MikroTik - RB3011UiAS - 6.48 - postavení menší sítě

ben

Ahoj,

včera jsem celý den řešil stavění sítě s MK a vůbec se mi to nepovedlo rozchodit. Je čas posílit zabezpečení mé malé firmy, ale jsem amatér, tak se omlouvám za nepřesné vyjadřování.

Jde o to, že mám na vstupu MikroTik RB3011UiAS verze 6.48.

Do ether 1 - WAN "teče internet" ; ether 9 je výstup do LAN přes co běží veškerý provoz. Ether 5 je propojen s dalším MK, kde je oddělená síť fyzicky. To měnit nechci.

Mám doteď jeden pool 192.168.0.0-192.168.0.255. Mám po celé firmě AP UniFi, které sbírají lidi a hází je do tohoto rozsahu.

Vytvořil jsem 6 POOLŮ:

1.) Návštěvníci - 192.168.0.1/24
2.) Ethernet - 192.168.2.1/24 - všichni připojeni po ETHERNETU
3.) WiFi - 192.168.3.1/24 - všichni připojení bezdrátově
4.) CAM - 192.168.4.1/24 - všechny kamery
5.) TECH - 192.168.5.1/24 - všechny technologické servery, tiskárny a další
6.) VPN - 192.168.6.1/24 - všichni klienti po SSTP - pro bezpečné připojení.

Mám jeden DHCP server, který běží v rozsahu na 192.168.0.1/24, což je v pořádku a tam všichni padají. Pokud chci vytvořit další DHCP servery, tak co jsem vystudoval je nutno fyzicky porty oddělit od bridge, aby to nebylo brané jako SLAVE a vytvořit nový bridge nebo to jde udělat VLAN. Testoval jsem tyto možnosti a nemohl jsem zaboha na toto přijít.

Docílil jsem toho, že jsem měl jedno DHCP na 192.168.0.1/24 tam padají lidi a pak přes DHCP leases jsem dle MAC přiřazoval IP do poolu to fungovalo, ale pak ten daný POOL neměl internet - účastník kterého jsem tam přiřadil. Nastavil jsem vše do Address listu, ARP listu a Leases.

Bohužel pak tato adresa neměla internet, ale není to ono co potřeubuji.

Chci, aby každý pool měl svůj DHCP jestli to správně chápu, tak každý pool bude mít VLAN a vytovřený DHCP server, kde si pak nastavím ARP-reply only kvůli tomu, aby si nikdo z nulové sítě 192.168.0.1/24 nevynutil další POOL.

Pool na nule bude mít ARP - enable pro návštěvníky.

Poté si ve FW - udělám pravidlo, aby 0 pool nemohl vidět do ostatních, to se mi povedlo. Ty všechny ostatní do sebe vidět můžou.

Posílám fotku z Tiku, jak mám nastaveno bez VLAN + menší schéma, jak bych si to představoval.

Omlouvám se předem jestli je to špatně pochopitelné. Snad jsem to popsal dobře.

![](https://ibb.co/9yCG1Yh
)

Děkuji předem.

sidi

ben Pokud chceš zabezpečit firmu a zároveň nevíš co děláš, tak by to chtělo s někým domluvit, že se staví, sedne si k tomu s tebou. Uděláte základní config, základ zabezpečení a ukáže ti co dál. Nějak to "zpytlíkovat" můžeš doma, ale ne na firmě.

Ve chvíli, kdy máš problém s nastavením DHCP serveru, tak je cesta k nějakému zabezpečení sítě ještě hoooodně dlouhá.

ben

Druhá FOTKA -> https://ibb.co/yNQW5X6

standula

Tohle je asi zakázková práce ? Možná by nebylo od věci doplnit štítky jako "poptávka práce" a do příspěvku dávat fakturační údaje ?

nosek_tomas2004

ben Je to nějak proveditelné na tom "šmejdu" - RB 3011? 😀

Určitě jde, ale 3011 má problém s flapováním portů.

Opravdu, jak píše rsaf - základ je postavit to vše do VLAN. NA MK si pak uděláš X VLAN na eth9, nebo LAN bridgi. Na ty VLAN interfacy pustíš DHCP servery (každý s daným) poolem. Ještě si budeš muset tedy vždy přidat IP adresu na MK z každého poolu na každý VLAN iface (což už asi na obrázku máš, ale není vidět na jaký interface). Pak už jenom poladíš firewall.

