Два изолированных WiFi + Vlan в mikrotik

Раздаем два разных WiFi с mikrotik, плюс пробрасываем VLAN в RouterOS.

Нужно из одного роутера раздать пользователям два разных WiFi, а именно, одно соединение работает в основной рабочей сети, а второе в качестве гостевого.

Условие 1: В данной ситуации наш роутер выполняет только функцию обычной точки доступа, в качестве основного шлюза служит сервер на котором происходит разделение основной рабочей и гостевой сети, каждая сеть имеет свой DHCP сервер.

Условие 2: Раздача должна происходить следующим образом: основная рабочая сеть — с полной защитой WPA/WPA2, гостевая сеть без всяких паролей.

Условие 3: К точке доступа нет возможности подвести более одного ethernet-кабеля.

Естественно, обычные домашние роутеры с таким вопросом не справятся в принципе, поэтому снова обращаемся к железу от mikrotik (ну люблю я эти железки).

В начале подготавливаю серверную часть: с основным каналом не делаю ничего, роутер в режиме точки доступа по умолчанию прекрасно раздает рабочую сетку, а вот гостевую сеть решил пробросить с помощью VLAN (Пусть будет с VlanID 254). Для справки, в качестве сервера используется Kerio Control, которая прекрасно эти самые Vlan-ы генерирует.

Следующие действия призвожу на самом роутере.

В режиме Quick Set создаю основной рабочий канал WiFi, отключаю все лишнее и задаю адрес роутеру:

Дальше необходимо создать новый интерфейс с нашим VLAN-ом:

Interfaces — VLAN, добавить (+)

Name: имя даем, какое нравится, это имя будет использоваться нами в дальнейших настройках, в поле VLAN ID прописываем номер нашего VLAN, интерфейс: выбираем тот физический порт, куда вставлен наш кабель

vlan mikrotik

Проверяем созданный интерфейс на вкладке Interface:

vlan mikrotik interface

На всякий случай, чтоб была возможность управлять устройством в изолированной подсети, дадим VLAN-интерфейсу адрес данной сети:

IP-Addresses, добавить (+)

vlan mikrotik

в моем случае сеть 192.168.98.0/24, первым адресом является сам сервер, поэтому сюда дадим второй адрес (192.168.98.2/24)

Теперь необходимо создать вторую WiFi сеть, также, мы же знаем, что по условию задачи, гостевая сеть должна быть безпарольной, поэтому сперва создадим новый профиль безопасности:

Wireless — Security Profiles, добавить (+)

Обзываем его как хотим и выбираем Mode: none

mikrotik wlan security

Дальше создаем сам интерфейс переключившись на вкладку: Wireless — Interfaces, добавить (+) выбираем Virtual, даем имя нашему новому интерфейсу и…

mikrotik wifi

… в этом же окне переключаемся на вкладку Wireless ну и заполняем как на картинке:

SSID — имя WiFi-сети, как назовете, так оно и поплывет в народ, главное, в нашем случае, изменить Securiy Profile с дефолтного на созданный нами ранее nokey и указать VLAN MODE: no tag и номер нашего VLAN

mirotik wireless

Теперь главное — наводим мосты чтоб все это заработало:

Переходим в пункт Bridge и соответственно на вкладку Bridge, строим новый мост (+):

mikrotik bridge

Дальше указываем между какими интерфейсами построим этот мост: переходим на вкладку Ports, жмем плюсик и.

указываем созданный нами гостевой беспроводной интерфейс, а также созданный нами мост:

mikrotik bridge port1

Снова жмем добавить (+) и указываем второй конец моста — это созданный нами VLAN-интерфейс и соответственно созданный нами мост:

mikrotik bridge port2

Вот собственно и все, ловкость рук и никакого мошенничества. Проверяем….например смартфоном

Источник

Mikrotik: настройка гостевого доступа к WiFi

Это обычная практика безопасности для настройки беспроводной гостевой сети в отдельной VLAN. Это позволяет полностью изолировать трафик между вашей частной и гостевой сетями. В этом руководстве будет рассказано только о том, как реализовать эту конкретную настройку на маршрутизаторах MikroTik со встроенным WiFi, таким как RB951, RB962 и т. Д. Прежде чем продолжить, я предполагаю, что частная беспроводная сеть уже существует и полностью функционирует. Кроме того, все скриншоты и инструкции в этом руководстве сделаны с использованием программного обеспечения MikroTik WinBox.

