Маршрутизация между VLAN на одном порту в Mikrotik?

Question

[Александр]

Добрый день! Подскажите, на порту Микротика у меня создано два влана. Поднял для них DHCP и отправил на коммутатор. Проверил с коммутатора - всё хорошо, адреса получаю в соответствии с необходимым вланом. Далее сделал на каждый влан NAT - появился интернет соответственно и пошли пинги из одного влана в другой, но мне нужно отрезать сеть X от сети Y, а сеть Y должна спокойно ходить в сеть X. Начал делать правила в Firewall, но как только сделал одно правило на запрет проходящего трафика из сети X в Y пакеты перестали ходить в обе стороны. Попробовал сделать разрешающее правило на прохождение пакетов из Y в X, но пинги не идут, однако количество пакетов в статистике правила увеличивается, значит правило отрабатывается.

С вланами имею дело впервые, уверен что делаю что-то не так, просьба подсказать на мои ошибки и как реализовать данную схему?

Comments

[Axian Ltd.]

Уточните, у вас VLAN получают адреса из разных подсетей или из одной?

[Александр]

Axian Ltd.: из разных

[Axian Ltd.]

Правила запрета X от Y покажите пожалуйста

[Александр]

chain=forward action=drop src.adr=x/24 dst.adr=y/24 как то так, сейчас в дороге, пишу на память с тлф :)

Answer 1

[Александр Романов]

Достаточно, по сути одного правила.

/ip firewall filter add chain=forward in-interface=vlanX out-interface=vlanY connection-state=new,invalid action=drop

И объясните, зачем Вам маскарад? Две сети на одном роутере прекрасно будут работать без него, если Вы ещё чего-нть там не накостыляли.
С точки зрения Микротика, вланы -- обычные интерфейсы. Они ничем не отличаются от любых других интерфейсов, и маршрутизация происходит так же. Соответственно, в фаерволе разрграничения вводятся абсолютно в полном соответствии с логикой происходящего.

Comments

[Александр]

Маскарад нужен чтобы люди ходили в интернет из этих сетей. А как иначе? Есть еще какие-то варианты? С удовольствием почитал бы.

[Александр Романов]

Александр Сергеевич: Маскарадинг обычно делается на out-interface в сторону провайдера. Нет нужды делать на каждую подсеть

[Александр]

Александр Романов: т.е. в конфиге я тупо пишу маскарадинг на выход без указания подсетей?? если так, то да, одного хватит. Просто никогда не приходилось маршрутизировать несколько сетей, потому указывал подсеть явно.

Answer 2

[Руслан Федосеев]

пинг из сети Х в сеть У - ответы на пинг идут из сети У в сеть Х, и соответственно попадают под ваше правило запрета.

Вам надо запретить прохождение tcp syn пакетов из сети У в сеть Х, это закроет возможность установить соединение из сети У в сеть Х, но наоборот будет возможно. Пинг при этом будет ходить в обе стороны, и udp будет ходить в обе стороны.
Более детально - почитайте как работает TCP протокол

Comments

[Александр]

т.е. полностью обрубить возможность какого-либо доступа их одного влана в другой я не могу? Или рублю всё, или рублю частично, чтобы была возможность ходить из одной сети в другую?

[Руслан Федосеев]

а как вы себе это представляете?
есть еще фильтрация по related пакетам, она вам тоже может помочь

[Александр Романов]

tcp-syn -- слишком узко. У МТ есть гораздо более удобное управление состояниями подключений

[Руслан Федосеев]

udp\icmp и прочие протоколы без поддержки соединения сможет?
Так что все равно оно сводится к syn пакетам....

Answer 3

[Виктор Бельский]

Перед drop, сделайте разрезающее правило для хождения из X в Y, но в Connection State укажите Established и Related, это даст возможность получить ответы на пакеты, которые были посланы из сети Y.

Answer 4

[Александр]

Всем спасибо за ответы, прояснил ситуацию. Для себя решил сделать следующее - ограничил сети между собой, а один компьютер сделал исключением, чтобы он мог ходить в любые сети. В принципе это мне и было нужно.

Comments

[Obsession]

костыльно, но действенно, конфиг бы в студию, мне кажется гдето порядок по правилам нарушен, собсно из-за него и не завелось в первый раз.