Mikrotik - oddělené VLAN, firewall, vše v jednom segmentu bez dělení?

Ahoj,

dovolil bych si požádat komunitu o radu.

Mám ve správě síťku, která má jako hlavní router Mikrotik hAP ac3, k tomu dvě AP hAP ac2, jeden manageovatelný eth switch s podporou VLAN od Netgearu a uplink do Internetu+CZFree rádiovým pojítkem. Síťka má naroutovaný /27 segment vnitřních (CZFree) adres bez NATu a aktuálně jsou eth i wifi rozhraní komplet zbridgeované.

Cílem je rozsekat síť na segment "počítače", segment "IoT/guest" a segment "NAS", možná ještě něco jako DMZ (časem). Tohoto mám v úmyslu docílit použitím VLAN, abych izoloval tyto zóny od sebe na L2 vrstvě a mohl nastavovat firewall tak, aby třeba počítače mohly na NAS, ale IoT a Guest směly pouze do Internetu a nikdy na NAS.
Jenže veškeré nápady obsahují buďto nutnost NATu, nebo rozsekání na L3 podsíťky, čemuž se u /27 segmentu opravdu chcu vyhnout. Dovedu si představit NATovanou podsíťku pro Guest s přístupem pouze do internetu, ale zbytek bych měl rád na "nativních" adresách.
Umístění wifi klienta do příslušné zóny bych v budoucnosti chtěl řešit přes WPA2-Enterprise / RADIUS / VLAN.

Ocením jakoukoli myšlenku, jak z tohoto vybruslit a děkuji předem :)

+ v budoucnosti bude na programu dne i IPv6 - to bude ještě zajímavější


V každém případě bych na takovéto oddělení použil nejenom firewall, ale přímo VRF. Aby segmenty neměly vůbec routu do segmentů, které nepotřebují.

V jednom VRF by byl onen veřejný segment, klidně probridgovaný tak, jak jste zvyklý.

Pro zbylé segmenty by byla jen injektovaná default route a přidaný NAT.

Teda, jestli jsem to správně pochopil.
VRF bych na takové oddělení segmentů dal vždy, i kdyby tam nebyla ta potřeba ip adres bez natu.

ja.

S tym WPA Enterprise opatrne; zvládajú to počítače a mobilné zariadenia, ale IoT hračky nie. Tie jednoduchšie behajú na 2,4 GHz + WPA2 (a niektoré aj IPv4-only), a tie výkonnejšie síce pod kapotou podporu WPA Enterprise majú, ale do UI to nikto nedal (typicky Android TV).

Takže toto riešiť oddeleným SSID (t.j. nový bridge, na ktorý je zavesená príslušná VLAN a virtuálny SSID, plus vhodné pravidlá na firewalle).

Ohľadom NAS - určite ho chcete dať do separátnej VLAN-y? To by znamenalo, že všetok traffic z/na NAS pôjde cez router. Pokiaľ by bol v jednom subnete s bežnými klientami, tak jeho traffic vybaví switch. Keďže klienti z hlavnej LAN by k nemu mali mať prístup, je OK pokiaľ je spolu s nimi. Klienti v ostatných VLAN-ách (IoT aj DMZ) by do hlavnej LAN tak či tak prístup nemali mať, a keď už áno, tak iba established,related.