LINUX.ORG.RU
ФорумAdmin

Изолировал ли я подсеть или просто верчу кренделя?

 , , ,


0

1

Здравствуйте

Впервые в жизни настраиваю маршрутизацию. Не уверен, что делаю всё правильно

Ситуация такова. В кафе висит GPON-роутер от ростелекома. На выходе роутера локальная сеть 192.168.88.0/24. И изменить в нем особо ничего нельзя. В веб-интерфейсе многое захардкожено и попрятано. Но не в этом суть

В локальную сеть подключил Микротик. Настроил на нем изолированную подсеть (10.0.0.0/24) для раздачи вай-фая посетителям. Вроде-как изолировал. Вроде-как внешние и внутренние клиенты недоступны изнутри 10.0.0.0. Но меня терзают сомнения, что я сделал всё правильно, т.к. во всех мануалах по гостевой сети на Микротик делают NAT. А у меня-то без NAT и я пока не понял зачем он мне.

В общем, буду рад, если подскажете, дадите советов как вообще делать правильно

Ниже привожу конфиг микротика. Настройки DHCP-сервера сети 10.0.0.0 и параметры wlan удалил чтобы не загромождать

/interface bridge
# В этот мост будем класть интерфейсы внешней сети 192.168.88.0/24
  add name=External
# В этот мост будем класть интерфейсы внyтренней сети 10.0.0.0/24
  add name=Internal

/ip address
# Адрес моста Internal
  add address=10.0.0.1/24     interface=Internal network=10.0.0.0
# Адрес моста External
  add address=192.168.88.3/24 interface=External network=192.168.88.0

# Добавляем интерфейсы в мосты
/interface bridge port
  add bridge=Internal interface=ether1
  add bridge=Internal interface=wlan1
  add bridge=External interface=ether5

# Шлюз по-умолчанию - роутер ростелекома
/ip route
  add distance=1 gateway=192.168.88.1

# Блокируем пакеты, адресованные во внешнюю сеть
/ip firewall filter
  add action=drop chain=forward dst-address=192.168.88.0/24

# Блокируем пакеты, адресованные во внутреннюю сеть
/interface bridge filter
  add action=drop chain=forward dst-address=10.0.0.0/24 mac-protocol=ip
★★★★★

Последнее исправление: makoven (всего исправлений: 1)

Ответ на: комментарий от Deleted

Вланы когда-нибудь тоже освою. Не сегодня, так через год) А с вышеприведенной конфигурацией что не в порядке?

makoven ★★★★★
() автор топика
Последнее исправление: makoven (всего исправлений: 1)

непонятны две вещи:

  • что хотел получить
  • причем тут линукс (в том смысле, что здесь какой-то особый формат конфигов роутера, и вряд ли он широко известен линукс-админам; может надо спрашивать на профильных форумах по микротику?)
anonymous
()
Ответ на: комментарий от anonymous

Да, да, вся засада в том что у микротика свои копротильный термины известные только микротик-админам.

anonymous
()
Ответ на: комментарий от Deleted

Это и есть «вланы» в их простейшем виде. Тут каждый порт — отдельный интерфейс.

intelfx ★★★★★
()
Ответ на: комментарий от anonymous

ну, раз ты такой умный и все понял, то почему не ответил по-существу?

anonymous
()
Ответ на: комментарий от anonymous

что хотел получить

Чтобы посетители могли выходить в интернет, но не могли лазать по локальной сети 192.168.88.0 и 10.0.0.0

причем тут линукс

Микротик довольно популярный, в том числе и здесь. А файрвол обычный iptables. Конфиг, по идее, должен быть понятен и неискушенному линукс-сисадмину. Да и суть не в конкретном роутере, а в построении сети

makoven ★★★★★
() автор топика
Последнее исправление: makoven (всего исправлений: 1)
Ответ на: комментарий от makoven

Чтобы посетители могли выходить в интернет

т.е. я правильно понимаю, что ты этого добился (читай проверил на практике каким-то реальным wifi-клиентом доступ в инет через твой роутер), при том что NAT на роутере у тебя не включен, т.е. работает обычный роутинг, а провайдер про твою сеть 10.0.0.0/24 ничего не знает?

Конфиг, по идее, должен быть понятен и неискушенному линукс-сисадмину.

ну да, все слова знакомые, но что они точно означают в контексте микротика сходу догадаться невозможно, если с ним не работал

Да и суть не в конкретном роутере, а в построении сети

ну и объясняй тогда общими терминами, а не кусками специфичных конфигов

anonymous
()
Ответ на: комментарий от anonymous

при том что NAT на роутере у тебя не включен

NAT есть на GPON-роутере. Клиенты микротика по DHCP получают адрес из 10.0.0.0/24 и default GW 10.0.0.1. То-есть весь нелокальный трафик приходит на микротик, тот затем маршрутизирует его на GPON-роутер (192.168.88.3). После чего этот GPON делает трансляцию пакета, у которого src-address не из его родной локальной подсети (192.168.88.0) а из 10.0.0.0 (уж не знаю можно ли так, но всё работает).

Главный вопрос - две последние строки конфига, реально ли они изолируют посетителей от локальной сети GPON-роутера и друг от друга или я чего-то не учел и изобретенную мною «изоляцию» обойти раз плюнуть?

ну и объясняй тогда общими терминами, а не кусками специфичных конфигов

Так я и объяснил перед конфигом. Вроде подробно

makoven ★★★★★
() автор топика
Последнее исправление: makoven (всего исправлений: 6)
Ответ на: комментарий от makoven

NAT есть на GPON-роутере. Клиенты микротика по DHCP получают адрес из 10.0.0.0/24 и default GW 10.0.0.1. То-есть весь нелокальный трафик приходит на микротик, тот затем маршрутизирует его на GPON-роутер (192.168.88.3). После чего этот GPON делает трансляцию пакета, у которого src-address не из его родной локальной подсети (192.168.88.0) а из 10.0.0.0 (уж не знаю можно ли так, но всё работает).

сомневаюсь:
во-первых, с какого перепуга gpon-роутер будет NAT'ать чужие адреса, про которые он ничего не знает?
во-вторых, даже если он почему-то так сделает, то при обратной трансляции ответных пакетов, их dst-адреса окажутся из сети 10.0.0.0/24, и они будут проходящими через микротик и т.о. аккуратно попадают в твой фильтр из последней строки конфигурации, и должны быть задропаны

но раз ты говоришь, что wifi-клиенты работают, то вангую, что на микротике тоже работает NAT

anonymous
()
Ответ на: комментарий от anonymous

с какого перепуга gpon-роутер будет NAT'ать чужие адреса, про которые он ничего не знает?

Я не знаю. По-идее, какая GPON-роутеру разница из какой подсети пришел пакет. Его дело простое - заменить src-адрес на роутеровский, и затем в обратную сторону

аккуратно попадают в твой фильтр из последней строки конфигурации

Кстати да. Странно, что интернет при этом работает. Ната на микротике точно нет

makoven ★★★★★
() автор топика
Ответ на: комментарий от Turbid

Речь о том, что в конфиге написано? Нет. В бридже Internal только wlan и Ether1 для проверки. А ростелекомовская сетка подключена к порту Ether5, который в бридже External

makoven ★★★★★
() автор топика
Ответ на: комментарий от makoven

Его дело простое - заменить src-адрес на роутеровский, и затем в обратную сторону

ага, и когда dst-адрес ответного пакета после обратной трансляции оказывается из сети 10.0.0.0/24, про которую GPON ничего не знает, как ты думаешь, куда он должен послать этот пакет?

anonymous
()
Ответ на: комментарий от anonymous

Забыл сказать. На GPON-роутере статический маршрут прописан: форвардить пакеты с dst-address 10.0.0.0/24 на микротик (10.0.0.1)

makoven ★★★★★
() автор топика
Последнее исправление: makoven (всего исправлений: 2)
Ответ на: комментарий от anonymous

Ой, соврал немножко не тот ip-адрес микротика: На GPON-роутере статический маршрут прописан: форвардить пакеты с dst-address 10.0.0.0/24 на микротик (192.168.88.3)

makoven ★★★★★
() автор топика
Ответ на: комментарий от anonymous

то при обратной трансляции ответных пакетов, их dst-адреса окажутся из сети 10.0.0.0/24, и они будут проходящими через микротик и т.о. аккуратно попадают в твой фильтр из последней строки конфигурации, и должны быть задропаны

Кажется, это потому, что последнее правило это какой-то особый bridge-файрвол. Он применятется только к пакетам ходящим внутри бриджа. И не применяется к маршрутизируемым пакетам

makoven ★★★★★
() автор топика
Ответ на: комментарий от makoven

GPON-роутер от ростелекома
Микротик. Настроил на нем изолированную подсеть (10.0.0.0/24)
а провайдер про твою сеть 10.0.0.0/24 ничего не знает?
Забыл сказать. На GPON-роутере...
Ой, соврал...

да за такое... :)

anonymous
()
Ответ на: комментарий от anonymous

Ну блин, извини, чувак. У меня тут уже час ночи. Я уже вторую неделю за**чиваю эти гребаные сети. Да гребаный Си проще чем эти наты-**яты. То ли я тупой, то ли это всё действительно настолько сложно, я не знаю. Протупил немного, с кем не бывает)

makoven ★★★★★
() автор топика
Последнее исправление: makoven (всего исправлений: 1)
Ответ на: комментарий от anonymous

А еще шэйпинг и блокировку портов настраивать. Я ж свихнусь

makoven ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.