LANs 2 birojiem ar 1 MT rūteri

[VebKamera]

Dots: 1 resns WAN pieslēgums, 1 MT VADU rūteris (bez WiFi, ja nu kāds nesaprata), ar 4 portiem, 2 MT WiFi aksespointi.

2 neatkarīgi biroji, vajag izveidot savstarpēji nesaistītus LANus, lai viens pie otra nebāžas. 1-nam birojam nodalīt plūsmu 100 MBit/s, pārējo visu 2-tram.

Loģiski, ka 1-nam viens AP, otram otrs (ja nu kāds nesaprata). Var konkrētu rūtera portu iezīmēt tam 1-nam birojam.

 

Kāds ir labākais veids kā to izdarīt? Konfigurācija? Capsman? MT guru, labvēlīgi padomi, plīz?

[uldise]

konfigurācija tas tā - ja rūteris ir jaudīgs, var provēt to trubu softiski dalīt.. bet tā kā prasa 100Mbit, tad vajag konkrētam portam pateikt, ka tas ir tikai 100Mbit, un tad tā vajadzētu arī salinkoties.

Capsman - neredzu jēgu. uz rūtera vismaz divi VLAN, kurā katrā sava kantora porti, katrā savs IP apgabals, katram savs DHCP. Firewall iebakstam, lai viens uz otru neiet. AP tad jau pavisam vienkārši - tas katrs redz tikai savu vienu GW un viss.

[VebKamera]

Pirms 3 minūtēm , uldise teica:

rūtera vismaz divi VLAN, kurā katrā sava kantora porti, katrā savs IP apgabals, katram savs DHCP. Firewall iebakstam, lai viens uz otru neiet. AP tad jau pavisam vienkārši - tas katrs redz tikai savu vienu GW un viss.

 

Vari uz pirkstiem parādīt?

 

Neesmu ar tiem VLANiem strādājis, zinu tik teorētiski. 2 DHCP saprotu, bet kā tur 2 GW uztaisīt un kādu rūli likt Firewall lai viens otru neredz? Sorry, es līdz šim tikai 1 iekšējā tīkla konfigurācijas esmu taisījis...

[uldise]

labāko pamācību, ko esmu no Mikrotik redzējis, ar visiem konfiga piemēriem ir šeit: https://forum.mikrotik.com/viewtopic.php?t=143620

TEv principā derēti šis variants - Router-Switch-AP (all in one), vienkārši atmet to wifi sadaļu.

[hero]

Tāds precizējums tikai... no MT divi porti, un tad viens vads uz katru ofisu, kur galā switcham?

Ja tā, tad pats vienkāršākais (pat vlanus nevajag)
1. uz MT izvelts pa vienam portam ārā no defaultā bridža

2. saliec katram savu tīklu
3. saliec fw rulles starp subnetiem, lai netiek viens pie otra + snat uz ārpusi
4. tam ofisam, kuram vajag 100mbit max - uzliec porta ātrumu fizisko uz 100mbit (nebūs jākonfigurē šeiperi uz MT)
5. par AP skaties pats kā gribi - es konfigurētu capsman (tīri lai katram rekonfigam nav jāslēdzas klāt pie konkrētā AP)... tālāk diviem SSID un katru padotu uz savu atsevišķo ofisa AP,  bridžojot sidu tajā pašā ofisa LAN tīklā.

 

Jau esi konfigurējis MT ar vienu LAN... šis ir tieši tas pats... tikai ir otrs LAN ports (kā minēju dot1q tagi (vlani) šajā gadījumā pat nav vajadzīgi)

Labots Februāris 5, 2022 - hero

[VebKamera]

 

Pirms 30 minūtēm , hero teica:

tikai... no MT divi porti, un tad viens vads uz katru ofisu, kur galā switcham

 

Nu pamēram tā. Patiesībā man, piemēram, konfigurācija varētu būt tāda:

ether1 = WAN 1 GBit/s

ether2 = LAN 1 (lielais birojs; AP)

ether3 = LAN 1 (lielais birojs, switch)

ether4 = LAN 1 (lielais birojs, Velns Viņu Zina Kas Par Verķi)

ether5 = LAN 2 ierobežots uz 100 Mbit/s (mazais birojs, AP)

 

Ļoti patika ideja, ka ierobežot ether5 fizisko konekciju uz 100 Mbit/s.

 

1) tātad, es atvienoju 5. portu no galvenā bridža, uztaisu atsevišķu bridžu Bridge-2;

2) uztaisu savu DHCP ar atsevišķu adresāciju Bridge-2;

3) kādus FW rūļus? Tipa sintakse?

4) 👍, super ideja.

