svyaznoy Posted March 12, 2018 · Report post Доброго времени суток. Нужен совет. Есть 3 отдела (Отделы "A","B", и "C") со своими со своими компьютерами. Имеется следующая схема: Для каждого из отделов выделены свои vlanы (10, 20, 30). У клиентов в компах прописаны статические ip адреса с 30-й маской подсети (то есть, один ip-шник для компа, второй как шлюз прописан в RB1100), например, для: - отдела "A" : комп1 - 192.168.10.0/30, комп2 - 192.168.10.4/30 и так далее... - отдела "B" : комп1 - 192.168.20.0/30, комп2 - 192.168.20.4/30 и так далее... - отдела "C" : комп1 - 192.168.30.0/30, комп2 - 192.168.30.4/30 и так далее... Этим компам нужно организовать доступ к различным сервисам через роутер RB1100. Каждый сервис находится в отдельной сети и в отдельном vlane. Нужен совет с Вашей стороны: 1) как правильно настроить маршруты (где и как их настроить) именно в роутере RB1100 с подробным описанием?? Желательно через winbox. 2) как несколько сервисов из схемы объединить в группу по Vlanам, чтобы к этой группе сервисов привязать конкретный отдел? Просьба помочь. Заранее благодарю)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted March 12, 2018 · Report post Если все терминируется на одном маршрутизаторе, то маршруты настраивать не нужно. Доступ к сервисам регулируется ACL, а не маршрутами. 41 минуту назад, svyaznoy сказал: У клиентов в компах прописаны статические ip адреса с 30-й маской подсети Если цель — чтобы враг ничего не смог понять, то нужно поверх натянуть PPPoE и OSPF. Но обычно чем проще, тем надежней. А проще — маску /24 и подсеть на отдел. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svyaznoy Posted March 12, 2018 · Report post 1 hour ago, alibek said: Если все терминируется на одном маршрутизаторе, то маршруты настраивать не нужно. Доступ к сервисам регулируется ACL, а не маршрутами. укажите, пожалуйста, где и как настраивается ACL? Чуточку развернуто плиз)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted March 12, 2018 · Report post IP - Firewall Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svyaznoy Posted March 15, 2018 · Report post On 12.03.2018 at 4:12 PM, alibek said: Но обычно чем проще, тем надежней. А проще — маску /24 и подсеть на отдел. Могли бы вы подсказать простой способ, как сделать так, чтобы пользователи одного отдела не видели друг друга в сети с маской/24 с средствами Микротик? Поэтому я указал маску/30. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted March 15, 2018 · Report post За Микротик не скажу, не знаю. Обычно подобная функция называется "Изоляция портов". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svyaznoy Posted March 29, 2018 · Report post On 15.03.2018 at 5:19 PM, alibek said: За Микротик не скажу, не знаю. Обычно подобная функция называется "Изоляция портов". спасибо) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svyaznoy Posted April 4, 2018 (edited) · Report post Посоветуйте как правильно настроить ACL (filter reles и nat) для ниже указанной схемы, если пользователи привязаны к железке со статическими айпинишками с маской/30? Кстати, в состав департамента входят множество отделов в разных офисах. Каждый департамент заводится в отдельный маршрутизатор с отдельным vlanом. Также нужно уточнить, что для разных пользователей в пределах одного департамента нужны доступы к разным сервисам, а не нужные необходимо закрыть. Настроить нужно закрытый файрвол. Для некоторых пользователей нужен выход в инет. Жду от вас более расширенного ответа или как минимум ссылку)) Edited April 4, 2018 by svyaznoy Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted April 4, 2018 · Report post создаете адрес листы service1, service2, serviceN, internet и т.д., добавляете ip адреса в листы, далее в ip firewall filter создаете сначала разрешающие правила (action=accept) forward src address list = service1 out-interface=vlan101 и так для каждого листа и каждого сервиса а потом запрещаете весь остальной forward actoin=drop почему не хотите выделить сеть на каждый отдел? /30 обязательное условие? ПК в одном отделе не должны иметь доступ друг к другу? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ne-vlezay80 Posted April 4, 2018 · Report post А можно через netns. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted April 4, 2018 · Report post 45 минут назад, ne-vlezay80 сказал: А можно через netns. В ТЗ я вижу микротик. Какое нет неймспейс? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svyaznoy Posted April 5, 2018 · Report post 15 hours ago, .None said: ПК в одном отделе не должны иметь доступ друг к другу? Да вы правы, такое условие Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svyaznoy Posted April 5, 2018 · Report post 16 hours ago, .None said: создаете адрес листы service1, service2, serviceN, internet и т.д., добавляете ip адреса в листы, далее в ip firewall filter создаете сначала разрешающие правила (action=accept) forward src address list = service1 out-interface=vlan101 в service1 какие адреса добавлены??? Адрес сервиса или адреса клиентов с маской/30??? Уточните пожалуйста Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted April 5, 2018 · Report post адреса клиентов Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svyaznoy Posted April 5, 2018 · Report post 34 minutes ago, .None said: адреса клиентов спасибо, попробую и напишу. А в нате как прописать правила? Тоже поделитесь пож.)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted April 5, 2018 · Report post НАТ для интернета? chain=srcnat out-interface=интерфейс-WAN action=masquerade и еще не забудьте создать правила для обратного прохождения пакетов я бы сделал так, добавил в список интерфейсов interfaces -> interfaces list все интерфейсы сервисов vlan101 vlan102 и т.д. и интерфейс WAN а потом в filters правило action=accept chain=forward connection-state=established,related in-interface-list=имя_списка_интерфейсов и двинуть это правило выше запрещающего, или в самый верх Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svyaznoy Posted April 5, 2018 · Report post 24 minutes ago, .None said: НАТ для интернета? chain=srcnat out-interface=интерфейс-WAN action=masquerade и еще не забудьте создать правила для обратного прохождения пакетов я бы сделал так, добавил в список интерфейсов interfaces -> interfaces list все интерфейсы сервисов vlan101 vlan102 и т.д. и интерфейс WAN а потом в filters правило action=accept chain=forward connection-state=established,related in-interface-list=имя_списка_интерфейсов и двинуть это правило выше запрещающего, или в самый верх Большое спасибо. С ACL нормально заработал. А обратное правило для чего нужно указать в фильтрах с established,related??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted April 5, 2018 · Report post для того, что бы обратный пакет от сервисов не был дропнут правилом, которое все запрещает forward actoin=drop Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svyaznoy Posted April 5, 2018 · Report post 1 hour ago, .None said: НАТ для интернета? chain=srcnat out-interface=интерфейс-WAN action=masquerade и еще не забудьте создать правила для обратного прохождения пакетов я бы сделал так, добавил в список интерфейсов interfaces -> interfaces list все интерфейсы сервисов vlan101 vlan102 и т.д. и интерфейс WAN а потом в filters правило action=accept chain=forward connection-state=established,related in-interface-list=имя_списка_интерфейсов и двинуть это правило выше запрещающего, или в самый верх Спасибо, пока работает как часы)). И еще, посоветуйте как защитить сам роутер RB, если на нем висит белый ip на внеш. интрефейсе (стоит также задача, чтобы именно на белый ip не было пинга с паблик сети). Интересно узнать Ваши рекомендации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted April 5, 2018 · Report post в filter chain=input in-interface=интерфейс-WAN connection-state=established,related action=accept chain=input in-interface=интерфейс-WAN action=drop Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svyaznoy Posted April 5, 2018 · Report post 1 hour ago, .None said: в filter chain=input in-interface=интерфейс-WAN connection-state=established,related action=accept chain=input in-interface=интерфейс-WAN action=drop спасибо брат Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted April 6, 2018 · Report post покажите что получилось /ip firewall filter export Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...