СОЗДАЙТЕ ПРОФИЛЬ БЕЗОПАСНОСТИ И ВИРТУАЛЬНУЮ ТОЧКУ ДОСТУПА

В Winbox выберите Wireless слева и перейдите на вкладку «Профили безопасности». Нажмите кнопку + (плюс), чтобы создать новый профиль безопасности. Я отключил WPA PSK, оставив включенным только WPA2 PSK. Также убедитесь, что вы установили безопасный / сложный пароль. Смотрите скриншот для деталей:

Mikrotik: настройка гостевого доступа к WiFi

После этого перейдите на вкладку «Интерфейсы WiFi», нажмите кнопку «+» (плюс) и выберите «Виртуальный» в меню. На вкладке Общие установите Имя для Виртуальной точки доступа, что-то описательное, например, WiFi-Guest. После этого перейдите на вкладку «Беспроводная связь» и установите SSID, профиль безопасности, режим VLAN и идентификатор VLAN. Идентификатор VLAN будет соответствовать интерфейсу VLAN, который мы будем создавать на следующем шаге. Смотрите скриншоты для более подробной информации:

Mikrotik: настройка гостевого доступа к WiFi

Mikrotik: настройка гостевого доступа к WiFi

СОЗДАЙТЕ ИНТЕРФЕЙС VLAN

В Winbox выберите «Интерфейсы» слева и перейдите на вкладку «VLAN». Нажмите кнопку + (плюс), чтобы создать новый интерфейс VLAN. Идентификатор VLAN равен «10», а интерфейс — «WiFi-гость». Это значения, которые были установлены на предыдущем шаге при создании виртуальной точки доступа. Смотрите скриншот для деталей:

ПРИМЕЧАНИЕ. MikroTik может использовать «Списки интерфейсов» (Winbox: Интерфейс> вкладка «Список интерфейсов») в некоторых правилах фильтрации брандмауэра. В этом случае вы можете либо не использовать списки интерфейсов, а использовать только интерфейсы, либо обязательно добавить новый интерфейс VLAN для гостевой сети в существующий список интерфейсов LAN. Если MikroTik использует списки интерфейсов и вы не добавляете интерфейс VLAN для гостевой сети в существующий список интерфейсов LAN, то гости смогут подключаться к сети, но не будут иметь доступа к Интернету. В частности, правило MikroTik по умолчанию, которое требует добавления VLAN для гостевой сети в список интерфейсов LAN, выглядит следующим образом:

Mikrotik: настройка гостевого доступа к WiFi

ПРИМЕЧАНИЕ. MikroTik может использовать «Списки интерфейсов» (Winbox: Интерфейс> вкладка «Список интерфейсов») в некоторых правилах фильтрации брандмауэра. В этом случае вы можете либо не использовать списки интерфейсов (требуются изменения правил фильтра брандмауэра), а использовать только интерфейсы, либо обязательно добавить новый интерфейс VLAN для гостевой сети в существующий список интерфейсов ЛВС (без фильтра брандмауэра). изменения правил необходимы).

Если MikroTik использует списки интерфейсов и вы не добавляете интерфейс VLAN для гостевой сети в существующий список интерфейсов LAN, то гости смогут подключаться к сети, но не будут иметь доступа к Интернету. В частности, правило MikroTik по умолчанию, которое требует добавления VLAN для гостевой сети в список интерфейсов LAN, выглядит следующим образом:

/ip firewall filter add action =drop chain =input comment = «defconf: drop all not coming from LAN» in-interface-list =!LAN

СОЗДАТЬ НОВЫЙ МОСТ

В Winbox выберите Bridge с левой стороны и перейдите на вкладку Bridge. Нажмите кнопку + (плюс), чтобы создать новый мост. Установите для имени моста значение «Bridge-VLAN10». Смотрите скриншот для деталей:

Mikrotik: настройка гостевого доступа к WiFi

После этого перейдите на вкладку «Порты» и нажмите кнопку «+» (плюс), чтобы добавить интерфейс к мосту. Этот шаг необходимо будет выполнить дважды, по одному разу для каждого интерфейса, добавляемого к Bridge-VLAN10. Добавьте интерфейс «Wifi-Guest» и «VLAN10» к мосту «Bridge-VLAN10». Смотрите скриншоты для более подробной информации:

