Wpis z mikrobloga

Skopiuj link

13.03.2024, 10:40:30

Siema
Zacząłem się bawić z Mikrotikiem, w końcu ( ͡° ͜ʖ ͡°)
Mam 3xETH, które chcę zostawić jak są, wpięte w bridge i tyle. Mam też dwa radia, też wpięte w ten bridge. Z jednego radia chcę zablokować możliwość wejścia na WAN. Zrobiłem regułę na firewall, coś takiego:
src addres: 192.168.1.0/24 (sieć, którą robi Mikrotik)
Dst Address: 192.168.0.0/24 (sieć za Mikrotikiem, która jest WANem)
Int Interface List: DAS (interfejs, który zrobiłem i dodałem do niego WiFi, z którego ma nie być dostępu do WAN)
Action: drop

Nooo i ta reguła nie działa, dalej sobie wesoło mogę latać z tego radia po zakresie 192.168.0.0 XD
Co zepsułem?

#mikrotik #sieci #lan #wan #siecikomputerowe

PotwornyKogut

13.03.2024, 11:31:52 via Android

@Zjem_Ci_nos jeśli masz radia wpięte w bridge, to firewall nie działa - bo nie ta warstwa sieciowa.
aczkolwiek we właściwościach bridge można włączyć korzystanie z firewalla.

Zjem_Ci_nos

13.03.2024, 12:26:43 via Wykop

@PotwornyKogut: Mam chyba zbyt starą wersję RouterOS bo nie mam tej opcji.
Jak to rozwiązać, muszę rozpiąć radio od bridge w takim razie?
A jak to spiąć potem, VLANem?

PotwornyKogut

13.03.2024, 14:14:17 via Wykop

@Zjem_Ci_nos: w winbox wchodzisz w menu po lewej w bridge i w okienku masz klawisz Settings - musiałaby być bardzo stara wersja, żeby tam nie było "use IP firewall".

PotwornyKogut

13.03.2024, 14:20:38 via Wykop

@Zjem_Ci_nos: a co do drugiego pytania, jeśli wypniesz wifi z bridge to na tym interfejsie byś musiał postawić osobny DHCP dla klientów, bo nie będą otrzymywali adresów IP - bo niby skąd. i wtedy pewnie nadać adres IP temu interfejsowi i do tego jeszcze zrobić NAT (albo pododawać trasy w obie strony) - więc raczej na tym etapie znajomości z mikrotikiem bym się za to nie brał. obejrzyj najpierw trochę tutoriali

PotwornyKogut

13.03.2024, 14:23:04 via Wykop

@Zjem_Ci_nos: hint: jak zrobisz regułkę i będziesz ją testował ze stacji roboczej to patrz sobie na liczniki w okienku firewall (kolumny bytes / packets) - będziesz widział, czy reguła działa. w działającej regule przybywa bajtów, a jeśli jest omijana albo ruch do niej nie pasuje - liczniki stoją. na górze masz przycisk kasowania liczników, dla łatwości obserwacji

Zjem_Ci_nos

13.03.2024, 15:23:29 via Wykop

@PotwornyKogut: dobra, znalazłem settings, zastosowałem checkiem, ale nie bangla ta reguła, jakby ją kompletnie ignorowało....
Kanał na YT znam, już się przydał np. do statycznych adresów IP ( ͡º ͜ʖ͡º)

PotwornyKogut

13.03.2024, 15:59:36 via Android

@Zjem_Ci_nos
to nie jest ignorowanie, tylko najwyraźniej twój ruch z wifi nie pasuje do tego co ustawiłeś w regułce ;)

PotwornyKogut

13.03.2024, 16:02:57 via Android

@Zjem_Ci_nos to zrób tak:
wywal interfejs WiFi z brydża

nadaj mu adres z innej podsieci, np.192.168.33.0/24

odpal kreator konfiguracji serwera dhcp na tym interfejsie (obejmuje to stworzenie puli adresowej dla nowej podsieci, ale kreator chyba to ogarnie)

zobacz czy komputery podpięte do tego WiFi dostają adresację którą ustawiłeś na dhcp (czyli z 33)

zobacz wówczas czy mają dostęp do neta

jeśli nie mają to w regułach firewalla na drugiej karcie ustaw NAT

Zjem_Ci_nos

14.03.2024, 00:46:33 via Wykop

@PotwornyKogut: tylko problem polega tutaj w tym, że chciałbym, żeby użytkownicy WLAN utrzymali łączności z użytkownikami LAN, ale nie mieli dostępu do sieci - temu też kombinowałem z Firewallem ( ͡º ͜ʖ͡º)

PotwornyKogut

14.03.2024, 01:33:22 via Android

@Zjem_Ci_nos no to wytnij na firewallu tylko ruch do neta. nie bardzo rozumiem architekturę w twojej sieci, ale router jest po to żeby komunikować podsieci ze sobą

Zjem_Ci_nos

14.03.2024, 13:39:29 via Wykop

@PotwornyKogut:
Założenia sieci:
Sieć 1 - główna sieć, 192.168.0.0/24, stworzona na innym routerze
Sieć 2 - Sieć tworzona przez Mikrotik, musi być do niej dostęp z 192.168.0.0/24 i jest
W skład sieci 2 wchodzą:
ether 1 - WAN 192.168.0.0/24
ether 2 - LAN 192.168.1.0/24, mają dostęp do WAN
ether 3 - LAN 192.168.1.0/24, mają dostęp do WAN
WLAN1 - ma być w nim dostęp tylko do 192.168.1.0/24
WLAN2 - 192.168.1.0/24, mają

PotwornyKogut

14.03.2024, 14:35:29 via Android

@Zjem_Ci_nos odpiszę wieczorem

PotwornyKogut

16.03.2024, 10:53:38 via Android

@PotwornyKogut sorry, nie miałem czasu, temat jeszcze aktualny?

piotrek2555

12.04.2024, 07:44:12 via Wykop

@Zjem_Ci_nos: Albo zrób tam osobny vlan i w bridge vlan filtering włącz i poustawiaj w vlanie na moscie, wtedy masz osobną podsieć ip i możesz ruch wyciąć. Albo spróbuj w bridge filtering wyciąć ten ruch.

Aktywne Wpisy

Pust3lnick

Pust3lnick +1

1 godz. i 13 min temu

Cześć. Jako że od ponad 10 lat mam prawo jazdy B i zawsze chciałem spróbować swoich sił na motocyklu postanowiłem zakupić sobie 125 żeby spełnić wreszcie swoje małe marzenie. Jest tylko jeden problem - na żadnym motorze nigdy nie jeździłem, wiem tylko jak się tym jeździ w teorii z internetu, ale praktycznie nie mam ani minuty doświadczenia, a gdybym tą 125 zakupił, to miałbym ponad 40 km drogi powrotnej do pokonania nim