LINUX.ORG.RU
решено ФорумAdmin

Как разделить подсети LAN1 от LAN2

 ,


2

1

Всем привет!

Предположим есть роутер на *nix в нем есть три интерфейса. На LAN и WIFI настроены по сервису DHCP раздающие IP-адреса клиентам этих сетей

WAN - PPPoE
LAN - 192.168.1.0/24
WIFI - 10.10.132.0/24

Интернет нужен в сетях LAN и WIFI, но сеть WIFI не должна видеть сеть LAN. Тоесть:пакеты из сети WIFI не могут быть переданы в сеть LAN, даже если клиент в сети WIFI пропишет себе руками IP адрес из сети LAN.

Проще всего конечно iptables, простое правило типа такого решает:

iptables -A Forward -d WIFI -s LAN -j DROP

Или все таки тегировать порты? тогда все клиенты подключенные к сетям WIFI и LAN не будут видеть друг друга ни при каких обстоятельствах. типа так:

WAN - TAG 11,12
LAN  - TAG 11
WIFI  - TAG 12

Какой способ правельнее? Как организовать такую схему? Что использовать TAG? Роутинг? IPTables?

P.S.: роутер на *nix скорее всего mikrotik 750 :)

Ответ на: комментарий от fordiego

Кстати, в настройках WI-FI роутера еще должен быть пункт Isolated AP или что-то такое.

fbiagent ★★★ ()
Ответ на: комментарий от zolden

То есть для разделения сетей я должен сделать так:

изначально есть сеть WAN - PPPoe

делаю сеть LAN - 192.168.1.0.24

делаю сеть WIFI_VLAN например с VLAN ID = 11 и присваиваю ей сеть IP 10.10.132.0/24

в итоге получаю три сетки PPPoE LAN - 192.168.1.0.24 WIFI_VLAN - 10.10.132.0.24

Все верно? теперь надо допереть как сеть LAN раздать на физическом порту ETH0, а сеть WIFI_VLAN раздавать на порту WIFI :)))

fordiego ()
Ответ на: комментарий от fordiego

Я признаюсь не очень понял твою схему и задачу, а также не знаю, что твой рутер умеет
Надо товарищей из первых комментариев просить, возможно у них времени побольше
Если у тебя разные VLANы, то IP подсети, работающие поверх могут быть даже одинаковыми

zolden ★★★★★ ()
Ответ на: комментарий от fordiego

VLAN тэгирует конкретный порт, а не сеть. Поэтому, делай, как писал выше.

WAN - TAG 11,12
LAN  - TAG 11
WIFI  - TAG 12

fbiagent ★★★ ()

шо за бред? влан - это по сути «физическое» разделение сетей, у тебя они и так физически на разных интерфейсах, зачем что-то тегировать, от этого ни холодно ни жарко.

А запрещаешь все правилом

iptables -A Forward -i wlan0 -o eth0 -j DROP

swelf ()

VLAN-балбесов не слушай. просто отключаем роутинг между двумя подсетями. как это делается в твоем роутере - сам смотри, возможно что действительно только иптаблес.

anonymous ()
Ответ на: комментарий от anonymous

то есть я отключаю на роутере динамическую маршрутизацию и делаю статические маршруты между интерфейсами

LAN - WAN WIFI - WAN

а соответсвенно LAN-WIFI не делаю )) так чтоли?

fordiego ()
Ответ на: комментарий от fordiego

каша-маша, какая динамическая маршрутизация, ты о чем вобще? она у тебя статическая. А вобще возьми да протестируй, то что настроишь, iptables, или как там у тебя.

swelf ()
Ответ на: комментарий от swelf

решил пойти по самому простому и правильному решению с помощью правила iptables

fordiego ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.