Похожее:  Как настроить Смарт ТВ на телевизоре Самсунг через Wi Fi

Mikrotik: настройка гостевого доступа к WiFi

Mikrotik: настройка гостевого доступа к WiFi

НАЗНАЧИТЬ ПОДСЕТЬ ДЛЯ НОВОГО МОСТА

В Winbox выберите IP слева и перейдите к Адресу. Нажмите кнопку + (плюс), чтобы создать назначение адреса / интерфейса. Установите Адрес на «10.10.10.1/24» и Интерфейс на «Bridge-VLAN10». Смотрите скриншот для деталей:

Mikrotik: настройка гостевого доступа к WiFi

СОЗДАТЬ DHCP-СЕРВЕР

В Winbox выберите IP слева и перейдите к DHCP-серверу. На вкладке DHCP нажмите кнопку «DHCP Setup» и завершите работу мастера, чтобы создать DHCP-сервер для гостевого WiFi. Смотрите скриншот для деталей:

Mikrotik: настройка гостевого доступа к WiFi

Mikrotik: настройка гостевого доступа к WiFi

Mikrotik: настройка гостевого доступа к WiFi

Mikrotik: настройка гостевого доступа к WiFi

Mikrotik: настройка гостевого доступа к WiFi

Mikrotik: настройка гостевого доступа к WiFi

СОЗДАНИЕ И РАЗМЕЩЕНИЕ ПРАВИЛ ФИЛЬТРА БРАНДМАУЭРА

В Winbox выберите IP слева и перейдите к Firewall. На вкладке Правила фильтра нажмите кнопку + (плюс), чтобы создать новое правило фильтра. См. Снимок экрана ниже, который показывает, как создать правило фильтра брандмауэра, чтобы блокировать трафик гостевой VLAN ТОЛЬКО в частную сеть.

После создания нового правила фильтрации брандмауэра, поместите правило фильтра брандмауэра соответственно в список фильтров брандмауэра — порядок имеет значение. В обязанности вашего ИТ-отдела / провайдера входит проверка безопасности между двумя отдельными сетями, чтобы убедиться, что гостевая сеть VLAN10 (интерфейс Bridge-VLAN10) не может обмениваться данными с устройствами / клиентами в частной сети.

При необходимости можно добавить второе правило для блокировки трафика из частной сети в гостевую сеть VLAN. Для этого просто создайте другое правило, но поменяйте местами значения «In. Интерфейс »и« Out. Интерфейс». Как реализовать правило фильтрации брандмауэра, зависит от политик безопасности вашего ИТ-отдела / провайдера.

В этом примере используются сетевые интерфейсы, которые были созданы на MikroTik для разделения двух сетей, но с такой же легкостью можно создать IP-адрес с косой чертой (CIDR), если это необходимо. Опять же, это зависит от вашего ИТ-отдела / провайдера.

Mikrotik: настройка гостевого доступа к WiFi

Mikrotik: настройка гостевого доступа к WiFi

Все это руководство основано на графическом интерфейсе, но я решил включить следующие команды ниже, которые создадут оба правила фильтра брандмауэра для блокировки трафика от гостя к частному и от частного к гостевому. Вся команда может быть вставлена ​​в терминал MirktoTik. Имейте в виду, что после создания правил фильтрации их все равно необходимо соответствующим образом разместить в списке правил фильтрации брандмауэра.

/ip firewall filter add action =drop chain =forward disabled = yes in-interface =Bridge out-interface =Bridge-VLAN10 add action =drop chain =forward disabled = yes in-interface =Bridge-VLAN10 out-interface =Bridge

Источник

Разделение локальной сети с помощью VLAN на Mikrotik

Функция VLAN (Virtual Local Area Network) позволяет создать несколько виртуальных интерфейсов на одном физическом сетевом интерфейсе. С помощью VLAN можно разделять или объединять сегменты локальной сети, независимо от ее физической топологии.

1. Настройка MikroTik VLAN

1.1 Сброс настроек роутера

Настройку роутера MikroTik будем выполнять с чистой конфигурации. Поэтому полностью сбросим конфигурацию роутера через программу Winbox:

  1. Откройте в меню New Terminal;
  2. Введите команду systemreset;
  3. Нажмите кнопку y на клавиатуре, чтобы подтвердить сброс настроек.

После перезагрузки роутера откройте Winbox, и в появившемся окне нажмите кнопку Remove Configuration для очистки конфигурации.

1.2 Настройка WAN порта

Настроим WAN порт роутера, к которому подключен кабель провайдера. Как выполнить статические настройки или PPPoE можете посмотреть в статье настройка роутера MikroTik. В нашем случае маршрутизатор получает настройки от провайдера автоматически по DHCP, поэтому делаем динамическую настройку:

  1. Откройте меню IPDHCP Client;
  2. В появившемся окне нажмите красный плюсик;
  3. В новом окне в списке Interface: выбираем WAN интерфейс ether1;
  4. Нажимаем кнопку OK для сохранения настроек.

После этого в столбце IP Adress появится IP адрес WAN порта, полученный от провайдера.

Проверяем наличие соединения с интернетом:

  1. Откройте New Terminal;
  2. Введите команду ping ya.ru, чтобы пропинговать сайт ya.ru.

Пошли пинги по 20ms, значит есть соединение с интернетом. Завершаем выполнение ping нажатием клавиш Ctrl+C.

Внимание! На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока не будет выполнена настройка NAT.

1.3 Объединение LAN портов в Bridge

Чтобы компьютеры офисной сети, подключенные по кабелю к разным LAN портам роутера, могли связываться друг с другом, объединим порты роутера в мост Bridge.

Добавляем интерфейс Bridge:

  1. Откройте меню Bridge;
  2. Нажмите “красный плюсик”;
  3. В поле Name укажите название интерфейса bridge_main;
  4. Нажмите кнопку ОК.

Добавляем LAN порты в Bridge:

  1. Перейдите на вкладку Ports;
  2. Нажмите “красный плюсик”;
  3. В списке Interface выберите второй порт роутера ether2;
  4. В списке Bridge выберите интерфейс bridge_main;
  5. Нажмите кнопку ОК.

Добавьте аналогичным образом в bridge_main порты ether3, ether4 и ether5. В итоге у вас должен появиться список портов, как на рисунке ниже.

1.4 Добавление VLAN интерфейса

Создадим на интерфейсе bridge_main виртуальный интерфейс с названием vlan2, который позволит изолировать Wi-Fi точку HotSpot от сети предприятия.

  1. Откройте меню Interfaces;
  2. Перейдите на вкладку VLAN;
  3. Нажмите “красный плюсик”;
  4. В появившемся окне в поле Name указываем название интерфейса vlan2;
  5. В поле VLAN ID указываем идентификатор виртуальной сети, равный 2. Сетевое оборудование с поддержкой VLAN не оперирует именами виртуальных сетей, а использует цифры от 1 до 4094. VLAN ID – это, по сути, имя виртуального интерфейса, которое будет использоваться оборудованием между собой. Единицу в качестве идентификатор использовать не рекомендуется, поскольку некоторые производители используют VLAN ID 1 в качестве значения по умолчанию;
  6. В списке Interface выбираем интерфейс bridge_main;
  7. Нажимаем кнопку OK для создания VLAN интерфейса.

Назначение IP адресов локальным сетям

Компьютеры сети предприятия и гостевой будут находиться в разных подсетях. Сеть предприятия будет использовать подсеть 192.168.88.1/24, а гостевая сеть 192.168.10.1/24. Настроим IP адреса локальных сетей.

Настройка IP адреса сети предприятия:

  1. Откройте меню IP – Addresses;
  2. Нажмите “красный плюсик”;
  3. В поле Address введите 192.168.88.1/24;
  4. В списке Interface выберите интерфейс bridge_main;
  5. Нажимаем кнопку OK.

Настройка IP адреса гостевой сети:

  1. Откройте меню IP – Addresses;
  2. Нажмите “красный плюсик”;
  3. В поле Address введите 192.168.10.1/24;
  4. В списке Interface выберите виртуальный интерфейс vlan2;
  5. Нажимаем кнопку OK.

1.5 Настройка пула адресов

Компьютерам сети предприятия и гостевой сети будем по DHCP присваивать IP адреса из разных подсетей. Сеть предприятия будет использовать диапазон 192.168.88.2–192.168.88.254, а гостевая сеть 192.168.10.2–192.168.10.254. Зададим с помощью пула диапазоны IP адресов.

Добавляем диапазон IP адресов предприятия:

  1. Откройте меню IP – Pool;
  2. Нажмите “красный плюсик”;
  3. В появившемся окне в поле Name укажите название dhcp_pool_main;
  4. В поле Addresses пропишите диапазон 192.168.88.2–192.168.88.254 ;
  5. Нажмите кнопку OK для сохранения пула адресов.

Добавляем диапазон IP адресов гостевой сети аналогичным образом:

  1. Нажмите “красный плюсик”;
  2. В появившемся окне в поле Name указываем название dhcp_pool_vlan2;
  3. В поле Addresses прописываем диапазон 192.168.10.2–192.168.10.254 ;
  4. Нажимаем кнопку OK для сохранения пула адресов.

1.6 Настройка DHCP серверов

Чтобы компьютеры получали сетевые настройки автоматически, необходимо настроить DHCP сервера. Поскольку у нас будут две сети, то нужно настроить два DHCP сервера.

Похожее:  Подключение Ардуино к роутеру TL MR3020

Настраиваем DHCP сервер внутренней сети предприятия:

  1. Откройте меню IP – DHCP server;
  2. Нажмите “красный плюсик”;
  3. В появившемся окне в поле Name укажите название dhcp_server_main;
  4. В списке Interface выберите интерфейс офисной сети bridge_main;
  5. В списке Address Pool выберите пул IP адресов dhcp_pool_main, которые будут присваиваться компьютерам предприятия;
  6. Нажмите кнопку OK.

Настраиваем DHCP сервер гостевой сети аналогичным образом:

  1. Нажмите “красный плюсик”;
  2. В появившемся окне в поле Name укажите название dhcp_server_vlan2;
  3. В списке Interface выберите виртуальный интерфейс гостевой сети vlan2;
  4. В списке Address Pool выберите пул IP адресов dhcp_pool_vlan2, которые будут присваиваться гостевым ноутбукам;
  5. Нажмите кнопку OK.

Теперь переходим на вкладку Networks и добавляем наши сети:

Добавляем сеть предприятия:

  1. Нажмите “красный плюсик”;
  2. В поле Address укажите сеть предприятия 192.168.88.0/24;
  3. В поле Gateway укажите адрес шлюза 192.168.88.1;
  4. В поле Netmask укажите маску 24;
  5. В поле DNS Servers укажите адрес DNS сервера 192.168.88.1;
  6. Нажмите кнопку OK.

Добавляем гостевую сеть:

  1. Нажмите “красный плюсик”;
  2. В поле Address укажите сеть предприятия 192.168.10.0/24;
  3. В поле Gateway укажите адрес шлюза 192.168.10.1;
  4. В поле Netmask укажите маску 24;
  5. В поле DNS Servers укажите адрес DNS сервера 192.168.10.1;
  6. Нажмите кнопку OK.

1.7 Настройка DNS сервера

  1. Откройте меню IP – DNS и нажмите кнопку Settings;
  2. Поставьте галочку Allow Remote Request;
  3. Нажмите кнопку OK.

1.8 Включение NAT

Чтобы компьютеры имели выход в интернет, нужно настроить NAT для двух сетей.

Настройка NAT для внутренней сети предприятия:

  1. Перейдите на вкладку Action;
  2. В списке Action выберите masquerade;
  3. Нажмите кнопку OK.

Настройка NAT для гостевой сети выполняется аналогичным образом, только используется другой диапазон IP адресов и порт vlan2:

  1. Нажмите “красный плюсик”;
  2. В списке Chain выберите srcnat;
  3. В поле Src. Address укажите диапазон IP адресов гостевой сети 192.168.10.0/24;
  4. В списке Out Interface выберите WAN порт ether1, на который приходит интернет от провайдера;
  5. Перейдите на вкладку Action;
  6. В списке Action выберите masquerade;
  7. Нажмите кнопку OK.

1.9 Изоляция подсетей

Чтобы компьютеры из офисной сети и сети хотспота не видели друг друга, нужно изолировать подсети. Это можно сделать двумя способами: через Firewall или правила маршрутизации Route Rules. Мы опишем, как изолировать подсети в MikroTik с помощью Route Rules.

