал IP на нужном порту, но доступ в интернет не предоставляется, а это самое важное. Хорошо то, что остальная часть сети не видна с другой стороны, что и требовалось. Только вот интернета нет. Это возможно, когда беспроводное соединение настроено как Bridged WDS? Нужен ли интерфейсу WLAN IP? (предполагая, что он в той же подсети, что и остальная часть локальной сети)? Спасибо всем, кто поможет.

SurferTim

Guest

16.02.2009 10:24:00

Привет, BobcatGuy, получил твоё сообщение. Думаю, это будет двухступенчатое решение. Первый шаг — это маршрутизация твоих новых IP-подсетей к основному роутеру. Если ты хочешь сохранить безопасность на остальной части своей сети, то не сможешь применять NAT нигде, кроме как там. Второй шаг — использование фильтрации на фаерволе, чтобы заблокировать доступ к твоей частной сети. У тебя другие подсети все на 10.x.x.x? Никаких других сетей 192.168.x.x, кроме тех, что ты хочешь изолировать от своей частной сети, верно? Если можешь, покажи мне с роутера “Location 3”: /ip route print и /ip firewall nat print. К слову, я не большой любитель мостов, особенно WDS-типов. Они немного медленны для моих нужд. Я использую CLI, потому что его вывод мне нужен для устранения неполадок. Но можешь воспользоваться Winbox для изменения своих настроек. Перевод с CLI на Winbox обычно довольно прост. ПРАВКА: Если это всё, что ты блокируешь (только эти IP-наборы), это может быть проще. Возможно, нужно сделать правило NAT и фильтрации фаервола в роутере “Location 3”.

BobcatGuy

Guest

16.02.2009 19:04:00

10.10.10.1 не является устройством Mikrotik (но скоро будет, собираюсь заказать 493AH). Это шлюз Symantec Gateway 360. 10.10.10.0/24 — это мой приватный LAN. 192.168.1.1 — это Ether 2 на арендованном месте (Ether 3 будет для подвала, с этим разберусь после того, как наладится работа Ether 2). Мой диапазон DHCP — 192.168.1.100 - 192.168.1.110. 10.10.10.5 — адрес Ether 1. WLAN — Sam не имеет IP, но именно оттуда этот RB получает интернет. Я хотел оставить Ether 1 для своего использования на этом сайте, Ether 2 на втором этаже, Ether 3 — на первом. Ether 2 не видит Ether 1 и 3, и Ether 3 не видит Ether 1 и 2. Мне не нужно подключаться к Ether 2 или 3 с моего объединенного Ether 1. Я также хотел бы ограничить доступ к устройству MT с Ether 2 и 3. [admin@Rental] > ip route print Flags: X - отключено, A - активно, D - динамически, C - подключено, S - статически, r - rip, b - bgp, o - ospf, m - mme, B - черная дыра, U - недоступно, P - запрет. DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE 0 A S 0.0.0.0/0 доступно 10.10.10.1 1 Мой мост 1 S 0.0.0.0/0 доступно 10.10.10.1 1 Мой мост 2 ADC 10.10.10.0/24 10.10.10.5 0 Мой мост 3 ADC 192.168.1.0/32 192.168.1.1 0 Ether 2 - Первый этаж [admin@Rental] > ip firewall nat print Flags: X - отключено, I - недопустимо, D - динамически 0 chain=srcnat action=masquerade src-address=192.168.1.100-192.168.1.110 out-interface=WLAN - Sam [admin@Rental] >

SurferTim

Guest

16.02.2009 21:38:00

Вот задача: 0 chain=srcnat action=masquerade src-address=192.168.1.100-192.168.1.110 out-interface=WLAN - Sam, мне кажется, тебе нужно изменить интерфейс на out-interface=“My Bridge” (или на интерфейс, которому присвоен локальный IP). Если на ‘WLAN - Sam’ нет назначения IP, то и на srcnat не будет назначения IP.

mojiro

Guest

16.02.2009 22:13:00

Что ты хочешь? Безопасность? → используй фильтры брандмауэра Невидимость? → используй mangle, например: / ip firewall mangle add action=change-ttl chain=prerouting disabled=no new-ttl=increment:1 правило отключено C:\>tracert 10.86.90.129 -d

Трассировка маршрута до 10.86.90.129 с максимальным количеством 30 переходов

1 <1 мс <1 мс <1 мс 10.86.89.129
2 9 мс 8 мс 1 мс 10.86.87.109
3 14 мс 1 мс 1 мс 10.86.90.129

Трассировка завершена. правило включено C:\>tracert 10.86.90.129 -d

Трассировка маршрута до 10.86.90.129 с максимальным количеством 30 переходов

1 1 мс <1 мс 1 мс 10.86.87.109
2 2 мс 1 мс 1 мс 10.86.90.129

Трассировка завершена. hav fan

SurferTim Guest	#7 0 16.02.2009 22:36:00 Мировой мир. Чего ты хочешь? Мои извинения команде MT. Это вне рамок этой дискуссии. Но я не мог удержаться.

