Oddělení dvou interních síťí

pheek

Dobrý den,

chtěl bych se zeptat, zda jsem schopný oddělit dvě interní síťě tak, abych si ani z jedné nebyl schopný pingnout na interface té druhé sítě. Mám síti dva interní interface ether2 - 192.168.1.1/24 a ether3 - 10.0.10.1/24. Na obou je DHCP s daným rozsahem. Pomocí FW jsem schopný oddělit sítě, ale ze sítě 192.168.1.0/24 si jsem schopný pingnout na interface ether3 s IP 10.0.10.1.

Moc děkuji za rady.

iTomB

pheek Jako vazne?

https://telekomunikace.cz/d/37280-konfigurace-routeru-2-x-verejna-ip-2-x-privatni-segmenty

dacesilian

pheek Firewall bych doporučil napsat znovu od nuly, pak uvidíš rozdíly s každým pravidlem a tím se to naučíš. Tady jsou nějaké ukázky. Nicméně bych přidal accept na established,related pro input i pro forward a pak drop. Pozor, nezapomeň nejprve přidat pravidlo (ve výsledku nad ten drop), které ti umožní přístup na router - něco jako /ip firewall filter add chain=input dst-port=8291 protocol=tcp action=accept , jen to ještě navíc omez pro přístup jen z LAN, aby tam nikdo nemohl z internetu.

Pak budeš mít vše zakázané a můžeš jednotlivě přidávat pravidla a sledovat, co se bude dít 🙂 Až si budeš chtít hrát ještě víc, pravidla se dají přidávat i do raw tabulky.

ludvik

Když chceš poradit, měl bys poskytnout také informaci o tom, jak to máš nastavený teď.

Ale tipnu si: máš to zakázaný jen na FORWARD. Ale ta IP je lokální toho routeru, čili v netfilteru "sedí" na INPUT.

pheek

iTomB Omlouvám se, příspěvek jsem nemohl najít, proto jsem založil nový. Poprosil jsem admina o smazání toho předešlého.

pheek

Tady je můj současný konfigurák. IP adresy nesedí, v příspěvku víše jsem to jen nastínil ale realita je trochu jiná. Pokouším se projít s "veřejnou" adresou 192.168.100.154 na neveřejný rozsah 172.30.20.155. To mi zda se funguje. Ale oddělit síť 172.30.20.154 od 192.168.168.0/24 mi nejde. Vše mám ve stavu testu a učení, jak provést konfiguraci. Myslel jsem, že by to mohlo jít nějak pomocí brány, ale nějak jsem nepochopil, jak něco takového nastavit.
IP 192.168.100.154 je IP co by měla zůstat jako veřejná pro rozsah 192.168.168.0/24 a IP 192.168.100.155 by měla být přiřazena IP adrese 172.30.20.155.

Moc děkuji za pomoc.

feb/15/2022 20:38:59 by RouterOS 7.1.2
 software id = D5RH-69F7

 model = RouterBOARD 3011UiAS
 serial number = 689A059F3C02
/interface bridge
add name=bridge-michal
add name=bridge-sb
/interface list
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=192.168.168.2-192.168.168.254
add name=dhcp_pool3 ranges=172.30.20.154
/ip dhcp-server
add address-pool=dhcp_pool1 interface=bridge-michal name=dhcp1
add address-pool=dhcp_pool3 interface=bridge-sb name=dhcp2
/port
set 0 name=serial0
/routing table
add fib name=IRT-TEST
add fib name=IRT-TEST2
add fib name=sb
add fib name=michal
/interface bridge port
add bridge=bridge-michal disabled=yes interface=ether1
add bridge=bridge-michal interface=ether2
add bridge=bridge-sb interface=ether3
add bridge=bridge-michal interface=ether4
add bridge=bridge-michal interface=ether5
add bridge=bridge-michal interface=ether6
add bridge=bridge-michal interface=ether7
add bridge=bridge-michal interface=ether8
add bridge=bridge-michal interface=ether9
add bridge=bridge-michal interface=ether10
add bridge=bridge-michal interface=sfp1
/interface list member
add interface=ether1 list=WAN
/ip address
add address=192.168.100.154/29 comment=michal-public interface=ether1 \
    network=192.168.100.152
add address=192.168.100.155/29 comment=sb-public interface=ether1 network=\
    192.168.100.152
add address=172.30.20.153/30 comment=sb-wan interface=ether3 network=\
    172.30.20.152
add address=192.168.168.1/24 comment=michal-int interface=bridge-michal \
    network=192.168.168.0
/ip dhcp-server network
add address=172.30.20.152/30 gateway=172.30.20.153
add address=192.168.168.0/24 gateway=192.168.168.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall nat
add action=src-nat chain=srcnat src-address=172.30.20.154 to-addresses=\
    192.168.100.155
add action=src-nat chain=srcnat src-address=192.168.168.251 to-addresses=\
    192.168.100.154
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.100.153 \
    pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10

iTomB

pheek Jasne, ono je moc slozite, si kliknout na profil a zobrazit si sve prispevky, nebo na zvonecek ... 😃

