Как изолировать подсеть без VLAN на микротик?

Question

[Андрей Констрюнк]

Есть микротик ук которому подключён бухгалтерский сервер и несколько компьютеров. К нем у в порт№2 подключён роутер tp-link для раздачи интернета по вай фай.
Суть в следующем, как изолировать интерфейс№2 что бы он не имел выход в общую сеть, но что бы два компьютера которые подключены к вай фай могли достучатся до сервера. Хочу реализовать всё без VLAN

В порт №1 заходит интернет
В порт №2 подключён tp-link сеть 10.10.10.0/24
В порт №3 коммутатор
4 порт свободный
Все кроме первого и второго порт в бридже и все работает отлично

Сейчас второй порт вывел с бриджа отдельным интерфейсом, назначил на него DHCP сервер и прописал адреса, но сейчас ситуация, что через интерфейс все раздается но нет интернета.
В чём тоже может быть проблема?

Answer 1

[Гарри]

/ip firewall/address-list/add address="ПЕРВЫЙ АДРЕС КОМПА" list=allow
/ip firewall/address-list/add address="ВТОРОЙ АДРЕС КОМПА" list=allow
/ip firewall/address-list/add list=abc address=192.168.0.0/16
/ip firewall/address-list/add list=abc address=10.0.0.0/8
/ip firewall/address-list/add list=abc address=172.16.0.0/12
/ip firewall/raw add in-interface=ether2 dst-address=10.10.10.1 action=accept
/ip fire raw/add in-interface=ether2 src-address-list=!allow dst-address-list=abc action=drop

Примерно так

Comments

[Андрей Констрюнк]

Нашёл в чём проблема была, я ошибочно указал вместо address list в графе адреса саму сеть, и у меня dns раздавал 10.10.10.0
Исправил и всё заработало, теперь вопрос как сделать доступ что бы с 10й подсети могли только 2 адреса попасть в основную сеть?
То есть два ноута подключены к вай файю и получать ip из сети 10.10.10.0, но им нужно подключатся к бухгалтерскому серверу который находиться в основной сети микрота 192.168.0.0

Если я пропишу маршруты, то все смогут попасть в ту сеть, а как прописать маршрут только для двух ip?

Я думаю у тплинка не за натом, я на нём выключу dhcp сервер и кабель с микрота пойдёт в лан порт тплинка, что бы можно было контролить сеть и кто подключён

[Valentin Barbolin]

Андрей Констрюнк, доступ надо ограничить на firewall микротика

Answer 2

[TheBigBear]

Если конфигурация из Quick Set а не с нуля написанная и файервол настроен почти по-дефолту, то
Добавь в Interface List второй порт в LAN (сейчас скорей всего у тебя там LAN только бридж)

Comments

[Андрей Констрюнк]

Часть Quick Set, часть вручную.
Я добавил в Interface List , там на среднем фото слева сверху., но результата так и нет.

[Андрей Констрюнк]

Нашёл ошибку, описал выше в комментарии
Там же и задал новый вопрос
=)