5) būs jāskatās, Capsmani esmu taisījis, es pieņemu, ka galvenais sekss ir norādīt otrajam AP Bridge-2, ja?

 

 

 

[VebKamera]

Un vēl - kā šajā gadījumā 2. tīklam (mazajam) notāda gateway? Ja 1. tīklam liek MT klasisko 192.168.88.0/24 subnetu, tad kāds GW būs otram? Pieņemot, ka 2. tīklam būs, piemēram 192.168.87.0/24

Labots Februāris 5, 2022 - VebKamera

[uldii12345]

Principā tev jau pat 2 bridge nevajag. Izņem ether 5 no bridge un uzliec adresi uz ether5 192.168.87.1/24

Tad izveido dchp serveri uz ether5 un kā gateway jau automātiski būs 192.168.87.1

Es arī izmantotu capsman. Izveido 2 konfigurācijas, ja nepieciešami dažādi ssid. Pie datapath bridge nenorādi, ieliec local forwarding un client forwarding (ja nepieciešams).

Uz ap, kas 2. ofisā nomet uz tīro configu, lai nebūtu nekādi firewall utt. izveido bridge, un ieliec tajā wlan interfeisus kopā ar ethernet, uz bridge dhcp client. 

Galvenajā MT pie firewall uz forward izveido rulli 

add action=drop chain=forward comment="2 birojs tikai uz internetu" disabled=\
    no in-interface="ether5" out-interface=!ether1

Tad būs 2. birojam piekļuve tikai internetam.

 

Es gan taisītu ar vlaniem, lai visiem MT būtu ip no viena subneta un cita kā wifi

 

[VebKamera]

ok, mēģināšu realizēt.

[mafijs]

VLAN vajag tikai tad, ja dažādi subneti jāpalaiž pa vienu fizisko portu/vadu.

šajā gadījumā VLAN ir lieks.

[uldii12345]

Tas ka var iztikt bez vlan, tas skaidrs. Vai tas ir labi drošības ziņā, cits. 

[mafijs]

Pēc drošības ir identiski, vai vlan vai bez. Jo pēc noklusējuma tīkli viens otru "redz" vai tas būtu vlan vai subnets uz porta / bridža. ja vien netiek ierobežoti ar firewall vai routes.

Un vēl - kā parasts lietotājs zinās, ka ir vēl kāds cits subnets, izņemot to, kurā pats atrodas? Nu tā reāli padomājot. Un arī win kastes neatbild uz ping no cita subneta, ja vien tas netiek speciāli atļauts.

 

 

[e = d]

Drošības ziņā mūsdienās pareizais risinājums ir pilna klientu izolācija darbstaciju segmentā (viens otru neredz, vai redz, bet visi porti savstarpēji ciet) un mikrosegmentācija serveru segmentos.

[rubb]

Vai kāds arī apskatījās uldise ielikto linku? Škiet tur visi autora uzdotie(un ne tikai) jautājumi ir atbildēti un izskaidroti.

[uldii12345]

Es taisītu tā, ka visi klienti, gan wifi, gan pa vadu neredz nevienu MT iekārtu, izņemot gateway (atsevišķs managenent vlan).

Piemērs no dzīves. Manā iepriekšējā darbā (es tur nestrādāju it jomā), izmantoti mikrotiki. Piesledzoties pa vadu vai wifi, winbox visi redzami. Vairākiem vecas versijas, ar winbox explotu iegūstam paroles un nometam uz defaul galveno routeri (CCR, uzņēmums paliels), darbs paralizēts uz dienu vismaz, ja nav ārējo backup.

[CosmosDC]

@uldii12345visu tavu minēto var izdarīt arī daudz saprātīgāk, neiesaistot VLAN'us (MT tie konfigurējas caur pakaļu, ieteikt kādam šādu risinājumu, kas nav ar MT uz Tu - diez vai iznākums būs pozitīvs), VLAN'us vajag iesaistīt tad, ja kaut kāda iemesla dēļ nepieciešama trafika nodalīšana - visos citos gadījumos, neredzu nevienu ieguvumu. Un kā drošības pasākums VLAN būs nekas vairāk kā security through obscurity. 

[uldii12345]

Es tikai teicu, kā es darītu. Nav arī mikrotikā tie vlani nekāds bubulis nesaprotams. Kā bez vlaniem uztaisīsi, lai wi fi ap nebūtu redzama L3 līmenī wi fi klientiem. Tad jāizmanto firewall, kaut kas jāaizliedz pašā AP. Manā shēmā AP vienkārša konfigurācija un par drošību nav jāsactraucas. Par drošību atdild tikai routeris.

