Oddělení dvou interních síťí

pheek · 2022-02-15T20:26:51+00:00

Dobrý den, chtěl bych se zeptat, zda jsem schopný oddělit dvě interní síťě tak, abych si ani z jedné nebyl schopný pingnout na interface té druhé sítě. Mám...

ludvik

píšu, že to jde i staticky ...

pheek

A jak bych to měl staticky udělat? Když ven jedním MACem a ten se mi přiřadí pomocí ARP tabulky k IP u ISP. Další IP z veřejného se nechytne, protože bude zase ten samý MAC. Myslím tím, když pomocí NATu veřejnou přidělím na tu neveřejnou.

mirek_k

Na jedné MAC může být více IP.

pheek

mirek_k
Ale to ano, to já vím, jen jak udělat to, že ISP povolí veřejnou adresu na základě MACu síťovky. Takže pokud se schová veškerý provoz za jeden MAC, tak ostatní adresy z veřejného rozsahu nejsou přiděleny, nebo ano?

mirek_k

V takovém případě to musí udělat manuální routou/routami.
Tady už nejde použít statické ani dynamické DHCP.
Nejlépe se poraď se svým ISP.

pheek

Tak jsem to udělal jetě jinak. Mikrotiku jsem nastavil 192.168.100.154/29 s GW 192.168.100.153 veřejnou adresu z rozsahu a další 192.168.100.156/29 přidám manuálně na zařízení za mikrotik (router, notebook). V ARP tabulce vidím, že si o IP říkám jiným MACem a vše zda se funguje. Privátní sít oddělím na FW.
Ze sítě 192.168.168.0/24 se dostanu na GW a veřejnou 192.168.100.154 přidělenou na mikrotiku, což je asi správě. Protože přes tuto IP to všechno teče. Nebo se pletu?

/interface bridge
add name=bridge-michal
add name=bridge-sb
/interface list
add name=wan
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.168.2-192.168.168.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge-michal name=dhcp1
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge-michal disabled=yes interface=ether1
add bridge=bridge-michal interface=ether2
add bridge=bridge-michal interface=ether3
add bridge=bridge-michal interface=ether4
add bridge=bridge-michal interface=ether5
add bridge=bridge-michal interface=ether6
add bridge=bridge-michal interface=ether7
add bridge=bridge-michal interface=ether8
add bridge=bridge-michal interface=ether9
add bridge=bridge-michal interface=sfp1
/interface list member
add interface=ether1 list=wan
/ip address
add address=192.168.100.154/29 interface=ether1 network=192.168.100.152
add address=192.168.168.1/24 interface=bridge-michal network=192.168.168.0
/ip dhcp-server network
add address=192.168.168.0/24 gateway=192.168.168.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=drop chain=forward dst-address=192.168.168.0/24 src-address=\
    192.168.100.156
add action=drop chain=forward dst-address=192.168.100.156 src-address=\
    192.168.168.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat disabled=yes src-address=192.168.168.0/24
add action=masquerade chain=srcnat disabled=yes src-address=192.168.100.156
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.100.153 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
/system clock
set time-zone-name=Europe/Prague

iTomB

pheek Ty veee, kdyz na to kouka, tak ty si fakt sedni a zacni studovat. Protoze to co ty tu predvadis je horsi jak druhak stredni skoly a to tu mas registraci 10 let ... Za tu doby, by jsi opravdu zakladni znalosti mel mit ...

pheek

iTomB
A co je na tom špatného, co jsem provedl? Učím se. Sem můžu psát jen když něco umím a jsem profík? Já myslel, že když něco nevím, tak se můžu zeptat. Nečekám, že mi tu dá někdo hotové řešení, ale napíše, třeba, že se to tak nedělá a posune správným směrem.
Pokud se vyjadřuješ k poslednímu mému příspěvku, tak mi prosím napiš, co je tam špatně. Rád se poučím od zkušených matadorů.

Puski

pheek Mozna ti nikdo neporadí protože nikdo nechápe o co se to vlastně snažíš. Tohle je zkrátka místo pro profesionály a semi-profesionaly. A i kdyby tě někdo dokázal nakopnout, tak se bojím že to stejně nepochopíš. Kdyby si měl alespoň nějaké slušně základy tak to vymyslet nebo minimálně vygooglit musíš zvládnout. Promiň já absolutně nechápu o co se snažíš a ani jakým zpusobem

pheek

OK, chápu, zkusím to napsat ještě jednou, snad srozumitelně. Chci od svého ISP nějaký rozsah veřejných adres, třeba x.x.x.152/29. Nastavím si adresu x.x.x.154/29 do notebooku, tak se u ISP sváže mnou nastavená IP s MACem. Pokud bych si na jiném zařízení nastavil stejnou IP, tak mi nebude fungovat. Musel bych požádat ISP o odstranění původního MACu aby mi začal fungovat s novým. To je to co se děje u ISP.

