Ahoj, jsem začátečník a potřeboval bych pomoct s Mikrotikem. Mikrotik RB951G-2Hnd - 1. port internet, 2. port switch, 5. port - potřebuji odstínit. Potřebuji, aby ten, kdo bude připojen na 5. portu neviděl k ostatním tzn. nejspíš vytvořit VLAN na ten port.
Prostě jenom potřebuji, aby připojení na portu 5 (nejspíš přes nějaký router jejich) neviděli do zbytku sítě a případně bych mohl omezovat jejich rychlost download/upload.
Postup, jakým bych to udělal.
1. Vytvoření vlan1 s Interface port5
2. V Address Listu vytvpřot adresu nějakou (192.168.200.1/24) s intergace vlan1
3. DHCP server s interface vlan1
Nevím, jestli tento postup je celý. Zatím jsem to raději nezkoušel a jenom vymýšlím řešení.
Budu rád za jakoukoliv radu. Nejspíš to budou základy, ale potřebuji s tím trošku více pomoct.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Jednoduchá VLAN
VLAN je další ethernet. Tak na to koukej. Vytvářet si jen tak nějakou, jen jednu a jen na jednom portu je úplně k ničemu. Použij prostě přímo ten ether5.
Co potřebuješ je zakázat komunikaci zařízení na tom eth5 s jinými porty. Tedy "zakaž vše se zdrojovou adresou TOUTO/XX a s cílovou TAMTOU/YY".
Mimochodem zkoušení je to nejlepší řešení, které tě může napadnout. Alespoň to pochopíš.
Co potřebuješ je zakázat komunikaci zařízení na tom eth5 s jinými porty. Tedy "zakaž vše se zdrojovou adresou TOUTO/XX a s cílovou TAMTOU/YY".
Mimochodem zkoušení je to nejlepší řešení, které tě může napadnout. Alespoň to pochopíš.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Mám bridge1, který je nastaven na všech portech s adresou 192.168.100.1/24. ether5 v tom bridge1 můžu nechat, nebo to mám odebrat?
V address listu vytvořit pro ether5 192.168.200.1/24.
A potom zakázat komunikaci mezi 192.168.100.1/24 a 192.168.200.1/24? Nebo mezi ether2 a ether5 jenom (ether 3 a 4 momentálně nepoužívám)
V address listu vytvořit pro ether5 192.168.200.1/24.
A potom zakázat komunikaci mezi 192.168.100.1/24 a 192.168.200.1/24? Nebo mezi ether2 a ether5 jenom (ether 3 a 4 momentálně nepoužívám)
0 x
-
jarda.jezek
- Příspěvky: 220
- Registrován: 12 years ago
Než zapínat firewall na bridgi je lepší udělat druhý bridge s vlastním rozsahem, dát do něj ether5 a firewallem zabránit přístupu z druhého rozsahu do prvního.
0 x
Vím, že je to nejlepší zkoušet, jenomže nemohu nějak extra omezit provoz (kdybych náhodou něco pokazil)
Vytvořit bridge2 - ether5 dát bridge2 - v Address Listu vytvořit nový rozsah IP (192.168.200.1/24) - a ještě něco?
Jinak nevím přesně s těmi pravidly, jak to přesně nastavit.
Vytvořit bridge2 - ether5 dát bridge2 - v Address Listu vytvořit nový rozsah IP (192.168.200.1/24) - a ještě něco?
Jinak nevím přesně s těmi pravidly, jak to přesně nastavit.
0 x
-
jarda.jezek
- Příspěvky: 220
- Registrován: 12 years ago
Napřed zprovoznit a až potom omezovat. Address list ve firewallu není potřeba. Bridge2 potřebuje adresu s maskou, dhcp server s poolem adres. Nastavit a zkusit. Pak pravidlo, co zablokuje průnik z jednoho rozsahu do druhého. Teoreticky není třeba ani druhý bridge pokud v budoucnu se do toho rozsahu nepřidá další port. Ale pro lepší přehled bych ho udělal.
0 x
OK a to nastavení toho pravidla v tom Firewallu tedy jak? Já nevím, kdy se k tomu mikrotiku dostanu, jelikož nejsem u něho momentálně, ale připravuji si vždy práci dopředu, takže bych potřeboval vědět i to nastavení, jestli by to bylo možné.
0 x
Tak za prvé ... není-li potřeba bridge, tak se bridge prostě nedělá. To platí jak v tomto případě, tak i pozdějším ... od toho je funkce switch. Když už v tom routerboardu je, tak je se má používat.
Z prvního bridge to samozřejmě odebereš. Potřebuješ to samostatně, ne součástí jiné skupiny, jiného switche (bridge je softwarový switch).
Za druhé - nezlob se, do začátečnických témat jsi to nedal, není asi v našich silách tě naučit firewall. Ve Filter rules vytvoříš nové pravidlo, chain forward (omezuješ předávání paketů), do src. address napíšeš síť co chceš omezit a do dst. addres se píše ta, kam ta src. nesmí. Action je pak Reject nebo Drop.
Pokud to chceš mermomocí pomocí address-list, tak můžeš. Ale výhody tohoto řešení se projeví až v případě, kdy toho omezuješ víc - přidáváš jen do address listů, ale na firewall nesaháš. Pak ovšem nepoužíváš src. address atp., ale na záložce advanced obdobná políčka Src. Address list a Dst. address list.
No a ve tvém případě bych to dal na první řádek ve firewallu.
Z prvního bridge to samozřejmě odebereš. Potřebuješ to samostatně, ne součástí jiné skupiny, jiného switche (bridge je softwarový switch).
Za druhé - nezlob se, do začátečnických témat jsi to nedal, není asi v našich silách tě naučit firewall. Ve Filter rules vytvoříš nové pravidlo, chain forward (omezuješ předávání paketů), do src. address napíšeš síť co chceš omezit a do dst. addres se píše ta, kam ta src. nesmí. Action je pak Reject nebo Drop.
Pokud to chceš mermomocí pomocí address-list, tak můžeš. Ale výhody tohoto řešení se projeví až v případě, kdy toho omezuješ víc - přidáváš jen do address listů, ale na firewall nesaháš. Pak ovšem nepoužíváš src. address atp., ale na záložce advanced obdobná políčka Src. Address list a Dst. address list.
No a ve tvém případě bych to dal na první řádek ve firewallu.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.