classic.ISPforum.cz

Ahoj,

mám od poskytovatele přidělené veřejné IP adresy. Z historických důvodů mám 3 fyzicky oddělené sítě pro intranet samostatně přes 3 RB spojené do jednoho switche který jde do WAN a každá síť vystupuje pod vlastní veřejnou IP. Nyní bych to rád natáhl přes VLANy.
Použitý router bude CCR 1036.
Má představa: WAN na ether1, kde jsou přidělené všechny veřejné IP (stejné i rozdílné rozsahy). Na ether2 budou 3 VLANy a každá VLAN bude vystupovat pod svojí veřejnou IP.
Zajímá mě tedy jak na to. Něco už jsem přečetl, ale radši se zeptám. Dále mě zajímá, jak v tomto případě funguje nastavování firewallu, NAT a port-forwarding (různé zařízení na různých sítích vystrčené do internetu).

Díky za vaše odpovědi.

Nejak zásadne sa to nelíši od toho ako by si mal 3 routre.
Verejky si nastav na Wan rozhranie (eth1)
Na LAN (eth2) si vytvor vlany s nejakým predpokladám neverejnými rozsahmi.
Firewall funguje rovnako ako vždy, povol si čo potrebuješ ostatok drop na konci, nezabudnúť že default má mikrotik všetko povolené teda aj rôzne vlan sa budú default medzi sebou vedieť dohovoriť.
NAT ak potrebuješ 1:1 tak SRC-nat neverejná ip to-address verejná ip. a opačne DST-nat verejná ip to-address vnútorná. Ak nepotrebuješ 1:1 ale stačí celá sieť (alebo rozsah vnútorných ip von) tak SRC-nat neverejný rozsah to-address verejná ip.
Port forward to isté cez DST-nat , to jest kam to prišlo a kam sa to má dostať nič iné.

Vlan sa netreba báť je to len ďalší interface nič iné.

Můžu se zeptat, proč VLANy?
Ten router má spoustu portů.

Noxus28 píše:Nejak zásadne sa to nelíši od toho ako by si mal 3 routre.
.
.
.
Vlan sa netreba báť je to len ďalší interface nič iné.

Firewall - příklad - potřebuji povolit port 12345 z venku ale pouze pro VLAN30 řekněme. Pro VLAN10 a 20 ne-e. Pokud to tedy dám z interface listu který obsahuje pouze VLAN30 (případně určitě pravidlo použít na interface list který obsahuje více VLAN) bude to fungovat ?

NAT - můžeš mi sem prosím hodit "ukázkový" příklad (výpis z terminálu) pro lepší pochopení ? Díky.
Četl jsem i o "Mangle" že to asi taky nějak jde, ale nikdy jsem s tím nedělal.

mirek.k píše:Můžu se zeptat, proč VLANy?
Ten router má spoustu portů.

Do budoucna těch VLAN bude víc - a mám 8G a 2SFP+ variantu.

Firewall - příklad - potřebuji povolit port 12345 z venku ale pouze pro VLAN30 řekněme. Pro VLAN10 a 20 ne-e. Pokud to tedy dám z interface listu který obsahuje pouze VLAN30 (případně určitě pravidlo použít na interface list který obsahuje více VLAN) bude to fungovat ?

No ak som to správne pochopil tak budeš z von na jednu z tvojich verejných adries pristupovať cca 1.2.3.4:12345 to budeš chcieť na routry preložiť na niečo (pc) vo vnútornej sieti vlan30 cca 192.168.30.100:12345 preto by to nemalo prečo chodiť do vlan10 a 20. Nat to nepustí
pravidlo bude vyzerať asi takto



NAT z vnútra von pre sieť 192.168.30.0/24 na verejnú adresu 1.2.3.4

alebo to isté ale bez definície siete ale interface vlan 20



nie je to nič zložité ale ak potrebuješ presný konfig napíš mi SZpozrieme sa na to

@Noxus28

Skvělý !

Nicméně jsem se k tomu dostal pořádně až teď, až budu mít možnost vyzkoušet to v ostrém provozu, dám vědět.

Ještě mě zajímá, jak se v tomhle případě nastavují IP/Routes - defaultní routa atd.

Děkuji za rady!

máš 2 možnosti, buď požiadať tvojho ISP nech ti tie rozsahy spojí do jedného prefixu (čo bude znamenať šetrenie verejných IP jemu aj tebe)
alebo si spraviť 3 tabuľky pomocou routing-mark

čiže označiť všetko čo pôjde z vlan10

a vytvoriť nové routovacie pravidlá pre značku rm_vlan10 tj aj všetko čo je priamo pripojené

a tak podobne pre všetky vlany

Takže najlepšie sa dohodnúť s ISP