To co chci udělat je to, že si IP x.x.x.154/29 nastavím na ether1 do routeru mikrotik. Následně vytvořím bridge-michal se všemi porty mimo port ether3, do kterého přidám DHCP server, který bude v rozsahu 192.168.168.0/24. Na ether3 přidám adresu 172.30.20.154/29 a přidám ho do bridge-sb.

A to čeho tím chci dosáhnout, že zařízení připojené na kabelem k portu ether3 si nastavím IP 172.30.20.156/29 a já mu přiřadím veřejnou adresu třeba x.x.x.156/29.

Pokud bych se rozhodl přidat veřejnou do rozsahu 192.168.168.0/24 nějaké konkrétní adrese, tak tam.

Puski

pheek no já to prostě stále nějak moc nechápu, promiň, možná když do toho budu trochu déle vejrat. Pouze co se týče ISP proč by ti vázal Public IP na MAC? Pokud ti dá rozsah verejnych adres tak mu může bejt šumafuk na co si to hodíš a kolikrát to zařízení vyměnis za jiné. A pokud ti váže MAC na veřejku tak to není moc seriózní ISP. To je jako by mě prostě doma zdechl server a já musel čekat než mi povolí novou (a klonování Mac je podle mě ještě větší prasečina)

pheek

Puski
Ano je to tak. Musí jim člověk zavolat. Bohužel mají rezervace IP-MAC.

pheek

Pokud se můžu vrátit ke svému původnímu konfiguráku tak problém jsem viděl v tom, že adresou x.x.x.154/29 kterou má na ehter1 vše fungovalo. Ale přes zařízením na IP 172.30.20.155/29 jsem se na internet nedostal. Když jsem se díval na zařízení před, tak jsem ven procházel sice IP x.x.x.155 ale MACem toho ether1 s IP x.x.x.x154/29. V konfiguraci chápej rozsah 192.168.100.152/29 jako veřejný. Hraju si s tím u sebe na stole.

/interface bridge
add name=bridge-michal
add name=bridge-sb
/interface list
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=192.168.168.2-192.168.168.254
add name=dhcp_pool3 ranges=172.30.20.154
/ip dhcp-server
add address-pool=dhcp_pool1 interface=bridge-michal name=dhcp1
add address-pool=dhcp_pool3 interface=bridge-sb name=dhcp2
/port
set 0 name=serial0
/routing table
add fib name=IRT-TEST
add fib name=IRT-TEST2
add fib name=sb
add fib name=michal
/interface bridge port
add bridge=bridge-michal disabled=yes interface=ether1
add bridge=bridge-michal interface=ether2
add bridge=bridge-sb interface=ether3
add bridge=bridge-michal interface=ether4
add bridge=bridge-michal interface=ether5
add bridge=bridge-michal interface=ether6
add bridge=bridge-michal interface=ether7
add bridge=bridge-michal interface=ether8
add bridge=bridge-michal interface=ether9
add bridge=bridge-michal interface=ether10
add bridge=bridge-michal interface=sfp1
/interface list member
add interface=ether1 list=WAN
/ip address
add address=192.168.100.154/29 comment=michal-public interface=ether1 \
    network=192.168.100.152
add address=192.168.100.155/29 comment=sb-public interface=ether1 network=\
    192.168.100.152
add address=172.30.20.153/30 comment=sb-wan interface=ether3 network=\
    172.30.20.152
add address=192.168.168.1/24 comment=michal-int interface=bridge-michal \
    network=192.168.168.0
/ip dhcp-server network
add address=172.30.20.152/30 gateway=172.30.20.153
add address=192.168.168.0/24 gateway=192.168.168.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall address-list
add address=192.168.168.2-192.168.168.254 list=allowed_to_router
add address=172.30.20.155 list=allowed_to_router
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=\
    not_in_internet
/ip firewall filter
add action=drop chain=forward in-interface=bridge-michal out-interface=\
    bridge-sb
add action=drop chain=forward in-interface=bridge-sb out-interface=\
    bridge-michal
add action=drop chain=input dst-address=172.30.20.152/29 in-interface=\
    bridge-michal
add action=drop chain=input dst-address=192.168.168.0/24 in-interface=\
    bridge-sb
add action=accept chain=input comment="default configuration" \
    connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input
add action=fasttrack-connection chain=forward comment=FastTrack \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="Established, Related" \
    connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid \
    log=yes log-prefix=invalid
add action=jump chain=forward comment="jump to ICMP filters" jump-target=icmp \
    protocol=icmp
add action=drop chain=forward comment=\
    "Drop incoming from internet which is not public IP" in-interface=ether1 \
    log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment=\
    "Drop packets from LAN that do not have LAN IP" in-interface=\
    bridge-michal log=yes log-prefix=LAN_!LAN src-address=!192.168.168.0/24
add action=drop chain=forward comment=\
    "Drop packets from LAN that do not have LAN IP" in-interface=bridge-sb \
    log=yes log-prefix=LAN_!LAN src-address=!172.30.20.155
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=\
    icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 \
    protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 \
    protocol=icmp
add action=accept chain=icmp comment=\
    "host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
    protocol=icmp
add action=drop chain=icmp comment="deny all other types"
/ip firewall nat
add action=src-nat chain=srcnat src-address=172.30.20.154 to-addresses=\
    192.168.100.155
add action=src-nat chain=srcnat src-address=192.168.168.0/24 to-addresses=\
    192.168.100.154
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.100.153 \
    pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
/system clock
set time-zone-name=Europe/Prague

Tak jsem to zjednodušil a udělal tuto konfiguraci s tím, že když nastavím IP x.x.x.155/29 na koncové zařízení, tak mi vše funguje a vidím v ARP tabulce správnou IP a MAC dané síťovky.

