Jump to content

mikrotik изоляция vlan

Здравствуйте!

Есть mikrotik

На нем порядка 500 vlan's

в каждом vlan'е своя подсеть вида 10.1.1.0/24

Адрес каждого интерфейса влана соответственно 10.1.1.1 и т.д

 

Юзверги сидят через pptp из этих вланов,при этом и с интерфейсов пптп они свободно гуляют на любые локальные адреса вланов.

 

Как запретить хождение юзвергов между вланами?

Share this post


Link to post
Share on other sites

ip route rule add src-address=10.0.0.0/8 dst-address=10.0.0.0/8 action=unreachable

(для примера)

 

Тогда юзеры с адресами 10.1.1.0/24 не смогут попадать на свои шлюзы,если я правильно понимаю.

Share this post


Link to post
Share on other sites

1) создайте адрес-лист, внесите в него все сетки, для которых хотите запретить связность

2) создайте правило фаервола для цепочки forward, где укажите ранее созданный адрес-лист в качестве src addres-list и dst addres-list, действие reject

Share this post


Link to post
Share on other sites

мой ответ был дополнением к тому правилу фаервола, если бы chain=input то да, они бы не достучались до шлюза

а при форвардинге все ок

Share this post


Link to post
Share on other sites

Чёта я не понял: предлагалось решить задачу с помощью route rules.

А тогда, насколько я понимаю, запрещается только роутинг и непонятно тогда при чём тут недоступность шлюза и chain-ы в ip fw?

Или как?

Share this post


Link to post
Share on other sites

2 проблемы

Клиент подключается через pptp

Если он поднимает pptp - то в другой влан он свободно шурует через пптп интерфейс.

 

Если в влане клиент с адресом 10.1.10.15/24 ломится на адрес 192.168.1.1 - то тик без задней мысли берет и пытается через интерфейс с адресом 192.168.0.0/16 искать этот злосчастный 192.168.1.1. Итог = заваливается броадкастами тик в поисках адресов и падает.

Share this post


Link to post
Share on other sites

тик без задней мысли берет и пытается через интерфейс с адресом 192.168.0.0/16 искать этот злосчастный 192.168.1.1. Итог = заваливается броадкастами тик в поисках адресов и падает.

А зачем вам такая большая подсеть на интерфейсе? Вам имхо надо не костыли подставлять в виде изоляции будь то средствами полиси роутинга или ip fw filter, а переосмысливать идеологию своей сети...

Share this post


Link to post
Share on other sites

А зачем вам такая большая подсеть на интерфейсе? Вам имхо надо не костыли подставлять в виде изоляции будь то средствами полиси роутинга или ip fw filter, а переосмысливать идеологию своей сети...

 

От таких хвостов я избавляюсь. изначально сеть была не в вланах - по-этому все клиенты,сервера и коммутаторы были в одной подсети. Сейчас развел всех клиентов по вланам.

Самое интересное,что стоит 2 микротика соединены по ospf. Один долбит броадкастами в 192.168.0.0/16, а второй - нет

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.