@2val2

Изоляция трафика между VLAN Mikrotik. Правила фильтрации не срабатывают. Возможно есть какой-то другой способ?

На Микротике VLAN настроены по "современной" модели - как здесь - https://soft-setup.ru/oborudovanie/vlan-bridge-na-... - с использованием 1 (одного) бриджа.

ether1, 2 - WAN порты
ether3 - тегированный порт для VLAN30, 100
ether4 - тегированный порт для коммутатора с VLAN40, 100
ether6 - access порт (данный порт будет предоставляться стороннему лицу, поэтому хочу закрыть ему доступ).

Bridge: Bridge1_vlan

Примеры правил в бридже:

Bridge VLAN 120

tagged: bridge1_vlan
Untagged: ether6

Bridge VLAN 40

tagged: ether3
ether4
bridge1_vlan

Bridge VLAN 100

tagged: ether3
ether4
bridge1_vlan

В портах бриджа прописаны PVID на интерфейсах.

Все работает нормально, на Микротике есть транковые порты (которые передает тегированные вланы в другой коммутатор на порты доступа) так и порт доступа на самом микроте (ether6). В общем трафик "бегает" по всем направлениям.

Проблема в том, что не получается изолировать созданные вланы между собой.

Допустим, мне нужно изолировать доступ из access порта микротика ether6 (в котором крутиться 120vlan), чтобы не было доступа до 40, 100 vlan.

Да, я понимаю, что по указанной выше схеме все вланы заводятся в один бридж и соответственно поэтому они видят друг друга. Но ведь так сейчас многие статьи рекомендуют разводить на виланы, а вот как изолировать между собой ни в одной статье не говорится...

Пробовал создавать правила в IP - Firewall, для цепочки Forward, которое бы дропало (DROP) Src.Address = 10.10.120.0/30 Dst. Address = 10.10.40.0/24 и тд, но не помогает, как пинги шли - так и идут, ресурсы из 40, 100 вилана доступны для 120 вилана, также и сканер сети выдает все на блюдечке.

В какую сторону копать?

P.S. IP - Routes - Rules - не срабатывают кстати тоже.
  • Вопрос задан
  • 2731 просмотр
Пригласить эксперта
Ответы на вопрос 2
Keffer
@Keffer
ICANN
Но ведь так сейчас многие статьи рекомендуют разводить на виланы, а вот как изолировать между собой ни в одной статье не говорится...


Забудьте об этом раз и на всегда. И используйте старый добрый способ навешивания виланов на порт, без бриджа. Проверено и гарантия на 146% полноценной работы. Тот кто придумал развешивать на бридже виланы - идиот клинический.
Ответ написан
Комментировать
@paxlo
/ip f f add chain=forward action=drop in-interface=all-vlan out-interface=all-vlan place-before=0
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы