Mikrotik - podmnozina subnet2 v subnet1

Mikrotik - podmnozina subnet2 v subnet1
« kdy: 29. 04. 2020, 13:48:34 »
dobry den,

mam takyto problem a netusim ci sa da vyriesit, googlu ani neviem dat spravne otazky.
Chcel som oddelit moje wifi home-automatization zariadenia a tak som si vymyslel nasledujuce zapojenie:

Mikrotik routerboard je zapojeny nasledovne:   
ether1 - WAN - internet provider
ether2 - LAN - subnet1(192.168.0.1/24 -s pristupom na internet)
ether3 - je zapojeny do dalsieho mikrotik routeru ktory robi DHCP pre subnet2(192.168.1.1/24 -ziadny pristup na internet, vela IoT wifi zariadeni)


problem je nasledovny:
- v subnet1 mam google-alexa ktora potrebuje vidiet zariadenia v subnet2. Nechcem ju dat do subnet2 lebo potrebuje pristup na internet.
Predpokladam ze by som mal nakonfigurovat tieto dva routre tak ze subnet2 bude podmnozina subnet1, ale vobec netusim ako :(



robac

  • ***
  • 203
    • Zobrazit profil
    • E-mail
Re:Mikrotik - podmnozina subnet2 v subnet1
« Odpověď #1 kdy: 29. 04. 2020, 16:29:54 »
Tak pár informací jste vynechal (konkrétní zapojení Mikrotiku2 - má adresu ze Subnetu1? je tam spojovací segment? dělá NAT?).

Pokud nemáte Mikrotik2 kvůli tomu, že třeba chcete rozšířit WiFi někde, kde není signál Mikrotiku1, tak ho vůbec nepotřebujete. Celé si to ošéfujete na firewallu a Mikrotik1  bude vědět, kam posílat pakety z toho google sr..e do Subnetu 2. Tj. třeba: ether2 - Subnet1 a ether3 (nebo virtual AP nebo bridge) - Subnet2, na firewallu zakázán přístup ze Subnetu2 do internetu.

Pokud by Alexa umožnovala nastavení rout (nepředpokládám), tak to asi vyřešíte i v současném (předpokládaném) nasatvení. Jinak na ether 3 vytvořit spojovací segment Mikrotik1/Mikrotik2 a na Mikrotiku1 nastavit routu do Subnetu2 přes spojovací segment + správně nastavený NAT (resp. no-nat) a firewall.

robac

  • ***
  • 203
    • Zobrazit profil
    • E-mail
Re:Mikrotik - podmnozina subnet2 v subnet1
« Odpověď #2 kdy: 29. 04. 2020, 17:10:48 »
A nebo Alexe pushnout routu na Subnet2 z DHCP. https://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server#Properties_3
Ale osobně bych to udělal nějak normálně...

SB

  • ****
  • 347
    • Zobrazit profil
    • E-mail
Re:Mikrotik - podmnozina subnet2 v subnet1
« Odpověď #3 kdy: 30. 04. 2020, 09:54:41 »
Jak psal Robac, podsíť 2 je možno řešit i přepínačem (switchem), ale o to teď nejde. To podstatné: Ten hlavní Mikrotik bude asi mít ještě volné ethernetové porty, takže ten zgarb od Googleu bych osobně strčil do jedné z těch volných dír, udělal mu další VLASTNÍ podsíť (nebo jinde v síti vlastní VLAN) a pečlivě firewallem omezoval, odkud a kam komunikuje (tj. izolace), přičemž komunikace do inetu či podsítě 2 může být samozřejmě taky povolena, ale plošně bych to nenechával.

M_D

  • ****
  • 348
    • Zobrazit profil
    • E-mail
Re:Mikrotik - podmnozina subnet2 v subnet1
« Odpověď #4 kdy: 30. 04. 2020, 13:14:31 »
A máš ten Google Assistant / Amazon Alexa připojeno Ethernetem nebo po wifi? Podstatné jem zda ta krabička vyžaduje, aby ty čidla byla ve stejné L2 sítí (že je umí hledat jen pomocí nějakého multicastu/broadcastu) nebo jde zadat jejich IP a doptá se jich tak přes rotuer. Pokud to druhé, tak je to jen o nastavení na těch dvou Mikrotikách, aby dovolil spojit se té krabce k těm čidlům v routingu / firewallu atd. Ptákoviny s překrývajícíma se IP segmenty se pak dají vynechat (jde to, nejjednodušší řešení u Mikrotiku je pak přes proxy-arp). Vzhledme k té popsané topologii tak netřeba ani řešit specifickou routu do té GA/AA, protože vždy to půjde přes tu default routu.


Re:Mikrotik - podmnozina subnet2 v subnet1
« Odpověď #5 kdy: 30. 04. 2020, 16:06:00 »
neni jednodussi mit oba subnety na prvnim mikrotiku a pak ve FORWARDU pouze zakazat komunikaci z 192.168.1.0/24 na wan interface?
a jestli jde o IoT vev smyslu ovladani domacnosti a alexa ty veci vyhledava po L2, tak pak placnout alexu do 192.168.1.0/24 a povovlit ji komunikaci ven (od ceho mame firewall).
« Poslední změna: 30. 04. 2020, 16:08:57 od Hobbit »

SB

  • ****
  • 347
    • Zobrazit profil
    • E-mail
Re:Mikrotik - podmnozina subnet2 v subnet1
« Odpověď #6 kdy: 04. 05. 2020, 09:23:03 »
Takže ty Googley/Alexy musejí být v podsíti zařízení IoT - to jsem přehlédnul.
Pořád platí, že z podsítě 2 s IoT bude možnost firewallem povolit podle adresy komunikaci do inetu pouze některým zařízením, např. Googleu. Aby si Google nedělal v podsíti 2 úplně co chce, ještě mě napadla možnost strčit Google do podsítě 2 přes bridge, kterému je možno nastavit filtrovací pravidla, ale zkušenost s tím nemám.

Re:Mikrotik - podmnozina subnet2 v subnet1
« Odpověď #7 kdy: 04. 05. 2020, 09:41:09 »
Podmnožinu sítě určitě dělat nechcete. To, co chcete, je úplně normální routování. Kdybyste měl jeden router, normálně na něm nastavíte 3 sítě – dvě lokální a jednu bránu do internetu. Vy tam z nějakého důvodu máte ještě ten druhý router – předpokládám, že je připojený k tomu prvnímu. Takže jenom na hlavním routeru nastavíte, že síť 192.168.1.0/24 je dostupná přes druhý Mikrotik. Druhý Mikrotik má předpokládám jako bránu nastavený ten hlavní router, takže tam nemusíte nastavovat nic, pakety pro 192.168.1.0/24 stejně bude směrovat na ten hlavní router.