Ako urobit dva nezavisle toky v jednom mikrotiku?

rado3105

V jednom mikrotiku potrebujem zbridgovat eth1, wlan1 ktore nechcem aby videli na routovane siete na eth2,eth3, wlan2.

Nechcem to riesit cez mangle kedze zbytocne to bude robit vela roboty navyse narocnej na CPU.

Je nejaka ina jednoduchsia cesta ako to odizolovat?

majklik

A ten bridge-wlan1-eth1 má být jen L2 průhozí a nejlépe vůbec vidět, takže i bez IP adresy atd?

Pak nejlépe:

/interface bridge filter add action=drop chain=input in-bridge=bridge-wlan1-eth1

Pozn - v některých verzích ROSu tohle nebylo na 100%, pokud si odesilatel paketu do toho bridge vhodně zvolil cílovou MAC adresu, tka dokázal dostat provoz dovnitř do L3 vrstvy, ale snad to už opravili.

rado3105

Praveze v tom bridgi chcem aby to malo aj ip adresy aj v ramci bridgu medzi sebou komunikovalo. Ale bridgovana siet nemala dosah na routovanu. Teda vsetko vo vnutri eth1, wlan1 nech sa vidi navzajom. Taktiez vsetko na druhej sieti(routovana): eth2, eth3, wlan2 - nech vidia v ramci seba. Ale aby eth2 nemalo dosah na eth1(neslo pingat ani ziadne ine spojenie),....

Neviem ci som to dobre vysvetlil....Proste mam dva mikrotiky: jeden ma eth1 a wlan1, a druhy mikrotik eth2, eth3, wlan2 pricom tieto medzi sebou nebudu spojene ziadnym kablom ani vzduchom, akurat sa napoja na ine siete a tok ktory pojde jednym mikrotikom aby sa nemohol dostat do druheho(co sa da fyzicky dosiahnut dvoma mikrotikmi), len chcel by som to dosiahnut jednym namiesto dvoch. Slo by to?

majklik

A má mít ten bridge-eth1-wlan1 IP adresu, aby šel z té sítě vlastně jen pingnout nebo ne? Pokud ne, tak to řeší to, co jsme poslal, dovolí to bridgovat mezi porty eth1 a wlan1 vše, ale nedovolí nic, aby šlo dovnitř RB a případně se routnulo dál. Pokud chceš blokovat pro jistotu i odchozí směr z RB do toho bridge, tak stačí patřičně doplnit jedno pravidlo do output.

pedro4444

A ten bridge-wlan1-eth1 má být jen L2 průhozí a nejlépe vůbec vidět, takže i bez IP adresy atd?

Pak nejlépe:

/interface bridge filter add action=drop chain=input in-bridge=bridge-wlan1-eth1

Pozn - v některých verzích ROSu tohle nebylo na 100%, pokud si odesilatel paketu do toho bridge vhodně zvolil cílovou MAC adresu, tka dokázal dostat provoz dovnitř do L3 vrstvy, ale snad to už opravili.

majklik

tiez sa pripojim k tejto teme, lebo som to nedavno riesil a zaujimavy priklad si uviedol, ale nieco mi tam nesedi tym dropom ked to zadas do bridge nezrusis aj komunikaciu v tom bridge aby to slo dalej?? lebo ja som to pochopil ze chce oddelit dve siete (komunikacie) co ma cez jednu masinu.

teda ako pisal na eth1 (bridge z wlan1) ma dalej napojenu inu siet a jej vstup je cez wlna1........ a na eth2 a eth3 zas ine siete (routovane z eth2 a 3 a wlan2) a tak isto jej vstupne ine data su zas cez wlan2...

majklik

Ne, nezruší. Pravidlo "action=drop chain=input in-bridge=bridge-wlan1-eth1" likviduje jenom to, co by se mělo z bridge poslat dovnitř (a buď končit v RB nebo routovat někam dál). Vůbec si nevšímá toho, co se bridguje vzájemně mezi port wlan1 a ether1. To by tam místo chain=input muselo být chain=forward, aby to šahalo na bridgovaný provoz mezi porty.

Takový L2 firewall pro hotspotové AP:

/interface bridge filter

add action=drop chain=input disabled=no in-bridge=bridge-wifi-tes-guest

add action=accept chain=forward in-bridge=bridge-wifi-tes-guest mac-protocol=ip

add action=accept chain=forward in-bridge=bridge-wifi-tes-guest mac-protocol=arp

add action=drop chain=forward in-bridge=bridge-wifi-tes-guest

[admin@TRBWIFI3-2] > /interface bridge port print where bridge=bridge-wifi-tes-guest

Flags: X - disabled, I - inactive, D - dynamic

# INTERFACE BRIDGE PRIORITY PATH-COST HORIZON

0 vlan-wifi-tes-guest bridge-wifi-tes-guest 0x80 10 1

1 I wlan-tes-guest2 bridge-wifi-tes-guest 0x80 10 2

2 I wlan-tes-guest5 bridge-wifi-tes-guest 0x80 10 2

pedro4444

ak je to tak ako vravis tak je to potom good...

najblizsie to pojdem otestovat...

inak este jedna vec ma napadla kedze cezten jeden mk budu ako keby dve trasy (dve odlisne siete) tak teda default route zadas podla tej routovanej sieti a cez routovanu siet sa do toho mk aj v pohode dostanes...

ale ak dobre uvazujem tak ked pojdem z inej ip cez bridgovanu cast tak sa do toho mk nedostanem ci??? kedze nebude vediet kde ma hladat moju ip.. ako cele to bude fungovat lebo to bude len bridgovat a prechadzat cez to vsetky spojenia ale pokial pojde o spojene cez bridge ktore nema ist cez mk ale priamo do neho uz treba este nieco specifikovat v route alebo sa mylim??? (ak so msa zle vyjadril povedz pokusim sa to este nakreslit lebo toto uz nie je sranda)

majklik

Chce to občas přečíst manuál... :-)

V tomhle případě je jedno, co chodí přes ten bridge-e1-w1, klidně ať netbeui... A jen ten filtr zajišťuje, ať se eliminují pokusy injektovat pakety do zbytku routeru. Správně by mělo být i podobné pravidlo v out směru. Předpokládal, jsem, že se správa dělá přes tu routovanou část a v té bridgované nemusí být ten oruter vůbec vidět/dostupný.

Pokud by byl požadavek, že i na tom bridgi má být IP adresa a nějaká brána routa pro tu druhou půlku (nebo má být jeden fyzický router rozdělený na víc logických samostatných routerů), pak místo L2 firewallu by to blokoval L3 forward firewall (jen krytí zad) a oddělení routerů od sebe by dělalo VRF, kdy by se ten bridge-e1-w1 nastavil jako oddělený samostatný router (bohužel funguje jen pro IPv4, jak je u Mikrotiku nehezkým zvykem). Viz: <--- l -->viewtopic.php?f=5&t=11988<--- l -->

pedro4444

no jasné majklik presne si má prečítal čo som myslel vazne diki za tvoje rady už mi to všetko dáva zmysel a je to tak ako hovoríš stačí mi len cez routovanu to spravovať tak to bude jednoduchšie a dám len ten block v bridgovej časti ked sa dostanem ku sajtu hneď to tam pôjdem odskúšať ... a myslím že aj rado ked zacal tému teraz nás asi len počúval už po tvojom vysvetlení vie ako sa majú veci... ked to otestujem pak potrvrdim tvoje slová diki