Как некоторым IP в сети дать доступ только в интернет?

Question

[Sekii]

Добрый день.
Есть ПК подключенные в один коммутатор (неуправляемый), который подключен к шлюзу - mikrotik.
Все ПК работают через DHCP mikrotik. Нужно некоторые ПК выпустить только в интернет, т.е. без доступа к внутренним ресурсам.
Понимаю, что нужно сделать две логические подсети и в roгte-rules запретить доступ из одной в другую, верно?
Что-то никак не соображу, как на одном интерфейсе сделать второй DHCP только для нужных IP? И нужно же как-то маскарад прописать для этих IP?

Подскажите пожалуйста, как это реализовать?
Спасибо.

Answer 1

[CityCat4]

Не можно. Пакет в локалку не попадет на микротик, он будет перепправлен непосредственно свитчом. Проще всего будет сделать, переключив нужное устройство (ва) на микротик, или, если их много - поставив еще один коммутатор, в котором собрать их всех и там уже просто правилами файрволла разрулить.

Answer 2

[AntHTML]

В принципе можно двумя подсетями разрулить
Пустить допустим 192.168.0.0/24 на локалку и 192.168.100.0/24 на только интернет
Но вторые компы в таком случае смотут видеть другдруга и если юзер поменяем ip-шник то сможет увидеть всех

Comments

[Sekii]

А вот как нужным ПК задать сеть 192.168.100.0/24 по тому же DHCP? Если их зафиксировать и изменить IP на 100 будет работать?

[AntHTML]

Sekii, По DHCP, в принципе, можно привязкой по MAC раздать адресацию

[Sekii]

AntHTML, Т.е. сделать статикой эти IP в DHCP, а затем сменить их на IP из подсети 100?