  1. Откройте меню IP – Routes;
  2. Перейдите на вкладку Rules;
  3. Нажмите “красный плюсик”;
  4. В поле Src. Address укажите офисную подсеть 192.168.88.0/24;
  5. В поле Dst. Address укажите гостевую подсеть 192.168.10.0/24;
  6. В списке Action выберите unreachable;
  7. Нажмите кнопку OK.

Добавляем второе правило аналогичным образом, только меняем местами подсети.

  1. Нажмите “красный плюсик”;
  2. В поле Src. Address укажите офисную подсеть 192.168.10.0/24;
  3. В поле Dst. Address укажите гостевую подсеть 192.168.88.0/24;
  4. В списке Action выберите unreachable;
  5. Нажмите кнопку OK.

Настройка роутера MikroTik для использования VLAN выполнена. Теперь приступим к настройке точки доступа EnGenius EAP150 с поддержкой VLAN.

Источник

Как настроить Vlan на Mikrotik: пошаговая инструкция

Если вы нашли эту статью, значит вы определенно уже понимаете для чего нужен Vlan и что это такое вообще. Если вы попали сюда случайно или настройка Vlan нужна, но пока вы самостоятельно не можете или не знаете, как это сделать – то вы попали туда, куда нужно.

Что такое VLAN?

По своей сути Vlan – это некая виртуальная сеть внутри физической сети. По-простому – это ЛВС внутри ЛВС. Внутри одной физической сети можно создать до 4096 виртуальных сетей, если быть точным, то 4094. Откуда берутся эти цифры? Давайте рассмотрим чуть более детально.

Для идентификации виртуальной сети используется VLAN ID или как его сокращенно называют VID – номер Vlan`а. Это метка, присоединяемая к кусочку кадра, который передается по сети. Для этой метки отведен блок размером в 12 бит. Путем нехитрых вычислений узнаем, что можно получить номера Vlan`ов с 0 по 4095 (всего 4096) но первый и последний ID зарезервированы системой, потому их использовать запрещено.

Обычное неуправляемое сетевое оборудование (такое как коммутатор, простая сетевая карта без поддержки Vlan и т.п.) не понимает, что такое Vlan, это задача коммутаторов и прочего «умного» оборудования второго уровня. В управляемых коммутаторах можно указать каким Vlan разрешено проходить по данному порту, а каким запрещено.

Зачем это нужно? Надо ли так усложнять сеть?

  • Технология Vlan позволяет объединить компьютеры в одну локальную сеть независимо от их территориального или географического расположения;
  • Становится возможным разделение физической сети на несколько виртуальных, которые не будут пересекаться и доступ из одной виртуальной сети в другую будет невозможен;
  • Снижается нагрузка на сеть, так как на указанные порты коммутатора попадают только те пакеты сети, которым разрешено прохождение по данному порту;

Это лишь крохотная часть возможностей, которые предоставляет Vlan.

С первого раза тяжело «переварить» информацию, но на самом деле здесь нет ничего сложного.

Перейдем к настройке VLAN на оборудовании Mikrotik

Предположим, что нам нужно разделить одну большую сеть на 3 виртуальных.
Для примера будем использовать RB750UP. Структура будущей сети выглядит следующим образом:

Подключаемся через WinBox к оборудованию.

  • Заходим в раздел Interfaces;
  • Переходим на вкладку VLAN;
  • Нажимаем на значок «+»;
  • В появившемся окне присваиваем имя vlan5 интерфейсу в поле Name;
  • Прописываем VLAN ID, которое равно 5;
  • Выбираем интерфейс, для которого создается Vlan (в нашем случае это Ether5);

Видим, что интерфейс добавился:

Также он отображается в окне Interfaces и структурно находится под интерфейсом, на который добавлен, название vlan5 смещается чуть-чуть вправо относительно основного списка интерфейсов

Аналогично добавляем vlan4 на ether4 и vlan3 на ether3

Следующее, что нам нужно сделать – это добавить IP адрес для созданных виртуальных сетей:

  • Переходим в раздел IP > Addresses;
  • Добавляем адрес как обычно, только в поле интерфейс выбираем наш vlan5;

Добавляем IP адреса на vlan4 и vlan3.

В результате у нас должно получиться следующее:

Доступ в интернет

Подсети созданы, IP адреса присвоенны, теперь нужно «выпустить в интернет» устройства, работающие в vlan3, vlan4, vlan5.

