Jump to content

Mikrotik изолирование клиентов

a-zazell
 Share

Recommended Posts

a-zazell

a-zazell

Posted
Posted

Здравствуйте, возникла ситуация:

 

Необходимо изолировать клиентов из /24 подсети на Mikrotik Router. Сделал так:

 

/ip dhcp-server network
add address=10.100.1.0/24 dns-server=10.100.1.1 gateway=10.100.1.1 netmask=32 ntp-server=10.100.1.1
/ip firewall filter
add action=drop chain=forward comment="Isolate clients" dst-address-list=customers src-address-list=customers
/ip firewall address-list
add address=10.100.1.0/24 list=customers
add address=10.100.2.0/24 list=customers
...

 

Ключевой момент: netmask=32. Т.е. клиент получает 10.100.1.240/32 gate 10.100.1.1 и радуется. На винде работает.

 

А проблема с Мобильным Andrюшей, в упор не хочет через гейт работать.

И тут вопрос, изолировать как-то иначе, или забить на мобильные девайсы, но в дальнейшем будут претензии.

 

Спасибо за помощь!

PS: Для наглядноси схема ниже.

post-87545-089138800 1331292872_thumb.jpg

vladimirslk

vladimirslk

Posted
Posted

Здравствуйте, возникла ситуация:

 

Необходимо изолировать клиентов из /24 подсети на Mikrotik Router. Сделал так:

 

/ip dhcp-server network
add address=10.100.1.0/24 dns-server=10.100.1.1 gateway=10.100.1.1 netmask=32 ntp-server=10.100.1.1
/ip firewall filter
add action=drop chain=forward comment="Isolate clients" dst-address-list=customers src-address-list=customers
/ip firewall address-list
add address=10.100.1.0/24 list=customers
add address=10.100.2.0/24 list=customers
...

 

Ключевой момент: netmask=32. Т.е. клиент получает 10.100.1.240/32 gate 10.100.1.1 и радуется. На винде работает.

 

А проблема с Мобильным Andrюшей, в упор не хочет через гейт работать.

И тут вопрос, изолировать как-то иначе, или забить на мобильные девайсы, но в дальнейшем будут претензии.

 

Спасибо за помощь!

PS: Для наглядноси схема ниже.

 

port-security на L2 свиче - на всех портах кроме аплинка, влан на этот свич...

а на wifi если RB работает, то тоже фича была изоляции юзеров. вариант с /32 маской интересный ))

a-zazell

a-zazell

Posted
  • Author
Posted

port-security на L2 свиче - на всех портах кроме аплинка, влан на этот свич...

а на wifi если RB работает, то тоже фича была изоляции юзеров. вариант с /32 маской интересный ))

 

Ну там скорее не порт сесурити а ACL extendet. Это хорошо в данном случае C2950 есть, PVLAN для L2 изоляции, а вот для L3 и сделал /32.

Просто криво будет вешать acl на каждый порт для подобной фильтрации.

 

В данном случае вроде как всё хорошо, кроме момента с мобильным девайсом, и тестить дома не на чем больше )=

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.