/interface bridge
add name=bridge-michal
add name=bridge-sb
/interface list
add name=wan
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.168.2-192.168.168.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge-michal name=dhcp1
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge-michal disabled=yes interface=ether1
add bridge=bridge-michal interface=ether2
add bridge=bridge-michal interface=ether3
add bridge=bridge-michal interface=ether4
add bridge=bridge-michal interface=ether5
add bridge=bridge-michal interface=ether6
add bridge=bridge-michal interface=ether7
add bridge=bridge-michal interface=ether8
add bridge=bridge-michal interface=ether9
add bridge=bridge-michal interface=sfp1
/interface list member
add interface=ether1 list=wan
/ip address
add address=192.168.100.154/29 interface=ether1 network=192.168.100.152
add address=192.168.168.1/24 interface=bridge-michal network=192.168.168.0
/ip dhcp-server network
add address=192.168.168.0/24 gateway=192.168.168.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=drop chain=forward dst-address=192.168.168.0/24 src-address=\
    192.168.100.156
add action=drop chain=forward dst-address=192.168.100.156 src-address=\
    192.168.168.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat disabled=yes src-address=192.168.168.0/24
add action=masquerade chain=srcnat disabled=yes src-address=192.168.100.156
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.100.153 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
/system clock
set time-zone-name=Europe/Prague

Určitě by se mi líbila víc první varianta, pokud by to šlo nějak udělat. Rozhodně si vážím pomoci a děkuji všem za ni.

iTomB

pheek jim nevolej, zmen si to u sebe a hotovo ...

radek_kovacik

dacesilian Dá se nějak jednoduše vysvětlit, k čemu je dobrá raw tabulka a firewall na ní založený? Nějak jsem nepochopil rozdíl od běžného firewallu.

pgb

radek_kovacik https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Raw

radek_kovacik

pgb To jsem si četl ještě předtím příspěvkem, ale právě jsem nepochopil, k čemu je to dobré. Mikrotik tam uvádí jako příklad použití při odrážení DOS útoků, což by asi nebyl můj problém. U mne by to asi dříve zahltilo linku (VDSL), než by padl router.

ludvik Ja tam velký rozdíl ohledně zatížení CPU, zda se to zpracuje v RAW nebo až v některé další tabulce?

ludvik

No vždyť to rozdíl není :-) Paket, když vyleze ze síťové karty (ovladače), tak je zpracován netfilterem. Ten má několik tabulek, každá má trochu jiné místo a vlastnosti. RAW je z nich první (u mikrotiku druhá, ale to je fuk, do hotspot přístup není). A to je ten nejdůležitější rozdíl - je ještě před mangle a filter, tedy i před zpracováním conntrack tabulky. Takže cokoliv se udělá v RAW má nejvyšší výkon (hned po filtru v síťové kartě samotné).

ludvik

radek_kovacik Lze říci - rozdíl je obrovský. Už nevím kde to bylo, ale řešila se tam obrana proti DOS. Pomocí RAW tabulky šla propustnost (v tomto případě tedy DROP) řádově nahoru.

Jak jsem zmínil conntrack - on počet paketů za vteřinu není ten důležitý údaj (tedy pokud to nepřeleze kapacitu linky). Důležitější u těch slabších routerů je právě conntrack tabulka. Jak její velikost, tak především počet nových spojení za vteřinu. A v svým způsobem tedy i zatížení CPU, to jde ruku v ruce.

pgb

radek_kovacik je to skoro jak psal ludvík ... raw je v případě mikrotiku skoro první konfigurovatelná tabulka v řadě a jako taková slouží primárně k filtraci na preroutingu. Nejjednodušší útoky jsou právě na contrack, které jde za určitých situací ovlivnit pomocí RAW viz ludvíkův text. Jako obrana proti hrubému pps útoku není moc imho použitelná, protože náročnost jejího odbavení je víceméně stejná, protože dojde k plné alokaci SKB a paměti pro packet. Její primární význam je pro mě ochrana conntracku. Pokud chceš zvýšit schopnosti dropu, tak máš dvě možnosti:

použít XDP v driveru hned za interuptem, ale ještě před alokací paměti což pomůže v pps asi 3.5x
použít chytrou síťovku podporující XDP přímo ještě před alokací interuptu a to funguje v asicu až do linerate (tohle používá třeba coudflare a mnozí další)

« Předchozí stránka Další stránka »