Jump to content
Калькуляторы

MikroTik RB2011UAS-2HnD-IN раздача интернета нескольким арендаторам

Здравствуйте!

Я новичок, так что не пинайте особо.

Есть MikroTik RB2011UAS-2HnD-IN. Необходимо раздавать интернет 9 арендаторам, необходимо изолировать подсети арендаторов, чтобы они не лазили друг к другу. Арендаторы воткнуты в порты с 2 по 10. В первый порт воткнут интернет. Каждому порту со 2 по 10 прописан свой IP адрес с 192.168.10.1/24, 192.168.20.1/24 ... 192.168.100.1/24. На каждый из этих портов настроен DHCP сервер на выдачу адресов компьютерам арендаторов-каждому из своего диапазона 192.168.10.0/24, 192.168.20.0/24 ... 192.168.100.0/24. На порту1 (интернет) прописан маскарадинг. Компы получают адреса, выход в интернет у всех есть. Осталось решить проблему изоляции подсетей арендаторов. Прописывание interface vlan автоматически маркирует пакеты, исходящие из порта, что мне не нужно. Если повесить VLAN на любом из портов, и объединить в мост этот VLAN и сам интерфейс порта, то пакеты не маркируются, но клиенты из разных подсетей продолжают видеть друг друга. Если заморачиваться с Switch VLAN, как описано здесь http://wiki.mikrotik.com/wiki/%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%B0:%D0%92%D0%BE%D0%B7%D0%BC%D0%BE%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D1%87%D0%B8%D0%BF%D0%B0_%D0%BA%D0%BE%D0%BC%D0%BC%D1%83%D1%82%D0%B0%D1%86%D0%B8%D0%B8

то у меня ничего не получилось-прописываешь switch vlan на порту и как только включаешь vlan-header=always-strip vlan-mode=secure порт становится недоступен из вне.

Я вообще не понимаю-нужны ли в моем случае VLAN-для разделения трафика между подсетями или все равно нужно будет использовать либо правила firewall, либо policy based routing rules? Нужно будет прописать по 2 правила между каждыми двумя подсетями(1 правило запрещает роутинг из первой подсети во вторую, 2 правило запрещает из второй в первую). Т.е. имея 9 подсетей, нужно будет создать 9*8=72 правила! Это же с ума сойдешь!

Может подскажете, как можно упростить задачу разделения подсетей, сведя к минимуму кол-во правил маршрутизации? Или подскажете другой вариант разделения подсетей. Менять адресацию не вариант-уже все прописано и работает и что-то глобально менять мне никто не даст.

Спасибо!

Share this post


Link to post
Share on other sites
/ip firewall filter add action=drop chain=forward src-address=192.168.0.0/16 dst-address=192.168.0.0/16

Share this post


Link to post
Share on other sites

/ip firewall filter add action=drop chain=forward src-address=192.168.0.0/16 dst-address=192.168.0.0/16

 

Спасибо большое, я сам не догадался-стыдно ;)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this