BobcatGuy

Guest

16.02.2009 23:25:00

Смешно, но я именно это и пытался сделать, когда был в том доме. Я попробовал изменить выходной интерфейс на Ether 1 (у него IP 10.10.10.5). Я также пробовал настроить его на мост, который называется My bridge (это единственный, что у меня есть). Я предполагал, что если настрою его на ether1 с IP 10.10.10.5, то, так как он указан как порт на моем мосту, это должно заработать, но нет, я также пробовал и мост, и это не сработало. Я еще пытался в разделе "дополнительно" установить "Out Bridge Port" на “My Bridge” и ether 1. Я пробовал masquerade, accept, passthrough в разделе действий. Я даже пытался сделать правило NAT в вкладке моста с похожими настройками. В голове я в целом понимаю, что значат эти настройки и какой логический результат они должны дать, можно сказать, что я не идеален, просто новичок. В моей голове это должно работать, но не работает. Что действительно меня запутывает, так это то, что когда ноутбуку был назначен IP, я не смог пропинговать 192.168.1.1 (Ether2), он был подключен по кабелю Cat 5 напрямую к ether2. Глупый вопрос, но он может быть уместным... Я указал в DHCP, что DNS-серверы — это серверы моего провайдера, но также пробовал 10.10.10.1 (основной фаервол) и 192.168.1.1 (ether2). Я пробовал использовать DNS провайдера, так как прочитал об этом в каком-то посте. Нужно ли что-то делать на фаерволе Symantec? Поскольку подключение в итоге подвергается NAT дважды, может ли это быть проблемой? (Я добавил маршрут для 192.168.1.0 с шлюзом 10.10.10.5, метрика 2, что позволило мне добраться до 192.168.1.1 (ether2) с стороны 10.10.10.X, думал, это поможет, но нет с интернетом). Если я назначу IP для WLAN - Sam, упростит ли это ситуацию? Стоит ли мне отказаться от всей этой настройки и переключиться на маршрутизированную сеть? Изначально я сделал мост, так как хотел, чтобы все наши компьютеры находились в одной подсети. Я открыт для идей от профессионалов. Спасибо еще раз.

SurferTim

Guest

17.02.2009 09:43:00

Привет, BobcatGuy! Давай попробуем другой подход. Какой srcnat или masquerade у тебя стоит на основном роутере? Может, стоит убрать masquerade на этом роутере и использовать его на основном роутере? С WDS мостом, вероятно, понадобится только один.

BobcatGuy

Guest

#10

17.02.2009 21:57:00

Маршрутизатор/фаервол, подключенный к кабелю провайдера, это не Mikrotik, а Symantec Gateway Security 360. При тестировании я добавил маршрут для 192.168.1.0 с шлюзом 10.10.10.5, это ether1 (RB153 в арендуемом доме). Ether 2 не объединен с ether 1. Я подумал, что могу объединить их и настроить этот RB так, чтобы он блокировал все данные в диапазоне 10.10.10.X с ether 2, чтобы пользователи ether 2 не имели доступа к моей локальной сети. Я могу получить доступ к этому RB из своей локальной сети, перейдя по адресу 192.168.1.1, так что маршрут работает. Я все еще хотел бы сделать диапазон 10.10.10.x невидимым для ether 2 в аренде. Однако, если они объединены, что мешает моему Symantec назначать IP-адреса через ether 2, так как он объединен (опять же, если я добавлю ether 2 в мостовые порты, сейчас он там не стоит)? В конечном итоге, будет ли проще изменить топологию сети на маршрутизированную?

SurferTim

Guest

#11

18.02.2009 07:57:00

Если сейчас всё работает, кроме блокировки локальных сетей, то это должно держать сеть 192.168.xx вне любой сети 10.x.x.x /ip firewall filter add chain=forward action=drop src-address=192.168.0.0/16 dst-address=10.0.0.0/8 Все адреса 192.168.x.x не смогут получить доступ к адресам, начинающимся с 10.

BobcatGuy Guest	#12 0 28.03.2009 03:35:00 Эмм, да... Прошло время с тех пор, как я вернулся к своему проекту по бесплатному интернету для жильцов... Если вы посмотрите на подвал этого дома, он полностью в ремонте, провода свисают с потолка. Я сижу на ведре с блокнотом, пытаюсь «починить» эту проблему... DHCP, scrnat, правила брандмауэра были правильными... НО одна вещь, которую я забыл, и я не могу понять, почему это мешает работе... Я установил IP на ether 2 на 192.168.1.1, настройки DHCP были там, и DNS и так далее... Но все равно не работало... Что я пропустил? Я назначил IP для ether2 как 192.168.1.1, а не 192.168.1.1/24. Ему нужен был /24, чтобы работать. Почему? Мне непонятно, но, по крайней мере, кто-то другой может найти это чтение интересным и посмеяться, что я потратил так много времени на это. Спасибо всем за помощь. Когда возникают сомнения, пробуй и ошибайся. Ха-ха.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры