Dividere tre reti

[mesgas]

Salve, mi chiamo Mario e ho realizzato tramite ponti radio una MAN (se così si può chiamare). Ho unito tre lan praticamente in bridge. Mi sta bene così me è nato un piccolo problema.

Tutte e tre le lan hanno connessione ADLS e i router assegnano indiscriminatamente indirizzi ip a qualunque dispositivo lo richieda. Ad esempio il mio router assegna l'indirizzo alla lan della mia ragazza e viceversa.

Utilizzo due antenne mikrotik con RB433 e un'antenna ubiquiti powerbridge m5.

Ho disabilitato il dhcp in ogni router e creato un server dhcp sulle mikrotik solo sulla lan ma non funziona perchè è impostato come bridge.

La mia necessità è quella di fare raggiungere dalle due antenne mikrotik un unico indirizzo ip sulla rete dell'ubiquiti sulle porte 80, 8080, 8079, 21, 631 ma potrei anche lasciarle tutte aperte dato che c'è l'autenticazione utente su ogni respiro.

Quindi ho tre lan

LAN1 192.168.1.0
LAN2 192.168.2.0
LAN3 192.168.10.0

- LAN1 e LAN2 non devono comunicare.
- LAN1 e LAN2 devono raggiungere LAN3 solo su 192.168.10.18
- I server DHCP devono essere impostati sulle antenne e servire solo la lan.

La cosa più importante è comunque il terzo punto. L'assegnazione degli indirizzi in modo controllato.

Grazie a tutti per le eventuali soluzioni.

[mesgas]

Ho dimenticato di dire che a valle della powerbridge m5 ho una mikrotik rb750

[ppraz]

Ciao, purtroppo mi è un po' poco chiara la topologia della rete
Puoi descriverla meglio o aggiungere una immagine esplicativa?
Ad esempio uno dei tre apparati wireless è configurato ap-bridge mentre gli altri due station?
In quale delle 3 sedi si trova il powerbridge?
Su quali 3 sedi sono assegnate le 3 classi IP?
Chiama le sedi A, B, C

[mesgas]

Ci sono le tre sedi A, B, C.

A è la location del server ed è presente la powerbridge su rete 192.168.10.0/24. La powerbridge è configurata come access point WDS e c'è un bridge tra lan e wnal. Alla lan della power bridge si trova una rb750.
Il server fornisce diversi servizi. TV in diretta streaming, ftp, web mail, DLNA, musica in streaming etc etc. Si trova all'indirizzo 192.168.10.18. Unico indirizzo raggiungibile da B e C.

B e C sono le location con le rb433 aggiornate alla versione 6.7 con rete 192.168.1.0/24(B) e 192.168.2.0/24(C). Sono configurate come PTP Bridge (bridge tra lan e wlan) da quick set e ovviamente come Client WDS.

Sia C che B non offrono servizi, almeno per il momento. Non hanno la necessità di comunicare ma se comunicano non è un problema. L'importante è che il DHCP di ogni rete non distribuisca indirizzi in sedi differenti.

I tre router mikrotik dovrebbero essere impostati come router non come bridge ma purtroppo non conosco i prodotti mikrotik e sinceramente non so da dove iniziare per configurarle.

[ppraz]

Chiarissimo, la mia risposta non lo sarà altrettanto

Questa è la mia idea:
Sede A:
la lan deve essere connessa alla porta 5 della 750
l'adsl della sede A su porta 2
la powerbridge su porta 1
server dhcp su ether5 assegna la classe 192.168.10.0/24, gateway deve essere la 750 stessa
la 750 deve prendere IP in dhcp-client su porta 2 dalla ADSL
750 ip firewall deve fare masquerade quando src-address=192.168.10.0/24 e out-interface=ether2
750 su porta 1 avrà un nuovo IP di "dorsale" wireless, diciamo 192.168.3.1/24

Sede B (C):
lan 1 verso la lan locale
lan 2 verso ADSL B (C)
lan 1 fa da dhcp server sulla opportuna subnet
lan 2 prende in dhcp l'ip dal router ADSL
masquerade quando src-address=classe locale e out-interface=lan2
interfaccia wireless con IP 192.168.3.2/24 (192.168.3.3/24)

le 433 non devono essere dei semplici bridge ma router veri e propri.
infine servono le regole di routing interno (per ogni sede devi dare la rotta verso la classe delle altre sedi, gateway l'ip della subnet 192.168.3.0/24 corrispondente)
infine sulla 750 metti le regole di firewall che accettino il traffico verso l'ip 192.168.10.18 e droppino verso tutto il resto della classe 192.168.10.0/24
Se vuoi droppare altro opera anche sulle 433

Quanto è oscuro quello che ho scritto?

[mesgas]

Innanzi tutto grazie per la considerazione e le tue competenze.

è chiaro, qualcosa un po meno ma non è un problema. Quello che non è chiaro è programmare i prodotti mikrotik

Ad esempio dove vado per impostare le regole di routing?

[ppraz]

Giusto, lo avevi detto che dovevo essere più esplicito
Per evitare che lavori in bridge di base ti basta eliminare l'interfaccia bridge, gli IP andranno assegnati alle singole interfacce.
Altra cosa, forse devi cambiare da wds station (indispensabile per farlo lavorare in transparent mode) a "station" puro e semplice.

Le regole di routing si assegnano sotto "ip -> routes"
è molto intuitivo, aggiungi una rotta (col "più") e specifichi destinazione e gateway, quindi ad es. dst-address 192.168.10.0/24 gateway 192.168.3.1 con l'esempio di prima

Le regole di firewall invece credo tu abbia capito dove si impostano giusto?
ip -> firewall -> filters per mettere accept e drop, ip -> firewall -> nat per la regola di "masquerade"
il dhcp-server ha un setup automatico semplificato e dhcp-client è ancor più semplice, ne aggiungi uno sull'interfaccia che vuoi.

Credo sia tutto!
Divertiti e facci sapere

[mesgas]

Grazie, appena torno a casa provo. Giornata lavorativa pesante oggi