Jednoduchá VLAN

chemo

Ahoj, jsem začátečník a potřeboval bych pomoct s Mikrotikem. Mikrotik RB951G-2Hnd - 1. port internet, 2. port switch, 5. port - potřebuji odstínit. Potřebuji, aby ten, kdo bude připojen na 5. portu neviděl k ostatním tzn. nejspíš vytvořit VLAN na ten port.

Prostě jenom potřebuji, aby připojení na portu 5 (nejspíš přes nějaký router jejich) neviděli do zbytku sítě a případně bych mohl omezovat jejich rychlost download/upload.

Postup, jakým bych to udělal.

1. Vytvoření vlan1 s Interface port5

2. V Address Listu vytvpřot adresu nějakou (192.168.200.1/24) s intergace vlan1

3. DHCP server s interface vlan1

Nevím, jestli tento postup je celý. Zatím jsem to raději nezkoušel a jenom vymýšlím řešení.

Budu rád za jakoukoliv radu. Nejspíš to budou základy, ale potřebuji s tím trošku více pomoct.

ludvik

VLAN je další ethernet. Tak na to koukej. Vytvářet si jen tak nějakou, jen jednu a jen na jednom portu je úplně k ničemu. Použij prostě přímo ten ether5.

Co potřebuješ je zakázat komunikaci zařízení na tom eth5 s jinými porty. Tedy "zakaž vše se zdrojovou adresou TOUTO/XX a s cílovou TAMTOU/YY".

Mimochodem zkoušení je to nejlepší řešení, které tě může napadnout. Alespoň to pochopíš.

chemo

Mám bridge1, který je nastaven na všech portech s adresou 192.168.100.1/24. ether5 v tom bridge1 můžu nechat, nebo to mám odebrat?

V address listu vytvořit pro ether5 192.168.200.1/24.

A potom zakázat komunikaci mezi 192.168.100.1/24 a 192.168.200.1/24? Nebo mezi ether2 a ether5 jenom (ether 3 a 4 momentálně nepoužívám)

jarda_jezek

Než zapínat firewall na bridgi je lepší udělat druhý bridge s vlastním rozsahem, dát do něj ether5 a firewallem zabránit přístupu z druhého rozsahu do prvního.

chemo

Vím, že je to nejlepší zkoušet, jenomže nemohu nějak extra omezit provoz (kdybych náhodou něco pokazil)

Vytvořit bridge2 - ether5 dát bridge2 - v Address Listu vytvořit nový rozsah IP (192.168.200.1/24) - a ještě něco?

Jinak nevím přesně s těmi pravidly, jak to přesně nastavit.

jarda_jezek

Napřed zprovoznit a až potom omezovat. Address list ve firewallu není potřeba. Bridge2 potřebuje adresu s maskou, dhcp server s poolem adres. Nastavit a zkusit. Pak pravidlo, co zablokuje průnik z jednoho rozsahu do druhého. Teoreticky není třeba ani druhý bridge pokud v budoucnu se do toho rozsahu nepřidá další port. Ale pro lepší přehled bych ho udělal.

chemo

OK a to nastavení toho pravidla v tom Firewallu tedy jak? Já nevím, kdy se k tomu mikrotiku dostanu, jelikož nejsem u něho momentálně, ale připravuji si vždy práci dopředu, takže bych potřeboval vědět i to nastavení, jestli by to bylo možné.

ludvik

Tak za prvé ... není-li potřeba bridge, tak se bridge prostě nedělá. To platí jak v tomto případě, tak i pozdějším ... od toho je funkce switch. Když už v tom routerboardu je, tak je se má používat.

Z prvního bridge to samozřejmě odebereš. Potřebuješ to samostatně, ne součástí jiné skupiny, jiného switche (bridge je softwarový switch).

Za druhé - nezlob se, do začátečnických témat jsi to nedal, není asi v našich silách tě naučit firewall. Ve Filter rules vytvoříš nové pravidlo, chain forward (omezuješ předávání paketů), do src. address napíšeš síť co chceš omezit a do dst. addres se píše ta, kam ta src. nesmí. Action je pak Reject nebo Drop.

Pokud to chceš mermomocí pomocí address-list, tak můžeš. Ale výhody tohoto řešení se projeví až v případě, kdy toho omezuješ víc - přidáváš jen do address listů, ale na firewall nesaháš. Pak ovšem nepoužíváš src. address atp., ale na záložce advanced obdobná políčka Src. Address list a Dst. address list.

No a ve tvém případě bych to dal na první řádek ve firewallu.