Spis jsi se na to vykaslal a jen dal skemras, aby nekdo delal za tebe tvou praci. Nehlede na to, ze pokud se takovouhle zakladni vec naucis sam, tak si pak dalsi drobnosti doresis taky sam ...
No kdyz to vidim, tak tam mas jeste hromadu jinych blbosti ...

pheek

iTomB Jsem tu nový, opravdu jsem nevěděl, jak příspěvek najít. Jestli jsem způsobil nějaký problém, tak se za něj omlouvám. Je to jen prvotní konfigurace, bez nahozených pravidel. FW který jsem tam měl, jsem smazal, aby to bylo co nejvíc čisté a čitelné. Proto ve FW není nic.
Můžeš prosím rozvést jaké další blbosti tam mám, rád bych to měl nakonfigurované dle možnosti dobře.
Ještě jednou moc děkuji všem za rady.

ludvik

Říkal jsi, že tam firewall máš ... jenže nemáš.

potřebuješ zakázat (action drop) v chainu FORWARD in-interface=prvni_sit out-interface=druha_sit (a obráceně také). To, že si pingneš na adresu z druhé sítě co je na tom samém routeru nepovažuji za problém. Ale pokud na tom trváš, tak uděláš v podstatě to samé, ale do chainu INPUT in-interface=prvni_sit dst-address=TA_IP_ADRESA_Z_DRUHE_SITE. A obráceně obdobně.

Doporučuji si nastudovat něco ohledně routingu. Třeba zde: https://www.samuraj-cz.com/clanek/vite-jak-pracuje-router/
Spousta toho je o firewallu (a myslím i o multi-wan, tím se zabývat vůbec nechci) také u mikrotiku na wiki. Případně i sem jsem dával dostatek "návodů". Napsat ti to přesně nepovažuji za dostatečně výchovné ...
A přesto zdůrazním: povolení dns serveru (remote-request), bez omezení firewallem na lokální síť je pozvánka pro DDoS. A nebude to dlouho trvat.

pheek

ludvik Jak jsem psal víše, FW jsem smazal abych tam neměl moc blbostí. Toto není konečná. Ještě si hraji s VLANy a ty tam taky nejsou. Děkuji za rady, vyzkouším tam přidat to co radíš. Napíšu, zda to pomohlo.

iTomB

ludvik Proc myslis, ze jsem ho odkazoval na root a jejich serial o FW.

iTomB

pheek jsi tu novy a ucet stary 10 let? No nevim ... nezda se mi to 😃

radek_kovacik

dacesilian Dá se nějak jednoduše vysvětlit, k čemu je dobrá raw tabulka a firewall na ní založený? Nějak jsem nepochopil rozdíl od běžného firewallu.

pheek

iTomB Teď se na to dívám, že tu opravdu mám nějaké příspěvky. Ale nejsem si vědom, že bych tady kdy byl. Úplně si teď nevybavuji, zda jsem si obnovoval heslo k tomuto účtu a nebo vytvářel nový. Ale měl jsem za to, že nový. Pokud tu mám 10 let starý účet, tak se omlouvám, mám asi výpadky paměti.

pheek

Moc děkuji všem za správné nakopnutí. Už mi to funguje jak jsem chtěl. Ale mám dotaz, ze sítě 192.168.168.0/24 si nepingnu bránu 172.30.20.153, což je správně a to chci. Ale pingnu si IP 172.30.20.1 a nevím proč. Takový interface ani IP v síti nemám.

Tady je můj současný konfigurák.

