Как разделить сеть?

Тема в разделе "Вопросы начинающих", создана пользователем Mook_34, 7 май 2015.

  1. Mook_34

    Mook_34 Участник

    Добрый день.
    Есть CRS125-24G-1S-RM больше нет нечего из железа в сети.
    Нужно разделить сеть. (192.168.1.0/24 и 192.168.2.0/24,192.168.3.0/24)Но (192.168.2.0/24,192.168.3.0/24)что бы не видели друг друга а видели только 192.168.1.0/24 .
    Это возможно без vlan-ов?
    Я так понял мне не поднять вланы.
    Если да ,то пните куда копать ?
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Mama нравится это.
  3. Mook_34

    Mook_34 Участник

    Добрый день.
    Нет,поднять то я поднимаю но когда подключаю копьютеры то подключаются не как VLAN-ы а как простые порты.
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Не понял проблемы.
    Я правильно понимаю, что вы хотите, чтобы компьютеры подключенный в порты 1-10 оказались в VLAN10, а подключенные в порты 11-20 в VLAN20 ?
     
  5. Mook_34

    Mook_34 Участник

    Да.
    Я так понял что делать надо как тут Example 1?
     
    Последнее редактирование: 8 май 2015
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Нет. Вам надо от этой конфигурации отталкиваться http://wiki.mikrotik.com/wiki/Manual:CRS_examples#InterVLAN_Routing
    Особенно вот на это обратите внимание
    Код:
    /interface vlan
    add name=vlan200 interface=ether2 vlan-id=200
    add name=vlan300 interface=ether2 vlan-id=300
    add name=vlan400 interface=ether2 vlan-id=400
    
    /ip address
    add address=192.168.20.1/24 interface=vlan200 network=192.168.20.0
    add address=192.168.30.1/24 interface=vlan300 network=192.168.30.0
    add address=192.168.40.1/24 interface=vlan400 network=192.168.40.0
    Здесь как раз VLAN-ы "вытаскиваются" на CPU, настраиваются IP-адреса. Далее вы вешаете на эти интерфейсы DHCP, NAT и все что вам надо.
    Ну и в файрволле работаете с цепочкой forward запрещая прохождения трафика с этих интерфейсов везде кроме LAN.
    Как пример.
    Chain=forward
    in-interface=vlan300
    out-interface=!WAN
    Action=drop

    Ну или одним правилом всех, если не должны ходить друг к другу и все подсети в виде 192.168.х.х
    Chain=forward
    src-address=192.168.0.0/16
    dst-address=192.168.0.0/16
    Action=drop
     
    Mama нравится это.
  7. Mook_34

    Mook_34 Участник

    ясно спасибо....буду пробовать..=)
    я пока настроил как мосты. И разделил их...Так не будет работать?
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Будет. Но медленно.
    1. Мост обрабатывается CPU
    2. Со свитч-чипа на процессор идет ОДИН гигабит. Т.е. быстрее не получится
     
  9. Mook_34

    Mook_34 Участник

    Спасибо за ответ.
    Вот по этому примеру делал http://www.technotrade.com.ua/Articles/mikrotik_vlan_separation_2013-05-08.php
    Но у меня не заработал влан.
    Я так понял что нужно 802.1Q
    Если не сложно не могли бы описать(пример) с самого начало весь процесс . Можно в личьку.
    Спасибо Илья

     
    Последнее редактирование: 8 май 2015
  10. Илья Князев

    Илья Князев Администратор Команда форума

    802.1q нужен, когда вы хотите несколько VLAN передать через один порт. Это не ваш случай.
    Делайте строго по семплу с роутингом между VLAN
     
  11. Mook_34

    Mook_34 Участник

  12. Илья Князев

    Илья Князев Администратор Команда форума

    А интерфейс vlan200 существует ?
     
  13. Mook_34

    Mook_34 Участник

    да я же все по инструк. делал
     
  14. Илья Князев

    Илья Князев Администратор Команда форума

    Тогда не указывайте сеть.
    Просто add address=192.168.20.1/24 interface=vlan200
     
  15. Mook_34

    Mook_34 Участник

    Спасибо!!! все получилось.:):):)
     
    Последнее редактирование: 9 май 2015
  16. Mook_34

    Mook_34 Участник

    Добры день.
    а как теперь изолировать одну сеть от другой что бы одна сеть не видела другую а вторая видела ее?
     
  17. Иван

    Иван Участник

    У меня была подобная задача: сделать гостевой вай-фай. Я сделал для него отдельную сеть и т.д., а что бы гостевая сеть 192.168.30.0/24 не видела основную, я в filter rules прописал
    upload_2015-5-20_22-35-47.png
    c action=reject
     
  18. Илья Князев

    Илья Князев Администратор Команда форума

    Output здесь не при чем. Это трафик который создает САМ маршрутизатор.
    Надо.

    /ip firewall filter

    Правило РАЗ

    chain=forward
    connection-state=established,related
    action=accept

    Правило ДВА (должно быть ниже по списку. Обратите внимание на ! перед WAN-интерфейсом (ставится флажок перед ним))

    chain=forward
    in-interface=vlan200
    out-interface=!wan
    connection-state=new
    Action=drop
     
  19. Иван

    Иван Участник

    у меня разделение без Vlan
     
  20. Илья Князев

    Илья Князев Администратор Команда форума

    Значит указываете интерфейс.
    Если у вас НА ОДНОМ интерфейсе 2 подсети, можете вместо in-interface указать src-address=x.x.x.x/yy