Jump to content
Калькуляторы

mikrotik изоляция vlan

Здравствуйте!

Есть mikrotik

На нем порядка 500 vlan's

в каждом vlan'е своя подсеть вида 10.1.1.0/24

Адрес каждого интерфейса влана соответственно 10.1.1.1 и т.д

 

Юзверги сидят через pptp из этих вланов,при этом и с интерфейсов пптп они свободно гуляют на любые локальные адреса вланов.

 

Как запретить хождение юзвергов между вланами?

Share this post


Link to post
Share on other sites

ip route rule add src-address=10.0.0.0/8 dst-address=10.0.0.0/8 action=unreachable

(для примера)

 

Тогда юзеры с адресами 10.1.1.0/24 не смогут попадать на свои шлюзы,если я правильно понимаю.

Share this post


Link to post
Share on other sites

1) создайте адрес-лист, внесите в него все сетки, для которых хотите запретить связность

2) создайте правило фаервола для цепочки forward, где укажите ранее созданный адрес-лист в качестве src addres-list и dst addres-list, действие reject

Share this post


Link to post
Share on other sites

мой ответ был дополнением к тому правилу фаервола, если бы chain=input то да, они бы не достучались до шлюза

а при форвардинге все ок

Share this post


Link to post
Share on other sites

Чёта я не понял: предлагалось решить задачу с помощью route rules.

А тогда, насколько я понимаю, запрещается только роутинг и непонятно тогда при чём тут недоступность шлюза и chain-ы в ip fw?

Или как?

Share this post


Link to post
Share on other sites

2 проблемы

Клиент подключается через pptp

Если он поднимает pptp - то в другой влан он свободно шурует через пптп интерфейс.

 

Если в влане клиент с адресом 10.1.10.15/24 ломится на адрес 192.168.1.1 - то тик без задней мысли берет и пытается через интерфейс с адресом 192.168.0.0/16 искать этот злосчастный 192.168.1.1. Итог = заваливается броадкастами тик в поисках адресов и падает.

Share this post


Link to post
Share on other sites

тик без задней мысли берет и пытается через интерфейс с адресом 192.168.0.0/16 искать этот злосчастный 192.168.1.1. Итог = заваливается броадкастами тик в поисках адресов и падает.

А зачем вам такая большая подсеть на интерфейсе? Вам имхо надо не костыли подставлять в виде изоляции будь то средствами полиси роутинга или ip fw filter, а переосмысливать идеологию своей сети...

Share this post


Link to post
Share on other sites

А зачем вам такая большая подсеть на интерфейсе? Вам имхо надо не костыли подставлять в виде изоляции будь то средствами полиси роутинга или ip fw filter, а переосмысливать идеологию своей сети...

 

От таких хвостов я избавляюсь. изначально сеть была не в вланах - по-этому все клиенты,сервера и коммутаторы были в одной подсети. Сейчас развел всех клиентов по вланам.

Самое интересное,что стоит 2 микротика соединены по ospf. Один долбит броадкастами в 192.168.0.0/16, а второй - нет

Share this post


Link to post
Share on other sites

ну запретите сети ппптп ходить на все кроме инета. всего то пару правил в фаерволе

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this