Ale opět plný souhlas s standula sidi. Pokud se chceš naučit s Tikem, tak si kup ze dvě 750tky a zkus si s tím doma na stole různě hrát (tak jsem začínal i já 😉).
Opravdu není dobrý nápad se učit při "zvyšování" bezpečnosti a ještě k tomu na firmě. 😉

svestka

Pán to řeší i na root.cz a možná i jinde. Myslím že tam mu někdo odpoví, byť ve smyslu ... na tohle si někoho objednej.

rsaf

Co síť to VLAN, VLANy pak musí být správně nastaveny na všech switchích v síti, všechny switche je musí podporovat. To je základ a bez toho nemá cenu se do takovéto, troufnu si říct přehnané, bezpečnosti pouštět.
Já (pro malé firmy) většinou dělám:
LAN - všechna PC, servery, tiskárny, i wifi klienti (pouze PC která potřebují přístup k prostředkům sítě)
Guest - veřejná wifi/lan (v zasedačce...), připojují se sem i mobily zaměstnanců... které prostě nepotřebují přístup do LAN
Nevidím smysl v rozdělení LAN/wifi když pak stejně wifi klienty musím ke všemu pustit. Nevidím smysl v oddělení serverů/tiskáren do samostatné vlan, tento traffic se pak akorát zbytečně honí přes router (kterému to dokáže pěkně zatopit...)
Kamery do samostatné vlan jsou samozřejmostí, občas dělám nějakou IoT vlan.
RB3011 je... šmejd ;-)
SSTP je dobrý VPNka, ale šifrování se provádí na CPU, pokud z toho potřebuješ dostat nějaké větší rychlosti, nezbývá než použít IPsec

Jinak souhlasím se standulou - realizace na klíč na základě objednávky, 800kč/hod.

ben

rsaf Stačilo by mi vytvořit POOL pro návštěvníky, který bude mít defaultní DHCP a kdokoliv přijde a nebude zarezervovaný, tak zůstane v tomto poolu návštěva. Zamezit, aby si někdo mohl vynutit IP v druhém z rezervace. Je to nějak proveditelné na tom "šmejdu" - RB 3011? 😀

Rád bych se s MK naučil pracovat sám. Nemám problém někoho pronajmout, ale tato možnost je až na posledním místě pokud se mi toto nepodaří rozjet.

Děkuji za rady.

honzam

Ano a hlavně ve verzi 6.48. Čili rb3011 a 6.48 nejde dohromady. Dej tam starší verzi a nebo počkej na opravu. Řeší se to na MK foru

vti

Dá se na VLANy v pohodě použít kombinace RB750Gr3 a CSS326-24G-2S+RM, kde běží jen SwOS (obecně řada CSS) nebo je lepší/nutné přejít na CRS326-24G-2S+RM a jet přes Router OS (obecně CRS řada)? Děkuji.

nosek_tomas2004

vti Podle mě (co switchů se týče) je lepší přejít mimo MikroTik 😀 .

vti

@nosek_tomas2004 Pro maličkou firmu co například, aby to nebyl switch za desítku...? A spolupracovalo to s Mikrotik routerem samozřejmě. :-D (myslím VLANy, každý říká, že je ideální mít vše od jedné značky)

jcltm

vti Co se týče L2 switchů, doporučil bych se UBNT. V řadě EdgeSwitch jsou modely i bez PoE (s 24p např. https://www.i4wifi.cz/cs/210635-switch-ubnt-edgeswitch-es-24-lite ), ceny jsou myslím v pohodě. Pokud bys měl UniFi AP, tak je fajn vzít i UniFi switch (stejný HW jako Edgeswitche), ať je to pod jednou střechou. Switchům od Mikrotiku se vyhni velkým obloukem, DLink, teplý linky atd. taky nestojí za nic. Mít vše od jedné značky ideální není, protože nikdo neumí nejlíp všechno. Mikrotik neumí switche a wifi má nic moc, UBNT zase neumí gatewaye. VLANy jsou samozřejmě standardizovaná záležitost, takže rozhodně nemusí být všechno od jednoho výrobce.

nosek_tomas2004

vti Já mám doma (i v pár firmách) toto a nevím o žádných problémech. Mám na tom VLANy a s MikroTikem a vším ostatním no-problem (a ani nechápu, proč by měl být, je to standart). Tuším dělají i nějakou levnější verzi, ale nevím, čím se liší.

Ale nemá to teda SFP+. 10G switche mám doma taky (bohužel) od MikroTiku (crs305-1g-4s+in) - šlo se pochopitelně po ceně. Naštěstí v tom "koutu" sítě kde je, nemusím (zatím) řešit žádné VLANy. Akorát ten SwOS jsem jaksi nedal 😀. Radši jsem to přepnul do RoS a běží mi to prakticky jako "hloupý switch" s 10G rychlostí....

standula

vti
HPE 5120 udělá výbornou službu....

hapi

vti nebo klidně tplinky a prakticky jakýkoliv za pár korun co má v popisu "easy smart".

s_a_m

hapi clovece si nejsem jistej neni tam nejaky omezeni vlan radsi asi jetstream

nosek_tomas2004

s_a_m Já mám jednu takovou "mrchu" (= tl-sg108pe) doma a je to (mimo POE) celkem k ničemu. Největší "průser" je, že neumí (nebo nejde nastavit) MGMT VLAN - takže si Managment toho switche lítá do které VLANy se mu zachce ☹️ .

Kdysi jsem se na to tady i ptal, ale dostal jsem "zjeba" 😀.
Takže za mě - cokoli má přízvisko "easy smart", toho se "štítím".
JetStreamy na moje "obyčejné" použití bohatě stačí a celkem mi i vyhovují .

jcltm

Nevím jakou výhodu mají tyhle teplý linky oproti UBNT, cenově vychází snad ještě dráž, s tím že je to "pure china".