Jump to content
Калькуляторы

Изоляция клиентов на Mikrotik RB411GL Изоляция клиентов друг от друга

Добрый день, подскажите пожажалуйста, каким образом можно сделать изоляцию клиентов на микротике, на убнт все просто поставил галочку и все.

Share this post


Link to post
Share on other sites

Это работает только в режиме station, если абоненты в station-WDS, то нужно в бридже на базе создавать правила блокировки, на основе интерфейсов, если входящий интерфейс не ether1, и если исходящий интерфейс не ether1, то дроп. Если у вас база работает сразу НАТом и на бридже стоит IP адрес, то все еще проще - указываете ин и оут бридже = ваш бридж и действие дроп и готово.

Share this post


Link to post
Share on other sites

Это работает только в режиме station, если абоненты в station-WDS, то нужно в бридже на базе создавать правила блокировки, на основе интерфейсов, если входящий интерфейс не ether1, и если исходящий интерфейс не ether1, то дроп. Если у вас база работает сразу НАТом и на бридже стоит IP адрес, то все еще проще - указываете ин и оут бридже = ваш бридж и действие дроп и готово.

Да база и клиенты в WDS, но только не понял , получается : in interface = ether = drop

Out interface = ether1 = drop

Share this post


Link to post
Share on other sites

Да база и клиенты в WDS, но только не понял , получается : in interface = ether = drop

Out interface = ether1 = drop

 

Например вот так, интернет приходит через eoip-tunnel1, который сбриджеван с беспроводным интерфейсом:

 

/interface bridge filter
add action=drop chain=forward in-bridge=bridge1 in-interface=!eoip-tunnel1 out-bridge=bridge1 out-interface=!eoip-tunnel1

Share this post


Link to post
Share on other sites

49 минут назад, vasily сказал:

правило прописал пакеты пошли а клиенты все равно ходят к друг другу

по моему правило бестолковое

 

Share this post


Link to post
Share on other sites

18 минут назад, vasily сказал:

а как правильно сделать

а что на базе просто галка  изоляции клиентов отсутствует?

 

и ждем Антошку (Saaba)  я не уверен в своих силах )))))

Share this post


Link to post
Share on other sites

1 час назад, vasily сказал:

могут зайти на любое устройство в сети

так так, изоляция это то чтобы клиенты не могли обмениваться данными между собой внутри ОДНОЙ БС

 

а что именно вы хотите?

 

Share this post


Link to post
Share on other sites

я хочу чтобы клиенты не могли попасть на оборудование к друг другу. то есть клиент набрав адрес другого не смог зайти на его оборудование.

В Ubiquiti есть галка Client Isolation поставив которую клиенты не могут попасть на оборудование другого клиента. 

Edited by vasily

Share this post


Link to post
Share on other sites

43 минуты назад, vasily сказал:

 

В Ubiquiti есть галка Client Isolation поставив которую клиенты не могут попасть на оборудование другого клиента. 

 

У МТ это default forward, по умолчанию включен.

Share this post


Link to post
Share on other sites

У вас ТАМ L3 или L2 ?? Если L3 можно IP Fileter применить а по L2 вы что отдаете ?. Опишите точней 

Share this post


Link to post
Share on other sites

Я не знаю как вам правильнее описать. 

1. Есть центральный микротик на нем поднят pppoe server. 

2. далее иду БС микротик. БС ether1 и wlan1 добавлены в бридж. БС с WDS и клиенты тоже station wds.

3. Я могу сидя у клиента зайти на любого другого абонента из моей сети. И не только на клиента но и на любую БС.

 Я так понимаю что это не правильно клиент не должен  набрав адрес другого попасть на вэбморду БС и абонента в сети.

Как то так.

 

Share this post


Link to post
Share on other sites

На форуме советовали отдельный vlan прокидывать для управления, а так можно порты поменять, например 80 -> 8801.

Share this post


Link to post
Share on other sites

20 часов назад, vasily сказал:

Я не знаю как вам правильнее описать. 

1. Есть центральный микротик на нем поднят pppoe server.  

2. далее иду БС микротик. БС ether1 и wlan1 добавлены в бридж. БС с WDS и клиенты тоже station wds.

3. Я могу сидя у клиента зайти на любого другого абонента из моей сети. И не только на клиента но и на любую БС.

 Я так понимаю что это не правильно клиент не должен  набрав адрес другого попасть на вэбморду БС и абонента в сети.

Как то так.

