Mikrotik 750GL - oddelenie dvoch sieti, vlan a fyzicky nie

[lukac565]

Ahojte,
prosím Vás o radu, či je vôbec možné danú situáciu nejako riešiť a či nezabíjam čas s niečím, čo stejne nevyriešim. Na úvod, s Mikrotikom som úplný začiatočník.
Mám k dispozícii Mikrotik 750GL a potrebujem oddeliť dve siete, tak aby sa vzájomne "nevideli", ale aby obidve siete "videli" jeden a ten istý server.

Začnem asi tým, čo by bolo správne a najjednoduchšie, ale ja to urobiť nemôžem. Počítače, ktoré by mali patriť do oddelených sietí sú premiešané, takže ich fyzické oddelenie na portoch Mikrotika nepôjde. Prebudovanie siete z finančných dôvodov neprichádza v úvahu. V tejto situácii sa ideálne hodí použitie VLAN, žiaľ tu ale narážam na hlúpe switche, ktorých výmena opäť z finančných dôvodov neprichádza v úvahu.
Je možné v tejto situácií niečo robiť?

Predstavoval by som si to asi nejako takto:
1. sieť 192.168.51.0/24
2. sieť 192.168.52.0/24
prideľovanie adries pomocou DHCP (zrejme asi dvoch DHCP, neviem ako na Mikrotiku nastaviť) staticky podľa MAC adresy, čím by každý počítač mohol dostať správnu adresu patriacu do správnej siete, nech už je na ktoromkoľvek porte Mikrotika, ale netuším ako na to.

Druhá možnosť by bola jeden sieťový rozsah a rozdeliť pomocou MAC adries na podsiete. Tu opäť neviem ako to nastaviť a hlavne neviem, ktoré z týchto dvoch riešení by bolo lepšie.
Ďakujem za akékoľvek rady a ospravedlňujem sa za amatérsky príspevok.

[Radek Úlehla]

V tvém případě to VLAN těžko oddělíš. Nelze mít zakončené dvě VLAN sítě na jednom rozhraní, resp. na mikrotiku lze, ale pak se Ti stejně uvidí mezi sebou.
Pro Tebe bude nejlepší ošetřit to pravidlem ve firewallu. Uděláš dva rozsahy jak píšeš a v mikrotiku nastavíš pravidla tak, aby mezi sebou nemohli komunikovat. Nicméně toto lze samozřejmě obejít ruční konfigurací stanice do jiného rozsahu.

[lukac565]

no VLAN som samozrejme zavrhol už kvôli absencii L2 switchov, takže k tomu nemá význam sa vyjadrovať
vychádzam z predpokladu, že užívatelia nebudú mať oprávnenie na zmenu IP adresy, nejedná sa o domáce počítače, ale o stroje, kde mám možnosť uplatňovať bezpečnostnú politiku, takže zmeny IP by som sa neobával
ako som písal, čo sa týka Mikrotiku, som začiatočník a tých nastavení je tam naraz trochu veľa, takže ani to pravidlo pre firewall sa mi asi nepodarí zostaviť, budem vďačný za pomoc

ešte mi napadlo, z pohľadu prevencie voči broadcastovému zahlteniu, čo bude najvýhodnejšie? ...aký spôsob delenia siete?

[Radek Úlehla]

Pro tyto účely stačí asi toto

/ip firewall filter
add action=drop chain=forward disabled=no dst-address=subnet a src-address=subnet b
add action=drop chain=forward disabled=no dst-address=subnet b src-address=subnet a

Prevence zahlcení broadcastem bez inteligentního switche <= 0. Jestli máš k dispozici RB750, tak se snaž využít všechny 4 porty, tzn. rozdělit síť do čtyř fyzicky oddělených segmentů. Tím můžeš minimalizovat počet ohrožených stanic při nějakých problémech.

[lukac565]

ďakujem, vyskúšam

a čo to samotné dvojnásobné DHCP?
je tam možnosť vytvoriť novú sieť v NETWORKS, nový DHCP, čo všetko vlastne treba vytvoriť?

[Radek Úlehla]

Co interface to max. jeden DHCP server, networků lze nastavit nespočet. DHCP nejlépe v začátkách nastavit přes dhcp setup. Při dynamickém přidělování pozor na ip pool. Při statickém přidělování je to všechno bez problémů. Před samotným vytvořením DHCP je potřeba mít založenou IP adresu, která bude použita jako GW.

[lukac565]

ďakujem, ale obávam sa, že budem potrebovať návod typu krok za krokom, chápem, že si v asi v týchto veciach doma, ale som začiatočník, neviem prečo len jeden DHCP server na interface a neviem presne ani čo sa tým interfacom u mikrotiku myslí...

čosi som už rozbehal, nahodil som tam to pravidlo, ale buď zle, alebo proste nefunguje

[Radek Úlehla]

Bez základních znalostí to půjde těžko

[lukac565]

ok, bol som príliš rýchly pri písaní príspevku a pár vecí mi už dochádza, viem pridelovať IP adresy v rôznych rozsahoch staticky podľa MAC, rozbehal som na nich internet, ale neviem zariadiť aby sa medzi sebou dve siete nevideli

teda pri pokusoch som to zariadil tak, že som ich oddelil na portoch mikrotika, čo je ale riešenie, ktoré v praxi nevyhovuje, takže by to chcelo iné riešenie, to pravidlo firewallu je relatívne jednoduché, takže neviem kde som tam mohol urobiť chybu, no jednoducho to nefunguje a siete na seba stále vidia

[Radek Úlehla]

to pravidlo si tam přeťukával nebo si ho nakopíroval přes terminál ? důležité je dobře definovat subnet a to jak ve firewallu tak v address

napiš v terminálu ip firewall export a pošli co to napíše

[lukac565]

zadával som to cez terminál, keď do terminálu napíšem "ip firewall export" tak mi to vypíše akurát tak chybu

EDIT: ...malo tam byť lomítko no

Kód: Vybrat vše

set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s \
    tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s \
    tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=established disabled=no
add action=accept chain=input comment="default configuration" connection-state=related disabled=no
add action=drop chain=input comment="default configuration" disabled=no in-interface=ether1-gateway
add action=drop chain=forward disabled=no dst-address=192.168.88.0/24 src-address=192.168.75.0/24
add action=drop chain=forward disabled=no dst-address=192.168.75.0/24 src-address=192.168.88.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=no out-interface=ether1-gateway \
    to-addresses=0.0.0.0
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061 sip-direct-media=yes
set pptp disabled=no


[Radek Úlehla]

A co znamená, že se mezi sebou vidí ?

[lukac565]

je vidieť zdieľané priečinky a je možný prístup do nich
áno, viem, že všade sa dajú nastaviť oprávnenia, ale túto tému teraz vynechajme

EDIT: skúšal som aj druhú možnosť, rozdeliť sieť na podsiete pomocou masky, podarilo sa mi to korektne rozbehať, ale aj v tomto prípade na seba počítače "videli", čo by teda rozhodne nemali, spôsobuje to ten Mikrotik, takže nejako to v ňom musí isť vypnúť

[Radek Úlehla]

Mně tohle pravidlo funguje bez problémů. Ping na tu stanici také funguje?

[lukac565]

no, tak toto je vážne zaujímavé, ping nefunguje, prístup k zdieľaným priečinkom cez UNC adresu \\192.168.75.247 nefunguje, ale prístup cez netbios názov \\pc2 funguje bez problémov