/interface bridge
add name=bridge-michal
add name=bridge-sb
/interface list
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=192.168.168.2-192.168.168.254
add name=dhcp_pool3 ranges=172.30.20.154
/ip dhcp-server
add address-pool=dhcp_pool1 interface=bridge-michal name=dhcp1
add address-pool=dhcp_pool3 interface=bridge-sb name=dhcp2
/port
set 0 name=serial0
/routing table
add fib name=IRT-TEST
add fib name=IRT-TEST2
add fib name=sb
add fib name=michal
/interface bridge port
add bridge=bridge-michal disabled=yes interface=ether1
add bridge=bridge-michal interface=ether2
add bridge=bridge-sb interface=ether3
add bridge=bridge-michal interface=ether4
add bridge=bridge-michal interface=ether5
add bridge=bridge-michal interface=ether6
add bridge=bridge-michal interface=ether7
add bridge=bridge-michal interface=ether8
add bridge=bridge-michal interface=ether9
add bridge=bridge-michal interface=ether10
add bridge=bridge-michal interface=sfp1
/interface list member
add interface=ether1 list=WAN
/ip address
add address=192.168.100.154/29 comment=michal-public interface=ether1 \
    network=192.168.100.152
add address=192.168.100.155/29 comment=sb-public interface=ether1 network=\
    192.168.100.152
add address=172.30.20.153/30 comment=sb-wan interface=ether3 network=\
    172.30.20.152
add address=192.168.168.1/24 comment=michal-int interface=bridge-michal \
    network=192.168.168.0
/ip dhcp-server network
add address=172.30.20.152/30 gateway=172.30.20.153
add address=192.168.168.0/24 gateway=192.168.168.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall address-list
add address=192.168.168.2-192.168.168.254 list=allowed_to_router
add address=172.30.20.155 list=allowed_to_router
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=\
    not_in_internet
/ip firewall filter
add action=drop chain=forward in-interface=bridge-michal out-interface=\
    bridge-sb
add action=drop chain=forward in-interface=bridge-sb out-interface=\
    bridge-michal
add action=drop chain=input dst-address=172.30.20.152/29 in-interface=\
    bridge-michal
add action=drop chain=input dst-address=192.168.168.0/24 in-interface=\
    bridge-sb
add action=accept chain=input comment="default configuration" \
    connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input
add action=fasttrack-connection chain=forward comment=FastTrack \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="Established, Related" \
    connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid \
    log=yes log-prefix=invalid
add action=jump chain=forward comment="jump to ICMP filters" jump-target=icmp \
    protocol=icmp
add action=drop chain=forward comment=\
    "Drop incoming from internet which is not public IP" in-interface=ether1 \
    log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment=\
    "Drop packets from LAN that do not have LAN IP" in-interface=\
    bridge-michal log=yes log-prefix=LAN_!LAN src-address=!192.168.168.0/24
add action=drop chain=forward comment=\
    "Drop packets from LAN that do not have LAN IP" in-interface=bridge-sb \
    log=yes log-prefix=LAN_!LAN src-address=!172.30.20.155
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=\
    icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 \
    protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 \
    protocol=icmp
add action=accept chain=icmp comment=\
    "host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
    protocol=icmp
add action=drop chain=icmp comment="deny all other types"
/ip firewall nat
add action=src-nat chain=srcnat src-address=172.30.20.154 to-addresses=\
    192.168.100.155
add action=src-nat chain=srcnat src-address=192.168.168.0/24 to-addresses=\
    192.168.100.154
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.100.153 \
    pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
/system clock
set time-zone-name=Europe/Prague

ludvik

pheek Ale pingnu si IP 172.30.20.1 a nevím proč. Takový interface ani IP v síti nemám.

No ... když nemáš, tak nemáš a jde to ven default routou. Trasu mezi dvěma interface zakázanou máš, tedy zbývá ten třetí.

Proč někdy operuješ s maskou /30 (a má smysl na takovéto síti mít DHCP?) a někdy s /29?

pheek

ludvik Pravda, měl jsem tam chybu, na ether mám jen dvě adresy 172.30.20.153/30. 172.30.20.153 GW a přidělenou adresu klientovy 172.30.20.154 s bránou 172.30.20.153. Takže tu chybu ve FW jsem opravil a změnil jsem masku na 30. DHCP server tam mít nemusím, ale jelikož přepojuji UTP kabel z jedné sítě do druhé, tak se mi nechce adresa ručně přepisovat. Tak proto DHCP server.
Co myslíš tím ten třetí?

ludvik

pheek Co myslíš tím ten třetí?

ether1

pheek

Tak kecám, na mikrotiku před tímto se IP 172.30.20.1 pingám i když odpojím fyzicky kabel k tomu který konfiguruji. Musím zjistit kde je.

pheek

Tak už asi vím co jsou to za adresu. Vypadá to jako adresa mého poskytovatele internetu. Na routeru který je připojený k internetu si pingnu 172.30.20.1 nebo 172.30.10.1 atd... Tyto adresy na routeru nastaveny nemám a když odpojím kabel s internetem, tak si je už nepingnu. Takže tohle by mohlo být vyřešeno. Moc děkuji všem za pomoc s nastavením. Jdu si hrát dál a zkoušet jiné konfigurace.

ludvik

Vždyť jsem ti to říkal ... hele, nastuduj si, jak routing funguje, fakt jo. To je takový základ, že snad nemá smysl dělat něco dalšího.

Další stránka »