Как сделать изолированные друг от друга сети vlan с доступом в wan?

Question

[deyen]

Имеется сеть в здании с кабинетами.
В этой сети главный роутер Mikrotik (RouterOS level 4) и коммутаторы D-link DES-1252.
Это сеть неуправляема, на микротике поднят pppoe сервер и офисы для выхода в сеть каждый компьютер в каждом кабинете должен подключаться по pppoe, микротик ip-адреса не выдает и сам локального ip-адреса не имеет на порту, т.е. просто на уровне L2 раздаёт инет по pppoe.

В каждом кабинете от 1 до 4 розеток Ethernet, хочется сделать так, чтобы некоторые кабинеты были со своей подсетью с доступом в WAN и без доступа к другим подсетям. А другие кабинеты продолжили использовать pppoe.
Например, кабинет 21 подсеть 10.0.21.0/24, кабинет 32 подсеть 10.0.32.0/24, кабинет 33 без подсети только pppoe. Как я понял, VLAN позволяет это сделать. Сейчас на коммутаторах везде по-умолчанию VLAN1, в котором все порты untagged.
А всего у каждого порта три режима: tagged, untagged, not member.

Я создал vlan2 и добавил туда три порта untagged (а в vlan1 сделал их not member), в итоге для хостов на этих портах появилась своя l2 сеть.

Но вот как сделать так, чтобы эта сеть видела микротик, но при этом не видела хосты из других vlanов, а микротик был для этой роутером(NAT), dhcp-сервером и шлюзом в Интернет непонятно. Так же может иногда потребоваться разрешить L3 трафик между несколькими кабинетами по выбору, это было б удобно делать с помощью разрешающих правил фаервола у Микротика.

Как правильно это реализовать?

Answer 1

[fara_ib]

На ютубе есть видео в котором описана схема подобная вашей (роутер на палке) https://www.youtube.com/watch?v=peJc8pM7duY только там в качестве маршрутизатора или ядра сети выступает pfsense. По настройке вланов в различных конфигурациях есть книга:

Тут вам подойдет про pppoe как раз ваша тема в связке с pfsense то что вам и нужно.

и продолжение:

а асимметричные вланы для "Но вот как сделать так, чтобы эта сеть видела микротик, но при этом не видела хосты из других vlanов".

Answer 2

[d-stream]

Упрощенно можно рассматривать vlan как отдельные кабельные сети со своими коммутаторами.
Термины у разных коммутаторов могут отличаться, поэтому попробую обобщенно:
порты к которым подключены конечные хосты - будут членами каких-то конкретных vlan, а порты коммутатор-микротик - будут включать в себя все vlan
останется на микротике на портах к коммутаторам прописать эти vlan и настроить для них нужные правила

Покуда микротик будет лишь пропускать или нет компы в internet - все будет хорошо. Но как только захочется гонять что-то между компьютерами из разных vlan - микротику придется заняться маршрутизацией и тут боливар станет задыхаться....

Решение есть - либо более мощный маршрутизатор, либо L2+/L3 коммутатор - тот умеет маршрутизировать пакеты со скоростью коммутации (правда и гибкость в плане маршрутизации поменьше, но как минимум acl обычно все умеют)

Answer 3

[Drno]

Чтобы не виделись сети - ip>routes, там вроде 3 вкладка. Пропишите от какой подсети , до какой - и поставьте унречабл

Answer 4

[AntHTML]

Мой вариант:
На микротике насоздавать VLANов с обычной маршрутизацией через nat, а не pppoe. в каждый vlan забросить dhcp.
Пробросить все на dlink-и и там либо ручками прописать на порты, либо (в идеале) если кабинетов/пользователей много, то поднять radius и пускай свичи по 802.1x сами всех раскидывают. В принципе также можно скриптами прописать и генерацию сетей на mikrotik-е.
Подобные схемы иногда используют мелкие провайдеры.