Indice   FAQ  
Iscriviti  Login
Indice RouterOS RouterOS

Isolare vlan

Tutto su questo sistema operativo linux based - Configurazioni, dubbi, problematiche &....

Isolare vlan

Messaggioda Sumu » lun 30 set 2019, 19:32

Ciao a tutti, ho configurato sulla mia routerboard 2 vlan e vorrei isolarle completamente(sono già riuscito a farlo) fatta eccezione di un indirizzo ip.
Vi descrivo meglio la situazione, ho creato due 2 vlan con la routerboard alla quale ho collegato uno switch managed, ho configurato lo switch con la ether 1 in trunk e ho assegnato le porte 2-9 (pc ufficio) alla vlan 10 e le porte 10-24(wifi) alla vlan 20 nella quale c'è anche il server(ip fisso) con la quale gestisco gli access point, captive portal ecc...
Io vorrei accedere a server presente nella vlan 20 con un pc della vlan 10

Ho fatto diversi tentativi tramite lo switch:
1) Ho messo una delle porte appartenenti alla vlan 10 in trunk, facendo cosi riesco ad accedere al server però anche tutti gli utenti appartenenti alla vlan 20 possono vedetemi quindi bocciata.
2) Ho provato a mettere la porta a cui ho collegato il server ma non riesco ad accedervi con il pc presente nella vlan 10, non riesco a capirne il motivo.

Le vlan le ho isolate così:
Codice: Seleziona tutto
/ip firewall address-list
add address=192.168.1.0/24 disabled=no list=VLAN
add address=192.168.2.0/24 disabled=no list=VLAN

/ip firewall filter
add action=drop chain=forward disabled=no dst-address-list=VLAN src-address-list=VLAN
add action=accept chain=forward disabled=no out-interface=pppoe-out1 src-address-list=VLAN dst-address=0.0.0.0/0


Grazie anticipo
Sumu
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 16
Iscritto il: gio 26 set 2019, 17:54
Uso routerOS dalla Versione: v3.x

Re: Isolare vlan

Messaggioda ppraz » mar 1 ott 2019, 9:29

Codice: Seleziona tutto
/ip firewall address-list
add address=192.168.1.0/24 disabled=no list=VLAN
add address=192.168.2.0/24 disabled=no list=VLAN

/ip firewall filter
add action=drop chain=forward disabled=no dst-address-list=VLAN src-address-list=VLAN
add action=accept chain=forward disabled=no out-interface=pppoe-out1 src-address-list=VLAN dst-address=0.0.0.0/0


Non usare le address-list, ti complichi la vita secondo me
Usa solo le filter e agisci per subnet

Codice: Seleziona tutto
/ip firewall filter
add action=accept chain=forward disabled=no src-address=192.168.10.199 dst-address=192.168.20.0/24
add action=drop chain=forward disabled=no dst-address=192.168.20.0/24 src-address=192.168.10.0/24
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 997
Iscritto il: sab 12 mar 2011, 14:13
Uso routerOS dalla Versione: v3.x

Re: Isolare vlan

Messaggioda Sumu » mar 1 ott 2019, 23:10

ppraz ha scritto:Non usare le address-list, ti complichi la vita secondo me
Usa solo le filter e agisci per subnet

Codice: Seleziona tutto
/ip firewall filter
add action=accept chain=forward disabled=no src-address=192.168.10.199 dst-address=192.168.20.0/24
add action=drop chain=forward disabled=no dst-address=192.168.20.0/24 src-address=192.168.10.0/24

Grazie mille per la risposta, se ho capito bene seguendo il codice che mi ha indicato posso isolare entrambe le VLAN fatta eccezione per l'indirizzo ip 192.168.10.199 che sarà possibile vedere da entrambe le VLAN.
Corretto?
Sumu
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 16
Iscritto il: gio 26 set 2019, 17:54
Uso routerOS dalla Versione: v3.x

Re: Isolare vlan

Messaggioda ppraz » mer 2 ott 2019, 11:50

Esattamente così, il 192.168.10.199 è abilitato a raggiungere la rete 192.168.20.0/24
Se ti serve che anche la rete 192.168.20.0/24 possa raggiungere sempre e comunque il 192.168.10.199 allora devi creare un'altra regola scambiando src e dst, quindi:

Codice: Seleziona tutto
/ip firewall filter
add action=accept chain=forward disabled=no src-address=192.168.10.199 dst-address=192.168.20.0/24
add action=accept chain=forward disabled=no src-address=192.168.20.0/24 dst-address=192.168.10.199
add action=drop chain=forward disabled=no dst-address=192.168.20.0/24 src-address=192.168.10.0/24


Mi raccomando, le "ACCEPT" che sono più specifiche mettile per prime, le "DROP" più generiche (più larghe, che matchano più combinazioni di IP) le metti per ultime
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 997
Iscritto il: sab 12 mar 2011, 14:13
Uso routerOS dalla Versione: v3.x

Re: Isolare vlan

Messaggioda Sumu » mer 2 ott 2019, 20:26

ppraz ha scritto:Esattamente così, il 192.168.10.199 è abilitato a raggiungere la rete 192.168.20.0/24
Se ti serve che anche la rete 192.168.20.0/24 possa raggiungere sempre e comunque il 192.168.10.199 allora devi creare un'altra regola scambiando src e dst, quindi:

