aspnetman Опубликовано 8 апреля, 2015 · Жалоба Здравствуйте! Я новичок, так что не пинайте особо. Есть MikroTik RB2011UAS-2HnD-IN. Необходимо раздавать интернет 9 арендаторам, необходимо изолировать подсети арендаторов, чтобы они не лазили друг к другу. Арендаторы воткнуты в порты с 2 по 10. В первый порт воткнут интернет. Каждому порту со 2 по 10 прописан свой IP адрес с 192.168.10.1/24, 192.168.20.1/24 ... 192.168.100.1/24. На каждый из этих портов настроен DHCP сервер на выдачу адресов компьютерам арендаторов-каждому из своего диапазона 192.168.10.0/24, 192.168.20.0/24 ... 192.168.100.0/24. На порту1 (интернет) прописан маскарадинг. Компы получают адреса, выход в интернет у всех есть. Осталось решить проблему изоляции подсетей арендаторов. Прописывание interface vlan автоматически маркирует пакеты, исходящие из порта, что мне не нужно. Если повесить VLAN на любом из портов, и объединить в мост этот VLAN и сам интерфейс порта, то пакеты не маркируются, но клиенты из разных подсетей продолжают видеть друг друга. Если заморачиваться с Switch VLAN, как описано здесь http://wiki.mikrotik.com/wiki/%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%B0:%D0%92%D0%BE%D0%B7%D0%BC%D0%BE%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D1%87%D0%B8%D0%BF%D0%B0_%D0%BA%D0%BE%D0%BC%D0%BC%D1%83%D1%82%D0%B0%D1%86%D0%B8%D0%B8 то у меня ничего не получилось-прописываешь switch vlan на порту и как только включаешь vlan-header=always-strip vlan-mode=secure порт становится недоступен из вне. Я вообще не понимаю-нужны ли в моем случае VLAN-для разделения трафика между подсетями или все равно нужно будет использовать либо правила firewall, либо policy based routing rules? Нужно будет прописать по 2 правила между каждыми двумя подсетями(1 правило запрещает роутинг из первой подсети во вторую, 2 правило запрещает из второй в первую). Т.е. имея 9 подсетей, нужно будет создать 9*8=72 правила! Это же с ума сойдешь! Может подскажете, как можно упростить задачу разделения подсетей, сведя к минимуму кол-во правил маршрутизации? Или подскажете другой вариант разделения подсетей. Менять адресацию не вариант-уже все прописано и работает и что-то глобально менять мне никто не даст. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 8 апреля, 2015 · Жалоба /ip firewall filter add action=drop chain=forward src-address=192.168.0.0/16 dst-address=192.168.0.0/16 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aspnetman Опубликовано 8 апреля, 2015 · Жалоба /ip firewall filter add action=drop chain=forward src-address=192.168.0.0/16 dst-address=192.168.0.0/16 Спасибо большое, я сам не догадался-стыдно ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
