Перейти к содержимому
Калькуляторы

Mikrotik изолирование клиентов Как изолировать клиентов из /24 подсети

Ответить

a-zazell   

a-zazell
Опубликовано · Жалоба

Здравствуйте, возникла ситуация:

 

Необходимо изолировать клиентов из /24 подсети на Mikrotik Router. Сделал так:

 

/ip dhcp-server network
add address=10.100.1.0/24 dns-server=10.100.1.1 gateway=10.100.1.1 netmask=32 ntp-server=10.100.1.1
/ip firewall filter
add action=drop chain=forward comment="Isolate clients" dst-address-list=customers src-address-list=customers
/ip firewall address-list
add address=10.100.1.0/24 list=customers
add address=10.100.2.0/24 list=customers
...

 

Ключевой момент: netmask=32. Т.е. клиент получает 10.100.1.240/32 gate 10.100.1.1 и радуется. На винде работает.

 

А проблема с Мобильным Andrюшей, в упор не хочет через гейт работать.

И тут вопрос, изолировать как-то иначе, или забить на мобильные девайсы, но в дальнейшем будут претензии.

 

Спасибо за помощь!

PS: Для наглядноси схема ниже.

post-87545-089138800 1331292872_thumb.jpg

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

vladimirslk   

vladimirslk
Опубликовано · Жалоба

Здравствуйте, возникла ситуация:

 

Необходимо изолировать клиентов из /24 подсети на Mikrotik Router. Сделал так:

 

/ip dhcp-server network
add address=10.100.1.0/24 dns-server=10.100.1.1 gateway=10.100.1.1 netmask=32 ntp-server=10.100.1.1
/ip firewall filter
add action=drop chain=forward comment="Isolate clients" dst-address-list=customers src-address-list=customers
/ip firewall address-list
add address=10.100.1.0/24 list=customers
add address=10.100.2.0/24 list=customers
...

 

Ключевой момент: netmask=32. Т.е. клиент получает 10.100.1.240/32 gate 10.100.1.1 и радуется. На винде работает.

 

А проблема с Мобильным Andrюшей, в упор не хочет через гейт работать.

И тут вопрос, изолировать как-то иначе, или забить на мобильные девайсы, но в дальнейшем будут претензии.

 

Спасибо за помощь!

PS: Для наглядноси схема ниже.

 

port-security на L2 свиче - на всех портах кроме аплинка, влан на этот свич...

а на wifi если RB работает, то тоже фича была изоляции юзеров. вариант с /32 маской интересный ))

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

a-zazell   

a-zazell
Опубликовано · Жалоба

port-security на L2 свиче - на всех портах кроме аплинка, влан на этот свич...

а на wifi если RB работает, то тоже фича была изоляции юзеров. вариант с /32 маской интересный ))

 

Ну там скорее не порт сесурити а ACL extendet. Это хорошо в данном случае C2950 есть, PVLAN для L2 изоляции, а вот для L3 и сделал /32.

Просто криво будет вешать acl на каждый порт для подобной фильтрации.

 

В данном случае вроде как всё хорошо, кроме момента с мобильным девайсом, и тестить дома не на чем больше )=

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Mikrotik коммутаторы и маршрутизаторы