[CosmosDC]

Ja ar "AP nebūtu redzams L3" (pēc noklusējuma AP ir L2 iekārta, kurai nav saistības ar L3) domāts tas, ka lai tas nespīdētu winboxā - vienkārši atslēgt MNDP. Lai izslēgtu iespēju klientiem pieslēgties mgmt pavisam - lietotāju ip pool'am viena rindiņa FW.

Pirms 11 minūtēm , uldii12345 teica:

Nav arī mikrotikā tie vlani nekāds bubulis nesaprotams.

Salīdzinot ar praktiski jebkuru citu ražotāju - ir gan.

[mafijs]

pirms 9 stundām , uldii12345 teica:

Es taisītu tā, ka visi klienti, gan wifi, gan pa vadu neredz nevienu MT iekārtu

pietiek atslēgt "discovery" uz tiem interfeisiem, kurus klienti un neko ar winbox neredzēs. tikai GW.

[uldii12345]

Subnet ping un aiziet. Labi, katram protams savs. Es uzskatu, ka viss labākais variants ir vlani, spriežot pēc Uldise saites, ne es viens. Katrs jau dara kā grib.

[CosmosDC]

pirms 7 stundām , uldii12345 teica:

Subnet ping un aiziet.

Aiziet kas? Ja ir kaut kāda paranoja, ka ICMP ir kas slikts, tad var to izslēgt, bet es atklāšu ļoti lielu noslēpumu - tam ar drošību nav nekāda saistība.

pirms 7 stundām , uldii12345 teica:

spriežot pēc Uldise saites, ne es viens.

Jēziņ, tas taču ir kāda biedra ieraksts par to, kā izveidot VLAN'us iekš MT, kāds tam sakars ar 2 parastu tīklu izveidi MT iekārtā ar RouterOS, kurai ir vismaz 2 porti? 

[uldii12345]

Var nopingot un uzzināt Ap adresi, pat ja izslēgts winbox. 
Es jau kuro reizi saku, ka es veidotu un veidoju ar vlaniem. Turklāt veidojot vairākus bridge, hardware ofload pieejams tikai vienam. Ja rūpīgi palasiji rakstu, tur bija teikts, ka vlanus vēlams veidot, pa ja šobrīd nevajag, lai nākotnē viegli var nodalīt departamentus, ja rodas nepieciešamība.

Es jau nesaku ka tēmas autoram tā obligāti jādara. Lai tak skatās pats.

[DjUbuntu]

pirms 19 stundām , CosmosDC teica:

 Un kā drošības pasākums VLAN būs nekas vairāk kā security through obscurity. 

afftor, raksti vēl. Labāk tad raksti labāk calis.lv 

Pēc būtības uldii12345 ir taisnība, nevajag laist klientu trafiku, tur kur ir tīkla iekārtu menedžements (pēc fenšui tur labak vispār ka tas ir atsevišķs VRFs).  

[CosmosDC]

Pirms 58 minūtēm , DjUbuntu teica:

Labāk tad raksti labāk calis.lv

Autoram ir 1 MT maršrutētājs un 2 MT bezvadu piekļuves punkti, uz kuriem jāizdala 2 tīkli no tā viena MT, ar jauno vārdiņu, ko esi iemācījies, būs vien pašam jāiet uz calis.lv, tur droši vien to novērtēs vairāk.

hero sen jau uzrakstīja variantu, kā 5 minūtēs praktiski jebkurš to var izveikt, bet nē, VLANi, nu jau VRFi, jāgaida, kas būs nākošais.

pirms 1 stundas , uldii12345 teica:

Var nopingot un uzzināt Ap adresi, pat ja izslēgts winbox.

Nu jā, bet ko tad klients var tālāk darīt, ja viņam visas piekļuves tāpat nogrieztas?

[DjUbuntu]

1 stundu atpakaļ, CosmosDC teica:

 

hero sen jau uzrakstīja variantu, kā 5 minūtēs praktiski jebkurš to var izveikt, bet nē, VLANi, nu jau VRFi, jāgaida, kas būs nākošais.

Nu jā, bet ko tad klients var tālāk darīt, ja viņam visas piekļuves tāpat nogrieztas?

 
Da lielāka daļa tīkla tēmu varētu slēgt pēc hero ieraksta, bet autoriem parasti uzreiz neaiziet, tad nu tauta pagremo tēmu bišķi. 

VLAN kā drošības pasākums esot security through obscurity ir vienkārši bombīgs teiciens no sērijas prezervatīvi arī plīst.