Переходим в раздел IP > Firewall вкладка NAT и создаем новое правило

Переходим на вкладку Action и в поле Action выбираем действие masquerade и сохраняем правило

Такие правила нужно создать для каждой из подсети, изменяя лишь адреса сети.

В результате должно получиться следующее:

Дополнительные «фишки»

Теперь каждая из виртуальных сетей имеет доступ в интернет, но при необходимости его можно ограничить, разрешая доступ только выделенным адресам.

  • Переходим на вкладку Address List;
  • Добавляем, для примера, IP адрес 168.5.24 в Address List под названием Net (Прописать вручную);
Похожее:  Wifi Мультимедиа в Санкт Петербурге

Теперь, если в правиле под номером 13 (вкладка NAT) перейти на вкладку Advanced и в поле Src. Address List указать список Net

то выход в интернет получат только те хосты, которые находятся в списке Net. В нашем случае – это единственный хост, который мы добавили: 192.168.5.24

Сеть разделена и настроена. Так же можно поднять DHCP сервер на каждом из созданных нами vlan – тогда не придется прописывать адрес каждому ПК в локальной сети, но это уже совсем другая тема…

Источник



Настройка VLAN в Mikrotik

Умение настраивать VLAN (Virtual Local Area Network) или виртуальные локальные сети — одно из самых базовых умений, которым должен обладать системный администратор. Сегментирование сети с помощью VLAN-ов строго необходимо для PCI, HIPAA и прочих стандартов безопасности, и, кроме того, это помогает сохранять “чистоту” и порядок в больших сетях. Настройка VLAN-ов на маршрутизаторах MikroTik не является сложной задачей, подробнее о шагах настройки вы можете прочесть ниже.

Дизайн VLAN в организации

Первым шагом в сегментировании сети должен быть не настройка маршрутизатора, а понимание будущей схемы в целом — предпочтительно нарисовать схему на листе бумаги, использовать ПО наподобие Microsoft Visio и т.д. К тому же, если ваша сеть должна соответствовать стандартам безопасности, которые были перечислены выше, то практически не нужно ничего придумывать — в описании стандартов есть подробные инструкции что и как должно быть сегментировано. Однако, чаще всего, сегментирование происходит для общей оптимизации сети — и тут необходимо будет что-то придумать самому. На наш взгляд, проще всего отразить структуру организации в схеме VLAN-ов. Каждый департамент должен находится в собственном VLAN-е, т.к каждый департамент обладает своими собственными уникальными функциями, и, скорее всего, различными правами доступа. Также в отдельные VLAN-ы необходимо поместить сервера и дисковые хранилища.

К тому же, с помощью таких инструментов как Torch или NetFlow можно будет контролировать и мониторить трафик каждого департамента. Гостевая сеть также должна быть помещена в отдельный VLAN, который будет полностью изолирован от внутренней сети. Беспроводные сети также должны находится в своем VLAN, таким образом весь трафик мессенджеров, обновлений мобильных приложений и т.д будет полностью отделен от основной сети.

Транковые протоколы VLAN

В нашем сценарии у нас есть только один роутер, и создадим VLAN-ы для HR (192.168.105.0/24), бухгалтерии (192.168.155.0/24) и гостевую сеть (192.168.1.175.0/24). Если у вас получится создать три VLAN-а, то, очевидно, получится создать и сто — в нашем примере мы описываем создание только трех VLAN-ов для простоты и прозрачности примера. IP-адреса для каждого VLAN-а также были выбраны случайным образом — для вашей организации, скорее всего, адресация будет иной. В нашем случае, маршрутизатор подключен к коммутатору по интерфейсу ether2, с 802.1q транком между ними — эта схема также известна под именем “роутер на палке” (router on a stick). Мы не будем углубляться в детали касаемо свитча — это может быть Cisco, HP и т.д — потому что 802.1q транки одинаковы практически на всех платформах — если у вас какой-нибудь необычный свитч, то вам стоит просто обратиться к документации и прочесть, как выполняется конфигурация транкового порта. Наш маршрутизатор также обладает подключением к WAN на порту ether1 — все пользователи в VLAN-ах будут использовать его для доступа к интернету.

