Utilizzo di più lan separate

[masco]

Ciao, mi è sorto questo problema:

mi ritrovo la mia LAN 10.0.50.0/24 con il mio gateway su ADSL 10.0.50.254 su ether1

e quella di mio fratello 192.168.1.0/24 con gateway ADSL 192.168.1.1 su ether2

con un RB2011LS li ho interconnesse e con i routing statici va tutto ok.
L'unica cosa che non riesco a fare e quella di fare in modo che siano visibili solo alcune porte con il firewal in modo di condividere in caso la navigazione ma non tutte le risorse presenti sulla rete.

avete qualche consiglio o indicazione? se serve espongo piu nel dettaglio la situazione.

[ppraz]

Esponi più nel dettaglio
Comunque sì, puoi abilitare il routing da una rete all'altra (da qualunque PC della rete 1 vedi qualunque PC della rete 2 e viceversa) ma puoi far si che i gateway siano riservati ognuno alla sua subnet e interdetti all'altra

[masco]

grazie per la risposta,
mi spiego meglio:
il routing e ok infatti tutte le macchiane della rete 10 vedono quelle della 192 ma vorrei far loro condividere solo la navigazione ed alcune porte specifiche tipo 5060 ecc. per il resto vorrei tenerle separate cioe' che tutte le altre macchine e e servizi siamo privati per la rete di appartenenza.
Cioe' che possano eventualmente utilizzare l'una l'adsl dell'altra solo in caso di problemi.

Saluti
e grazie ancora

[ppraz]

scusa ma continui a non essere chiaro...
vediamo se ho capito

-vuoi che dalla rete 10 si raggiungano solo certi servizi della 192, non tutto il routing aperto
-viceversa dalla 192 la 10

-vuoi che la rete 10 possa usare il gateway della 192
.vuoi che la rete 192 possa usare il gateway della 10

giusto?

[masco]

Esatto,

si proprio così

dagli esempi di configurazione trovati in giro non riesco a fa funzionare nessuna regola del Firewall perchè credo che sia su quello che bisogna agire.
Grazie
Saluti

[ppraz]

Contrariamente a molti firewall quello di RouterOS è un "default allow all"
Questo perchè nascono come dei router e non come firewall.
Quindi se il PC 192.168.1.3 vuole andare verso la porta UDP 5060 del server 10.0.0.50 lo può fare senza problemi.
Attenzione!
Se il PC 192.168.1.3 ha come gateway di default 192.168.1.1 che è il router ADSL allora non funzionerà,
per far si che sia tutto ok puoi aggiungere manualmente delle rotte sui PC delle due lan, per raggiugnere l'altra lan usando come gateway la RB2011, non è il massimo
Oppure usare sempre la RB2011 come default gateway, più pulito ma più difficile da gestire, poi ti spiego
Quindi se i gateway sono apposto il modo per consentire SOLO il traffico UDP 5060 è questo

Codice: Seleziona tutto

/ip firewall filter add chain=forward src-address=192.168.1.3 dst-address=10.0.0.50 protocol=udp \
    dst-port=5060 action=accept
/ip firewall filter add chain=forward src-address=192.168.1.3 dst-address=10.0.0.50 action=drop


La prima regola permette il traffico udp 5060, la seconda nega tutto il resto


Ora veniamo ai gateway condivisi.
Di base la RB avrà un default gateway (lo devi impostare tu aggiungendo la rotta)
Ad esempio userà il 192.168.1.1
Lui userà sempre quella rotta, per far uscire i pc dall'altra linea ADSL, diciamo 10.0.0.1, dovrai dirglielo forzatamente, ad esempio con una regola di mangle
Se il traffico arriva dalla 10.0.0.0/24 e la destinazione NON è 192.168.1.0/24 allora cambi il routing mark in "gateway2"
Poi nella tabella di routing aggiungi un'altra default route con routing mark "gateway2" verso il gateway 10.0.0.1

Un po' complicato ma credo di aver riassunto in un solo post

[masco]

Grazie,
chiarissimo il discorso firewall ero sicuro che qualcosa mi fosse sfuggito.

Per quanto riguarda il routing qualcosina non mi è chiara rispetto al routing standard.

Comunque stasera faccio delle prove e poi ti chiederò dei chiarimenti.

Grazie ancora per ora.