 

[mafijs]

pirms 3 stundām , uldii12345 teica:

veidoju ar vlaniem. Turklāt veidojot vairākus bridge, hardware ofload pieejams tikai vienam.

vlan tādā gadījumā uz komutatoriem jāveido ar "switch chip" palīdzību un vienu bridge, jā, grūtāk, galva jāpalauza mazliet, bet hardware ofload būs visiem vlan.

Un es joprojām saku, ka vlan ir vajadzīgs tikai tajā gadījumā., ja pa vienu fizisko portu / kabeli jālaiž dažādi subneti.

[CosmosDC]

Pirms 28 minūtēm , DjUbuntu teica:

VLAN kā drošības pasākums esot security through obscurity ir vienkārši bombīgs teiciens no sērijas prezervatīvi arī plīst.

Ja paskatītos visu pavedienu, tad saprastu, ka tas tika rakstīts kontekstā ar to, ka vienam/otram biedram ierakstīt vienu rindiņu FW ir grūti/sarežģīti (lai gan bakstīties bridge konfigurācijā mudījot VLAN'us pa mikrotiskam ir baigi ok), tātad - VLAN'i maģiski dodot drošību, lai gan tas nekas, ka tie ir pliki connected tīkli (tas ir tas pats, ko lietotājs mafijs norādīja iepriekš), starp kuriem staigā kā vēlies.

Un vēl būtu labi, ja tīkla inženiera guru uzrakstītu, kā tieši VRF (jā, VRF, nevis VRF-lite, kam arī būtu interesanti pameklēt kaut attālu pielietojumu šajā gadījumā) būtu pielietojams.

[DjUbuntu]

Pirms 27 minūtēm , mafijs teica:

vlan tādā gadījumā uz komutatoriem jāveido ar "switch chip" palīdzību un vienu bridge, jā, grūtāk, galva jāpalauza mazliet, bet hardware ofload būs visiem vlan.

Un es joprojām saku, ka vlan ir vajadzīgs tikai tajā gadījumā., ja pa vienu fizisko portu / kabeli jālaiž dažādi subneti.

  VLAN - virtuālais LAN "ports". Ja pietiek fizisko portu un ērtības pēc nav vajadzīgs to visu nēsāt starp dažādām iekārtām, var mierīgi izmantot fiziskos interfeisus.
 

Pirms 14 minūtēm , CosmosDC teica:

 

Un vēl būtu labi, ja tīkla inženiera guru uzrakstītu, kā tieši VRF (jā, VRF, nevis VRF-lite, kam arī būtu interesanti pameklēt kaut attālu pielietojumu šajā gadījumā) būtu pielietojams.

1) Man līdz tīkla inženierim ir tikpat tālu kā tev līdz speciālistam.
2) Ja skaldam matus, tad starp VRF un VRF-lite viena rūtera kontekstā baigā atšķirība nav  Pēc fenšui, ja tie ir dažādi klienti, tad tikai un vienīgi ir loģiski katram savu rūtinga tabulu, t.b. VRF.
 

[CosmosDC]

Pirms 17 minūtēm , DjUbuntu teica:

Pēc fenšui, ja tie ir dažādi klienti, tad tikai un vienīgi ir loģiski katram savu rūtinga tabulu, t.b. VRF.

Skaidrs ar Jums.

Pirms 17 minūtēm , DjUbuntu teica:

Man līdz tīkla inženierim ir tikpat tālu kā tev līdz speciālistam.

Mana specialitāte nekādi nav saistīta ar tīkliem, tas tiesa. Bet man pietiek prāta nerakstīt interneta forumos par lietām, par kurām nav nekāda saprašana pat hobija līmenī, pietam apriet pilnīgu svešus cilvēkus, pašam beigās paliekot par muļķi. 😁

[uldii12345]

pirms 2 stundām , mafijs teica:

vlan tādā gadījumā uz komutatoriem jāveido ar "switch chip" palīdzību un vienu bridge, jā, grūtāk, galva jāpalauza mazliet, bet hardware ofload būs visiem vlan.

Un es joprojām saku, ka vlan ir vajadzīgs tikai tajā gadījumā., ja pa vienu fizisko portu / kabeli jālaiž dažādi subneti.

Ir jau jāpalaiz, managenent savs, lan portiem savs un wifi vēlams savu. Tomēr wifi ir lielākais drošības risks.😁

 

Starpcitu tagad (ros 7.1.1)  hex ir hardware offload, izmantojot bridge vlan filtering, kā crs 3. sērijai.

 

[mafijs]

WiFi jātaisa ar CAPsMan , un bez "local forwarding" , tad nekādi vlan uz wifi AP nebūs vajadzīgi. CAPsMan jau pats izveido šādā gadījumā "tuneli" no AP Wifi interfeisa līdz bridžam, kur CAPs interfeisi apvienojas.