Как ограничить доступ в сеть из сети за вторым роутером?

Question

[Александр]

Здравствуйте! Помогите разобраться в данной ситуации:

Есть роутер (А) на который приходит интернет, в его локальной сети стоит ещё один роутер (В) уже со своей локальной сетью. Т.к. шлюзом для роутера В является роутер А, то клиенты этой сети могут беспрепятственно ходить в локальной сети роутера А.

Вопрос, как ограничить их только своей сетью и оставить доступ в интернет?

Answer 1

[Сергей Петриков]

Если роутер умеет, то выделить порт с роутером (B) в отдельный VLAN и для него сделать отдельную подсеть и NAT тогда пересекаться сети не будут и будет работать как вы хотите, на более простых роутерах писать фаирвол, с IP роутера (B) запретить ходить на сети сроутера (А).

Comments

[Александр]

Первый - основной роутер А - Микротик, умная штука. Но остальные роутеры В тупые, аля DIR-300. Прикол в том, что сигнал к ним идёт не напрямую, а через кучу тупых свитчей... Разве в такой ситуации реально организовать VLAN для роутеров В?

По второму варианту, поясните, я так понял правила в фаирволе должны быть написаны именно на роутерах В? Или на микротике я пишу мол с, допустим, 192.168.1.20(ip роутера В) в сеть 192.168.1.0/24(сеть роутера А) не ходить?

[Сергей Петриков]

Kr1og5n: Вообще тупые свичи в своем большинстве не портят тег vlanа, так что можно попробовать, если конечный DIR-300 сможет его растегировать, но тут не уверен, базово скорее всего нет, ставить альтернативные прошивки, если роутеров много - геморрой. Если сеть маршрутизируемая, то на (А), если в пределах одного брудкаст домена, то на (В). Правило примерно такое, разрешить для 192.168.1.20 видеть только 192.168.1.1 (условно шлюз), остальную сеть запретить - ставится на (В), так как в пределах одного брудкаста трафик пойдет не через (А)