Как изолировать домашнюю сеть от устройств провайдера?

Question

[Алексей]

Купил квартиру и подошел к моменту подключения интернета. В доме пара провайдеров, выбор пал на провайдера с оптоволокном. Провайдер поставил в подъезде следующий терминал: eltex ntu 2w. Пришло время настроить домашнюю сеть. Сначала купил один роутер (Mikrotik hap ac2), установил его в входной группе квартиры и подключил к терминалу. Немного попользовавшись понял, что wi-fi не покрывает всю квартиру. Купил себе второй такой же микрот. Настроил capsman между двумя роутерами (бесшовный роуминг). Все работает. Но после настройки capsman получилось так, что все устройства пробросились на терминал провайдера. Роутеры подключены между собой последовательно. От терминала провайдера кабель приходит в ethernet (1 порт) одного микрота и следующий микрот подключен к первому микроту так же через первый порт. Так вот после настройки capsman у меня устройства начали получать айпишник от dhcp сервера провайдерского роутера. Хотелось бы, что бы терминал провайдера вообще ничего не знал о моих домашних устройствах. Хочу , что бы домашние устройства и второй микрот получали айпишники от первого микрота. Куда копать, что гуглить?

Answer 1

[hint000]

на первом Микротике первый порт вытащить из бриджа;
на бридже задать статический адрес из другой приватной сети;
поднять DHCP-сервер;
поднять NAT, чтобы ethernet1 выполнял роль WAN-интерфейса.

Comments

[Алексей]

Спасибо за ответ! В пункте 2 понимается статический ip от сети терминала провайдера, верно я понимаю?

DHCP и NAT поднимаю на первом микротике?

[Алексей]

Так же хотелось бы иметь доступ к терминалу провайдера, что бы удаленно можно было его перезагрузить.

[hint000]

Алексей,

В пункте 2 понимается статический ip от сети терминала провайдера

Нет, терминал как раз выдаёт по DHCP - и пусть продолжает выдавать, этот адрес будет на первом порту. А я говорю про бридж, в котором уже нет первого порта. Бриджу надо дать адрес из другой сети, чем у терминала. Например, терминал выдаёт 192.168.1.100, а на бридже ставите 192.168.88.1. DHCP поднимаете здесь же на бридже, пусть он раздаёт из диапазона 192.168.88.100 - 192.168.88.200.
NAT здесь же, все изменения только на первом Микротике.

Так же хотелось бы иметь доступ к терминалу провайдера

А сейчас имеете доступ к терминалу? Если имеете, то он останется, если не будет явных ошибок в настройке микротика. Ничего специального не требуется делать для такого доступа.

[Алексей]

hint000, сейчас имеется. Все устройства в сети получили ip от dhcp сервера терминала. 192.168.1.х.

[Алексей]

hint000, Спасибо Вам! Все сработало. Пока ковырялся в настройках и дословно разбирал ваши советы, чуть разобрался в принципе в настройках RouterOs. Все как Вы и говорили, доступ к терминалу так же сохранился. Только вот после всех настроек на первом микроте, получилось так, что устройства, которые подключены к второму микроту продолжали получать адрес 192.168.1.х (Так и не понял кстати почему). На втором микроте перевел из wan в lan порт ethernet1 и на первом микроте в настройках dhcp сервера задал ему статический ip, после чего устройства начали получать корректные ip.

P.S Затянул с настройкой по времени так как уезжал в отпуск))

Answer 2

[Drno]

Или как указали выше, доступ до терминала прова Вы будете иметь, надо только в фаерволе его разрешить будет

Или - переводим терминал прова в режим "моста". А все соединения поднимаем на первом мироктике. Тоесть соединение инета к провайдеру и всё остальное(как на обычной витой паре)

Answer 3

[Интернет]

NAT - вот это и есть изоляция.