[lyce]

Mikrotik Rb750, на 2м порту несколько пользователей, адреса по dhcp. нужно одну половину отделить от другой: у первой половины не должно быть доступа к локалке, кроме одного. инет на первом порту, доступен всем. Как с привязкой по ip это сделать, прописывание в fw filter пока ничего не дало, уже весь моск переломан...

[kostil]

А в чем проблема с firewall? В вашем случае других вариантов я не вижу.

Можно по подробней набросать схемку? что бы понять что куда.

[lyce]

Юзеры2 не имеют доступа по локалке к юзерам1. 192.168.1.199 из группы юзеры2 имеет доступ к юзерам1. Интернет есть у всех. Юзеры2 получают адреса по dhcp, юзеры1 имеют аренду с привязкой по маку.

Проблема с FW в том, что не получается, возможно знаний пока не хватает - не блокируется трафик между группами

[kostil]

Теперь главное внятно описать ситуацию.

 

имеем две сети.

сеть1: _______(дописать адресацию, к примеру 192.168.1.0/24)

сеть2: _______(аналогично сеть1)

в обоих сетях DHCP. В сети1 привязка mac-ip, в сети2 без привязок, так?

все работает в одном влане?

какие настройки получают клиенты от dhcp по мимо ip?

компьютеры сети1 и сети2 не видят друг друга, за исключением одного из сети2? у этого суперюзера адрес прописан руками или по dhcp без привязки по маку?

[lyce]

решено.

на локальном интерфейсе 2 dhcp - 1ый - с привязкой по маку (192.168.1.0/24), второй - без (192.168.2.0).

суперюзер из 2.0 посредством привязки адреса перекинут в 1.0 (просто его физически "забыли" в другом здании)

был создан шлюз в ip/addresses для второй сети (сразу создались маршруты в ip/route) - у всех появился интернет и все друг стали друг друга видеть. а потом в fw прописал drop-ы