NAT Mikrotik

[Trezor]

Ahoj,
Prosím o radu. Potřebuji na mk oddělit dvě sítě, které jsou ve vlanech.

Mám VLAN900 172.18.0.0/22
VLAN901 172.18.4.0/22

VLAN900 musí mít přístup do internetu a vlan901, ale nikam jinam. Vlan901 potřebují, aby mohl přistupovat jen do vlan900. Problém je, že v e vlan901 jsou zařízení na subnetu 10.0.0.0/8 a využívají broadcast k hledání zařízení a to bych potřeboval zahodit, aby se mi to nemlatilo s rozsahy v routeru na jiných vlan.

V routeru je x dalsich sítí ve svých vlan a potřebují, aby se ty sítě nijak neviděli. Nejsem si jist, jestli využít srcnat s maskaradou a pak drop a accept ve filtrech, nebo to udělat jinak. Neměl by prosím někdo nějakou radu?
 

[Reklama]

[Miroslav Šilhavý]

Přes NAT a dropy byste se upravidloval, bylo by to nepřehledné a náchylné na konfigurační chybu.
Jediným rozumným řešením je VFR: https://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding

[samalama]

vlan vytvara prave broadcastove domeny, takze tento problem odpada. podla mna staci nastavit forwardovacie pravidla pre jednotlive rozhrania/rozsahy...

[kolemjdouci]

Ahoj,
Prosím o radu. Potřebuji na mk oddělit dvě sítě, které jsou ve vlanech.

Mám VLAN900 172.18.0.0/22
VLAN901 172.18.4.0/22

VLAN900 musí mít přístup do internetu a vlan901, ale nikam jinam. Vlan901 potřebují, aby mohl přistupovat jen do vlan900. Problém je, že v e vlan901 jsou zařízení na subnetu 10.0.0.0/8 a využívají broadcast k hledání zařízení a to bych potřeboval zahodit, aby se mi to nemlatilo s rozsahy v routeru na jiných vlan.

V routeru je x dalsich sítí ve svých vlan a potřebují, aby se ty sítě nijak neviděli. Nejsem si jist, jestli využít srcnat s maskaradou a pak drop a accept ve filtrech, nebo to udělat jinak. Neměl by prosím někdo nějakou radu?

Ahoj,
nejsem Mikrotik expert a uz vubec ne kovany sitar. Par jejich zarizeni ale provozuji v domacim prostredi.
Proto si dovolim napsat navrh reseni.
Pro overeni a navrh lepsiho reseni radeji prohledej jejich forum. Pripadne vyckej az sem napise nekdo zkusenejsi.
Neco k tematu najdes i na https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

Pisi v rychlosti navrh, ktery zatim nemohu overit ale teoreticky by mohl udelat to co chces:

1) VLAN900 musí mít přístup do internetu a vlan901 ale nikam jinam

V interface list vytvorit novou skupinu a nejak ji nazvi, bude obsahovat WAN interface a VLAN interface 901
V FW vytvorit pravidlo:

   chain:forward
   In interface: VLAN900
   !Out interface list: <Vytvorena skupina s WAN a VLAN>
   action: drop
znak ! pri konfiguraci pres winbox ma vyznam neni rovno, tedy pokud bude vstup z VLAN900 a destinace nebude WAN nebo VLAN901 pak packet zahod.

2) Vlan901 potřebují, aby mohl přistupovat jen do vlan900

Nove pravidlo ve FW:

chain: forward
In interface: VLAN900
!Out interface: VLAN901
action: drop

3) Problém je, že v e vlan901 jsou zařízení na subnetu 10.0.0.0/8 a využívají broadcast

Pokud to bude fungovat tak jak si myslim pak by melo byt jedno jaky subnet na dane vlan mas, FW zahodi vse co nespada do forward pravidla na urovni interface. Dalo by se to jeste pojistit tim, ze pridal dalsi pravidla pouzivajici chain input a output.

Vlakno si ulozim, snad sem napise nekdo koho to zivi, rad se priucim.

[kolemjdouci]

Ahoj,
Prosím o radu. Potřebuji na mk oddělit dvě sítě, které jsou ve vlanech.

Mám VLAN900 172.18.0.0/22
VLAN901 172.18.4.0/22

VLAN900 musí mít přístup do internetu a vlan901, ale nikam jinam. Vlan901 potřebují, aby mohl přistupovat jen do vlan900. Problém je, že v e vlan901 jsou zařízení na subnetu 10.0.0.0/8 a využívají broadcast k hledání zařízení a to bych potřeboval zahodit, aby se mi to nemlatilo s rozsahy v routeru na jiných vlan.

V routeru je x dalsich sítí ve svých vlan a potřebují, aby se ty sítě nijak neviděli. Nejsem si jist, jestli využít srcnat s maskaradou a pak drop a accept ve filtrech, nebo to udělat jinak. Neměl by prosím někdo nějakou radu?

Nove pravidlo ve FW:

chain: forward
In interface: VLAN900
!Out interface: VLAN901
action: drop

Oprava
Nove pravidlo ve FW:

chain: forward
In interface: VLAN901
!Out interface: VLAN900
action: drop

[Reklama]

[Miroslav Šilhavý]

...

Jakou má Vaše řešení výhodu oproti VRF, které odizoluje ty sítě takzvaně "od podlahy"?

[kolemjdouci]

...

Jakou má Vaše řešení výhodu oproti VRF, které odizoluje ty sítě takzvaně "od podlahy"?

Jak jsem uvedl neni to moje specializace proto je odpoved nevim a mozna zadne. Nehledam nejlepsi mozne reseni.
Byl polozen dotaz s prosbou o mozne reseni. Jedno rychle, ktere me napadlo jsem uvedl s navodem.
Zda bude funkcni a k uzitku v sitovem prostredi zadavatele dotazu se uvidi.