Создание VLAN-ов на MikroTik

Сперва необходимо создать VLAN-ы на маршрутизаторе и назначить их на интерфейс ether2. После этого, интерфейс ether2 будет автоматически настроен как 802.1q транк и не будет доступен для трафика без тэгов, что означает, что до конца настройки этот линк будет “лежать” — поэтому строго рекомендуется выполнять эти действия во в нерабочее время.

/interface vlan add comment=»HR» interface=ether2 name=»VLAN 105 — HR» vlan-id=105 add comment=»Accounting» interface=ether2 name=»VLAN 155 — Accounting» vlan-id=155 add comment=»Guests» interface=ether2 name=»VLAN 180 — Guests» vlan-id=180

Крайне рекомендуется всегда давать понятные имена интерфейсам и писать комментарии — в дальнейшем это может сильно облегчить администрирование сети и обучение новых системных администраторов. Как мы упомянули выше, создание VLAN-ов и назначение их на физический порт ether2 автоматически изменит тип инкапсуляции на 802.1q, но вы нигде этого не увидите — даже если выведете всю информацию об интерфейсе.

Назначаем IP-адреса

Далее, необходимо назначить сетевые адреса, чтобы VLAN интерфейсы могли работать как шлюзы:

/ip address add address=192.168.105.1/24 comment=»HR Gateway» interface=»VLAN 105 — HR» add address=192.168.155.1/24 comment=»Accounting Gateway» interface=»VLAN 155 — Accounting» add address=192.168.180.1/24 comment=»Guests Gateway» interface=»VLAN 180 — Guests»

На всякий случай, еще раз обращу ваше внимание на то, как важно комментировать интерфейсы для удобства в дальнейшем. На данном моменте у нас уже настроены VLAN-ы и у них назначены сетевые адреса. Если у вас не используется DHCP, а используется статическая адресация — на этом настройка VLAN в общем-то закончена. Следующим шагом (этот шаг, соответственно, опционален) является настройка DHCP на VLAN интерфейсах, для того чтобы клиенты внутри каждого VLAN могли автоматически получить динамический IP-адрес.

DHCP для VLAN

Для начала, необходимо установить адресные пулы для каждого из VLAN-ов:

/ip pool add name=HR ranges=192.168.105.2-192.168.105.254 add name=Accounting ranges=192.168.155.2-192.168.155.254 add name=Guests ranges=192.168.180.2-192.168.180.254

Далее, настраиваем DHCP с опциями для DNS и шлюзов:

/ip dhcp-server network add address=192.168.105.0/24 comment=»HR Network» dns-server=8.8.8.8,8.8.4.4 gateway=192.168.105.1 add address=192.168.155.0/24 comment=»Accounting Network» dns-server=8.8.8.8,8.8.4.4 gateway=192.168.155.1 add address=192.168.180.0/24 comment=»Guest Network» dns-server=8.8.8.8,8.8.4.4 gateway=192.168.180.1

В данном случае мы используем DNS сервис от Google. Далее, добавляем ранее настроенные пулы на VLAN интерфейсы:

/ip dhcp-server add address-pool=HR disabled=no interface=»VLAN 105 — HR» name=HR add address-pool=Accounting disabled=no interface=»VLAN 155 — Accounting» name=Accounting add address-pool=Guests disabled=no interface=»VLAN 180 — Guests» name=Guests

Адресные пулы соответствуют настроенным сетям, и именно такие DHCP опции как шлюз и DNS присваиваются конкретной DHCP инстанции. Смысл присвоения DHCP для каждого VLAN в том, чтобы у вас была возможность контролировать сроки выдачи адреса (lease times), опции и т.д для каждого сегмента сети, что дает большой простор для оптимизации и контроля DHCP в вашей организации.

Настройка VLAN на коммутаторе

На данном этапе настройки вам необходимо будет назначить порты доступа на ваших свитчах на конкретные VLAN-ы, и клиенты, которые будут подключены к этим портам будут находится в их VLAN и получать соответствующие IP-адреса по DHCP. Теперь уже вам решать, какие VLAN будут полностью изолированы друг от друга, а какие смогут “общаться” — осталось только настроить соответствующие правила на фаерволле. Как правило, мы разрешаем доступ только абсолютно необходимого трафика в VLAN — если разрешить весь трафик, тогда теряется смысл сегментирования.

Источник