Codice: Seleziona tutto
/ip firewall filter
add action=accept chain=forward disabled=no src-address=192.168.10.199 dst-address=192.168.20.0/24
add action=accept chain=forward disabled=no src-address=192.168.20.0/24 dst-address=192.168.10.199
add action=drop chain=forward disabled=no dst-address=192.168.20.0/24 src-address=192.168.10.0/24


Mi raccomando, le "ACCEPT" che sono più specifiche mettile per prime, le "DROP" più generiche (più larghe, che matchano più combinazioni di IP) le metti per ultime



Ok vediamo se ho capito bene...
Mettiamo il caso che il server wifi sia in 192.168.20.229 (vlan 20) e voglia accedervi da un solo pc, la cosa migliore da fare sarebbe impostare l ip fisso al pc come ad esempio 192.168.10.100, in teoria così dovrei risolvere
Codice: Seleziona tutto
/ip firewall filter
add action=accept chain=forward disabled=no src-address=192.168.20.229 dst-address=192.168.10.100
add action=accept chain=forward disabled=no src-address=192.168.10.100 dst-address=192.168.20.229
add action=drop chain=forward disabled=no dst-address=192.168.20.0/24 src-address=192.168.10.0/24

Corretto?
Sumu
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 16
Iscritto il: gio 26 set 2019, 17:54
Uso routerOS dalla Versione: v3.x

Re: Isolare vlan

Messaggioda ppraz » mer 2 ott 2019, 21:56

Corretto!
Ci sono poi delle regole per acconsentire i pacchetti "di ritorno" delle connessioni... vediamole un'altra volta, per ora focalizzati su questo per ora
Ah, non dimenticare la regola (per esplicitare)

Codice: Seleziona tutto
add action=drop chain=forward disabled=no dst-address=192.168.10.0/24 src-address=192.168.20.0/24
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 997
Iscritto il: sab 12 mar 2011, 14:13
Uso routerOS dalla Versione: v3.x

Re: Isolare vlan

Messaggioda Sumu » ven 4 ott 2019, 7:19

Ok perfetto, oggi se ce la faccio provo tutto e ti faccio sapere.
Grazie mille
Sumu
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 16
Iscritto il: gio 26 set 2019, 17:54
Uso routerOS dalla Versione: v3.x

Re: Isolare vlan

Messaggioda Sumu » dom 6 ott 2019, 20:40

ppraz ha scritto:Corretto!
Ci sono poi delle regole per acconsentire i pacchetti "di ritorno" delle connessioni... vediamole un'altra volta, per ora focalizzati su questo per ora
Ah, non dimenticare la regola (per esplicitare)

Codice: Seleziona tutto
add action=drop chain=forward disabled=no dst-address=192.168.10.0/24 src-address=192.168.20.0/24



Funziona alla grande, però adesso mi è venuta in mente un 'altra idea, vorrei creare una terza Vlan che andrei a taggare con gli access point per creare una rete Wlan guest. Il problema è che non posso mettere le porte a cui sono collegati gli access point in trunk perché quest'ultimi sono connessi a degli switch unmanaged. Sostituire gli switch mi costerebbe parecchio visto che stiamo parlando di 6 switch da 24 porte.

Purtroppo per motivi strutturali non sono riuscito a far arrivare tutti i cavi nel rack dove c'è tutto l'hardware e quindi ho dovuto ricorrere a degli switch.

Ti allego uno schemino della situazione

https://imgur.com/a/cPEb4QK

Provo a fare un codice che andrò a implementare a quello precedente e vediamo se va tutto bene.

Codice: Seleziona tutto
/ip firewall filter
add action=accept chain=forward disabled=no src-address=192.168.20.229 dst-address=192.168.10.100
add action=accept chain=forward disabled=no src-address=192.168.10.100 dst-address=192.168.20.229

add action=accept chain=forward disabled=no src-address=192.168.20.200 - 192.168.20.212 dst-address=192.168.30.0/24
add action=accept chain=forward disabled=no src-address=192.168.30.0/24  dst-address=192.168.20.200 - 192.168.20.212

add action=drop chain=forward disabled=no dst-address=192.168.10.0/24 src-address=192.168.20.0/24
add action=drop chain=forward disabled=no dst-address=192.168.10.0/24 src-address=192.168.30.0/24
add action=drop chain=forward disabled=no dst-address=192.168.20.0/24 src-address=192.168.10.0/24
add action=drop chain=forward disabled=no dst-address=192.168.20.0/24 src-address=192.168.30.0/24
add action=drop chain=forward disabled=no dst-address=192.168.30.0/24 src-address=192.168.10.0/24
add action=drop chain=forward disabled=no dst-address=192.168.30.0/24 src-address=192.168.20.0/24





Potrebbe andare? Inoltre sarebbe possibile isolare tutti i client della vlan 30?
Sumu
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 16
Iscritto il: gio 26 set 2019, 17:54
Uso routerOS dalla Versione: v3.x



Torna a RouterOS

Chi c’è in linea

Visitano il forum: Nessuno e 13 ospiti