Маршрутизатор Mikrotik и 3 сети. Возможно?

Question

[Евгений]

В организации имеется 3 сети:

1. Сетка провайдера 5.44.12.0/24 (условно)
2. Основная сеть предприятия 10.10.1.0/16
3. Сеть видеокамер 10.10.5.0/24.

Нужно сделать так, что сети 2 и 3 видели друг-друга (маршрутизировались) и обе имели доступ в сеть 1 (интернет-провайдер).

Я правильно понимаю, что для этого мне нужен роутер с 3 портами и иначе никак? Если приобрести маршрутизатор MIKROTIK RB3011UIAS-RM, то там же можно такую схему настроить?

Comments

[Wexter]

10.10.1.0/16

а не 10.10.0.0/16?

[Евгений]

Wexter, а, ну да... Точно вы подметили.

Answer 1

[Vladimir Zhurkin]

Я правильно понимаю, что для этого мне нужен роутер с 3 портами и иначе никак? Если приобрести маршрутизатор MIKROTIK RB3011UIAS-RM, то там же можно такую схему настроить?

Да все верно. 3 порта у вас будут заняты.
Только есть один момент, скорость между сетками у вас будет 1gb.
Второй момент, что 3011 имеет сразу два switch и вы можете обе сетки раскидать по разным switch chip.

Ну или как выше предложили, использовать vlan, хотя я думаю если вы не планируете расширяться, то можно их не использовать.
Будите использовать, то делайте vlan через switch chip.

Answer 2

[Александр Семененко]

Возможно сделать. Самый простой способ:
eth1 - интернет
eth2 - локалка 1 (dhcp - пул1)
eth3 - локалка 2 (dhcp - пул1)
по умолчанию локалка1 и локалка2 свободно маршрутизируются, и ходят друг к дгугу и в интернет. Далее фаерволом настраиваете, как и что должно ходить. Допустим из локалки 1 в локалку 2 разрешены определенные порты.

По умолчанию все сети маршрутизируются в MikroTik, появляются коннект маршруты.

Answer 3

[Gansterito]

У Вас сети 10.10.1.0/16 и 10.10.5.0/24 пересекаются. Точнее, вторая входит в состав первой. Это чревато....
Можно обойтись одним портом на Mikrotik в сторону локальной сети. В этом случае на интерфейсе будут висеть две подсети, а все устройства в локальной сети не будут изолированы на L2-уровне (все будут находится в одном сегменте Ethernet). Но это не красиво (фу-фу-фу).
Лучше, конечно, поставить управляемые коммутаторы, разделить сегменты по разным VLAN, сделать DMZ (если в нем есть необходимость), настроить Loopback detection, DHCP spoofing, политики безопасности, политики QOS и т.д., и т.п.

Answer 4

[CooL_RusH]

я балдею от советов, хотя может 2 года назад это и было актуально... а нынче всё делается одних из следующих путей (на самом деле нюансов тут очень много):
бриджа не должно быть между 2 и 3
варианты решения:
1. Микротик должен быть шлюзом и раздавать DHCP в обе сети со включенной галочкой add default forwarding.
2. Микротик является шлюзом, все устройства на статике и вы руками прописывает rout для всех 3х сетей, да в данном случае их 3 ( 1 внешняя сеть, 2 локалка по 16 маске, 3 локалка по 24 маске).
Vlan не нужны если есть 2 физически разных свича(да и по деньгам это на много дешевле выйдет если честно). Если все же хочется 1 свич, то нужен свич l2 далее всё рулится через Vlan, только портов уже надо будет 2, хотя можно и 3, при правильной настройке l2, петли там не будет, а пропускная способность подрастет, но как по мне это ненужная дичь если порты у вас например 1gb/s, а камер к примеру меньше 30 шт и все они 4к в h264+/h265+ с непрерывной записью. Но если камер много и они гавёные, я бы камеры разделил на группы по 4/8шт на vlan и естественно сетей было бы больше при таком раскладе ( у мена работе этих сетей к пример 300+ и каждая маршрутизируется по своему собственному правилу).