[Miroslav Šilhavý]

Jak jsem uvedl neni to moje specializace proto je odpoved nevim a mozna zadne. Nehledam nejlepsi mozne reseni.
Byl polozen dotaz s prosbou o mozne reseni. Jedno rychle, ktere me napadlo jsem uvedl s navodem.
Zda bude funkcni a k uzitku v sitovem prostredi zadavatele dotazu se uvidi.

Rozumím. VRF vytvoří dva nezávislé virtuální routery, resp. dvě routovací tabulky. Tím pádem paket nikdy nenajde cestu z jedné vlan do druhé, zatímco opačně třeba může. Filter tabulka pak obsahuje jen poměrně přehledná pravidla pro již povolené směry (těmi routovacími tabulkami), a není potřeba myslet na to, aby se nějakým novým pravidlem omylem nevytvořil prostup mezi VLAN 900 a 901.

Omlouvám se, to nebyl útok na Vás, fakt mě zajímalo, jestli v tom vidíte výhodu.

[kolemjdouci]

Jak jsem uvedl neni to moje specializace proto je odpoved nevim a mozna zadne. Nehledam nejlepsi mozne reseni.
Byl polozen dotaz s prosbou o mozne reseni. Jedno rychle, ktere me napadlo jsem uvedl s navodem.
Zda bude funkcni a k uzitku v sitovem prostredi zadavatele dotazu se uvidi.

Rozumím. VRF vytvoří dva nezávislé virtuální routery, resp. dvě routovací tabulky. Tím pádem paket nikdy nenajde cestu z jedné vlan do druhé, zatímco opačně třeba může. Filter tabulka pak obsahuje jen poměrně přehledná pravidla pro již povolené směry (těmi routovacími tabulkami), a není potřeba myslet na to, aby se nějakým novým pravidlem omylem nevytvořil prostup mezi VLAN 900 a 901.

Omlouvám se, to nebyl útok na Vás, fakt mě zajímalo, jestli v tom vidíte výhodu.

V pořádku, nebral jsem to jako útok.  Děkuji za stručné osvětlení co by VRF mělo přinést, nikdy jsem jej nevyužil. Zní to ale zajímavě, kouknu se na to podrobněji během víkendu. Mikrotik je pro mě taková hračka pro volný čas :-)

[turmoil]

Koukam ze mikrotik je nejlepsi system na reseni problemu, ktere v jinych systemech vubec nevznikaji

[kolemjdouci]

Koukam ze mikrotik je nejlepsi system na reseni problemu, ktere v jinych systemech vubec nevznikaji

Muzete to nejak vice rozvest ?

[Miroslav Šilhavý]

Koukam ze mikrotik je nejlepsi system na reseni problemu, ktere v jinych systemech vubec nevznikaji

Muzete to nejak vice rozvest ?

ano, taky by mě to zajímalo. Pravděpodobně na Ciscu pak kolega VRF neumí nastavit, a na SOHO routerech nic takové vzniknout nemůže, neb to nepodporují. Ale byla to opravdu velmi přínosná hláška do diskuse.

[Tom fi]

Jak jsem uvedl neni to moje specializace proto je odpoved nevim a mozna zadne. Nehledam nejlepsi mozne reseni.
Byl polozen dotaz s prosbou o mozne reseni. Jedno rychle, ktere me napadlo jsem uvedl s navodem.
Zda bude funkcni a k uzitku v sitovem prostredi zadavatele dotazu se uvidi.

Rozumím. VRF vytvoří dva nezávislé virtuální routery, resp. dvě routovací tabulky. Tím pádem paket nikdy nenajde cestu z jedné vlan do druhé, zatímco opačně třeba může. Filter tabulka pak obsahuje jen poměrně přehledná pravidla pro již povolené směry (těmi routovacími tabulkami), a není potřeba myslet na to, aby se nějakým novým pravidlem omylem nevytvořil prostup mezi VLAN 900 a 901.

Omlouvám se, to nebyl útok na Vás, fakt mě zajímalo, jestli v tom vidíte výhodu.

Otázku bych dal opačně... nač VRF. Konkrétně vámi změná výhodu prosím rozviňte:
Na co bude tazateli možnost, že se paket dostane z jedné vlan do druhé a opačně ne? (myslím že jednosměrnou komunikaci nepožadoval)

Osobně bych to řešil tak jak naznačuje kolemjdoucí, i když bych firewall ještě vybavil povolenými adresními rozsahy a tím natem (hádám že ten mikrotik je hraniční zařízení).

[Miroslav Šilhavý]

Otázku bych dal opačně... nač VRF. Konkrétně vámi změná výhodu prosím rozviňte:
Na co bude tazateli možnost, že se paket dostane z jedné vlan do druhé a opačně ne? (myslím že jednosměrnou komunikaci nepožadoval)

Osobně bych to řešil tak jak naznačuje kolemjdoucí, i když bych firewall ještě vybavil povolenými adresními rozsahy a tím natem (hádám že ten mikrotik je hraniční zařízení).

VRF je principiálně správné řešení a v případě chyby konfigurace filtrovacích pravidel povede k zamezení prostupu paketu. Proto by mělo být jako základ pro takovou situaci.

Pravidly to řešit lze také, ale je to náchylné na chybu konfigurace.

Prostě mezi sítěmi, které nemají mít mezi sebou přístup, nemá být vůbec nastavený routing, než to dropovat na filtru.

[V.]

Mikrotiky umí i virtualizaci (metarouter) a kvm. Předpokládam, že to není to samé. I tohle by mohlo být řešením, oddělit takhle interfejsy?