Jump to content
Калькуляторы

Mikrotik изолирование клиентов Как изолировать клиентов из /24 подсети

Здравствуйте, возникла ситуация:

 

Необходимо изолировать клиентов из /24 подсети на Mikrotik Router. Сделал так:

 

/ip dhcp-server network
add address=10.100.1.0/24 dns-server=10.100.1.1 gateway=10.100.1.1 netmask=32 ntp-server=10.100.1.1
/ip firewall filter
add action=drop chain=forward comment="Isolate clients" dst-address-list=customers src-address-list=customers
/ip firewall address-list
add address=10.100.1.0/24 list=customers
add address=10.100.2.0/24 list=customers
...

 

Ключевой момент: netmask=32. Т.е. клиент получает 10.100.1.240/32 gate 10.100.1.1 и радуется. На винде работает.

 

А проблема с Мобильным Andrюшей, в упор не хочет через гейт работать.

И тут вопрос, изолировать как-то иначе, или забить на мобильные девайсы, но в дальнейшем будут претензии.

 

Спасибо за помощь!

PS: Для наглядноси схема ниже.

post-87545-089138800 1331292872_thumb.jpg

Share this post


Link to post
Share on other sites

Здравствуйте, возникла ситуация:

 

Необходимо изолировать клиентов из /24 подсети на Mikrotik Router. Сделал так:

 

/ip dhcp-server network
add address=10.100.1.0/24 dns-server=10.100.1.1 gateway=10.100.1.1 netmask=32 ntp-server=10.100.1.1
/ip firewall filter
add action=drop chain=forward comment="Isolate clients" dst-address-list=customers src-address-list=customers
/ip firewall address-list
add address=10.100.1.0/24 list=customers
add address=10.100.2.0/24 list=customers
...

 

Ключевой момент: netmask=32. Т.е. клиент получает 10.100.1.240/32 gate 10.100.1.1 и радуется. На винде работает.

 

А проблема с Мобильным Andrюшей, в упор не хочет через гейт работать.

И тут вопрос, изолировать как-то иначе, или забить на мобильные девайсы, но в дальнейшем будут претензии.

 

Спасибо за помощь!

PS: Для наглядноси схема ниже.

 

port-security на L2 свиче - на всех портах кроме аплинка, влан на этот свич...

а на wifi если RB работает, то тоже фича была изоляции юзеров. вариант с /32 маской интересный ))

Share this post


Link to post
Share on other sites

port-security на L2 свиче - на всех портах кроме аплинка, влан на этот свич...

а на wifi если RB работает, то тоже фича была изоляции юзеров. вариант с /32 маской интересный ))

 

Ну там скорее не порт сесурити а ACL extendet. Это хорошо в данном случае C2950 есть, PVLAN для L2 изоляции, а вот для L3 и сделал /32.

Просто криво будет вешать acl на каждый порт для подобной фильтрации.

 

В данном случае вроде как всё хорошо, кроме момента с мобильным девайсом, и тестить дома не на чем больше )=

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this