 

Ну например можно запретить на бридже БС  доступ к сети которая не должна быть доступна. Примерно так

add action=drop chain=forward dst-address=10.0.0.0/24 in-interface=bridge_Lan

где 10.0.0.0/24 сеть к которой запрещен доступ bridge_Lan бридж на вашей базовой станции

Опять же вы тут упомянули pppoe server, а значит как я понял раздаёте какие то сети клиентам этого сервера, ну и тогда запретите этим клиентам (in-interface=all ppp) доступ к сетям куда им ходить не нужно, так же в качестве in-interface может стоять all wireless если абоненты пдключаются к БС напрямую. Я так понял по dhcp вы ip клиентам не раздаёте? Если раздаёте то приведенное выше правило сработает.  Если же у вас после station wds стоит коммутатор и на нём сидят пользователи с ip в одной сети (не pppoe), то вы вообще им не запретите между собой пинговаться т.к. они напрямую будут это делать минуя БС. В общем вариантов миллион вы опишите куда должен быть доступ а куда нет, и что у вас находится после station wds.

Edited by VGA

Share this post


Link to post
Share on other sites

авторизацию сделайте влан на клиента и все будете рулить в ядре

 и вообще в комм сети следить за безопасностью  компов и оборудования клиента это глупость имхо

 

Share this post


Link to post
Share on other sites

21 час назад, vasily сказал:

Я не знаю как вам правильнее описать. 

1. Есть центральный микротик на нем поднят pppoe server. 

2. далее иду БС микротик. БС ether1 и wlan1 добавлены в бридж. БС с WDS и клиенты тоже station wds.

3. Я могу сидя у клиента зайти на любого другого абонента из моей сети. И не только на клиента но и на любую БС.

 Я так понимаю что это не правильно клиент не должен  набрав адрес другого попасть на вэбморду БС и абонента в сети.

Как то так.

 

для чего sation wds ? если же station bridge .  На wlan интерефесе оставляете тока vlan управления и pppoe- vlan , поднимаете pppoe-clie ,  и натом отдаете.  на ether1 будет своя подсеть.   в ip firewal дропите правиланами на подсеть упарвления и все . station wds подходит для p2p сети.

Edited by bg80211

Share this post


Link to post
Share on other sites

2 часа назад, Constantin сказал:

 и вообще в комм сети следить за безопасностью  компов и оборудования клиента это глупость имхо

 

согласен, да и откуда там вообще возьмётся опасность при максимум 50 пользователях подключенных к БС чтобы их изолировать еще друг от друга.

Share this post


Link to post
Share on other sites

20 часов назад, VGA сказал:

да и откуда там вообще возьмётся опасность

если у клиента нет роутера и комп подключен напрямую в сеть да и еще расшарены ресурсы, то легко могут уйти фотки, или рпсплодиться какой нибудь червяк и тд, вы продаете инет а все остальное вы можете только просвятить клиента не более а не заниматься онанизмом на своем оборудовании

Share this post


Link to post
Share on other sites

3 часа назад, Constantin сказал:

если у клиента нет роутера и комп подключен напрямую в сеть да и еще расшарены ресурсы, то легко могут уйти фотки, или рпсплодиться какой нибудь червяк и тд, вы продаете инет а все остальное вы можете только просвятить клиента не более а не заниматься онанизмом на своем оборудовании

и плюс в этих 50 пользователях должен быть человек который сможет и захочет это сделать. Очень маловероятная ситуация, которая в теории конечно может произойти, но как то изголяться из-за этого не имеет смысла т.к. это всё равно что защищать сеть от падения самолёта на неё, произойти конечно может но крайне маловероятно.

 

А вообще если говорить об юбикюти то там всего лишь пользователи сидящие за одним station не пингуют пользователей за другой station и её саму, но любой клиент нормально пингует саму базовую станцию и пользователей в сети самой БС. А это на микротике легко делается как кто то уже писал выше просто запретом форварда когда in-intrface=all wireless и out-intrface=all wireless. В общем изолировать клиентов как на юбикюти на микротике нету проблем, а можно даже еще лучше и разнообразней.

Share this post


Link to post
Share on other sites

В 17.05.2019 в 08:49, EugeneTV сказал:

Я может чего-то не понимаю, но если клиенты на PPPoE, то зачем им давать адрес на физическом интерфейсе?

А потом еще запрещать трафик между этими айпи. Ну да это дело хозяйское, видать есть в этом нужда, возможно есть какието в этом потребности, тв приставки там например которые не умеют ппое

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.