a-zazell Опубликовано 9 марта, 2012 · Жалоба Здравствуйте, возникла ситуация: Необходимо изолировать клиентов из /24 подсети на Mikrotik Router. Сделал так: /ip dhcp-server network add address=10.100.1.0/24 dns-server=10.100.1.1 gateway=10.100.1.1 netmask=32 ntp-server=10.100.1.1 /ip firewall filter add action=drop chain=forward comment="Isolate clients" dst-address-list=customers src-address-list=customers /ip firewall address-list add address=10.100.1.0/24 list=customers add address=10.100.2.0/24 list=customers ... Ключевой момент: netmask=32. Т.е. клиент получает 10.100.1.240/32 gate 10.100.1.1 и радуется. На винде работает. А проблема с Мобильным Andrюшей, в упор не хочет через гейт работать. И тут вопрос, изолировать как-то иначе, или забить на мобильные девайсы, но в дальнейшем будут претензии. Спасибо за помощь! PS: Для наглядноси схема ниже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vladimirslk Опубликовано 9 марта, 2012 · Жалоба Здравствуйте, возникла ситуация: Необходимо изолировать клиентов из /24 подсети на Mikrotik Router. Сделал так: /ip dhcp-server network add address=10.100.1.0/24 dns-server=10.100.1.1 gateway=10.100.1.1 netmask=32 ntp-server=10.100.1.1 /ip firewall filter add action=drop chain=forward comment="Isolate clients" dst-address-list=customers src-address-list=customers /ip firewall address-list add address=10.100.1.0/24 list=customers add address=10.100.2.0/24 list=customers ... Ключевой момент: netmask=32. Т.е. клиент получает 10.100.1.240/32 gate 10.100.1.1 и радуется. На винде работает. А проблема с Мобильным Andrюшей, в упор не хочет через гейт работать. И тут вопрос, изолировать как-то иначе, или забить на мобильные девайсы, но в дальнейшем будут претензии. Спасибо за помощь! PS: Для наглядноси схема ниже. port-security на L2 свиче - на всех портах кроме аплинка, влан на этот свич... а на wifi если RB работает, то тоже фича была изоляции юзеров. вариант с /32 маской интересный )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a-zazell Опубликовано 9 марта, 2012 · Жалоба port-security на L2 свиче - на всех портах кроме аплинка, влан на этот свич... а на wifi если RB работает, то тоже фича была изоляции юзеров. вариант с /32 маской интересный )) Ну там скорее не порт сесурити а ACL extendet. Это хорошо в данном случае C2950 есть, PVLAN для L2 изоляции, а вот для L3 и сделал /32. Просто криво будет вешать acl на каждый порт для подобной фильтрации. В данном случае вроде как всё хорошо, кроме момента с мобильным девайсом, и тестить дома не на чем больше )= Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...