Как настроить видимости и изоляции внутренних влан на mikrotik?

Question

[edh_krusher]

Есть три влана внутри сети 1,2,3,4
1 управление
2 админский
3 камеры
4 сетка компании.
Влан 2,4 дхцп от микротика. Остальные статика.
Как сделать так чтобы 4 влан не видел первые 3.
2 влан видел все вланы?)) вот с соединением не могу разобраться, вбиваю правила в firewall rules но почему то из 2 влана никого все равно не видно. Как это все настроить через firewall rules? Надо чтобы из влана 2 могли уходить и smtp и icmp и tcp и arp запросы.

Comments

[Дмитрий]

для клиентов этих виланов микротик является шлюзом по умолчанию?

[edh_krusher]

Дмитрий, для сети и есть выброс из управляющего влана. 3 пусть будет изолирован от инета.

[Дмитрий]

edh_krusher, шлюз по умолчанию нужен не только для инета.

Answer 1

[Дмитрий Шицков]

1. По умолчанию все vlan видят всех. Если это не так - проблемы в маршрутизации, а не Firewall
   
2. Пишите разрешающие правила где, например разрешающее правило в forward с source interface vlan2. Добавляете все прочие разрешающие правила, такие как доступ в интернет с этих vlan, или скажем, ращрешаете vlan 2 ходить в vlan 3. В конце делаете правило drop. Соответвенно все, что не будет разрешено выше, будет запрещено
   

Comments

[edh_krusher]

Дмитрий Шицков То есть накидываю вланы на интерфейс. Создаю их на микротике. Запускаю ДХЦП. И по умолчанию все вланы видят друг друга, если не оговорено правилами выше? или какие то настройки пропустил? надо ли вланы загонять в бридж? надо ли может быть настроить ip>route а затем уже правила. Или по умолчанию все работает "из коробки"? и тогда у меня получается нужно правила смотреть? Опять в чем разница между forward и input в настройке правил? Там просто до меня настроено все как то, но злых дропов особо нет, а скидывать не вариант, так как сеть живая, если что упадет, будет не хорошо :))

[Дмитрий Шицков]

edh_krusher, vlan в бридж не надо (хотя возможен такой вариант конфигурации с vlan aware bridge, но я его не умею готовить). По умолчанию роутер будет маршрутизировать трафик между vlan. Дополнительные роуты не нужны - роутер и так сидит между всеми этими сетями.
forward - это тот трафик, который идёт через роутер (большая часть трафика) - из одной сети в другую.
input - трафик идущий на роутер - пакеты адресованные именно роутеру, такие как winbox-подключение, ssh, web-proxy, dns и т.п. - те сервисы, которые работают на роутере.

И используйте кнопку Safe Mode чтобы живую сеть не завалить.

[edh_krusher]

Дмитрий Шицков, Спасибо за инфу! А то статей 20 перерыл и везде одно и тоже, без ответов на мои вопросы. В принципе так и думал, просто голову бриджами запудрили в одной статьей, я и подумал, что к микротику это надо тоже сделать. )) В моем случае значит надо все правила пересматривать, какое то из них видимо и блокирует траффик. Кстати не скажете, тут active directory еще запущен, он может влиять на L2, L3? или он только себя защищает? настройки карты политикой не заблокированы.

[Дмитрий Шицков]

edh_krusher, active directory вообще тут никаким боком и, тем боллее, даже себя не защищает)
Из одной подсети в другую если идут запросы, настроенный по умоляанию фаервол в windows может дропать трафик из чужой подсети.