Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

2 mreze na jednom interfejsu mikrotika

[es] :: Wireless :: Mikrotik :: 2 mreze na jednom interfejsu mikrotika

[ Pregleda: 2602 | Odgovora: 19 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

bmarkovic06

Član broj: 301412
Poruke: 716



+66 Profil

icon 2 mreze na jednom interfejsu mikrotika23.12.2012. u 16:48 - pre 137 meseci
Ovako, imam jedno pitanje, malo poglupo al ne mogu da nadjem resenje ako uopste moze ovako. Imam rb411 koji se kaci na provajdera dok se na ether1 interfejsu nalazi AP koji opsluzuje mene i jos par komsija. E sad da li je moguce da odvojim njihove i moje racunare u mrezi, mislim da moji racunari od DHCP-a dobiju adrese iz opsega 192.168.100.1/24 a njihovi iz 192.168.200.1/24 da nebi mogli videti moje serovane stvarcice.

Vec sam probao i dodao staticki lease za moje racunare ne opseg 100.1/24 a njima 200.1/24 medjutim opet mogu da vidim i pingujem njihove racunare kao i oni moje. U ip addresses sam stavio 192.168.100.1/24 i 192.168.200.1/24 na ether1.

Da li je moguce preko DHCP-a postaviti da njihovi racunari sa njihovim MAC adresama dobijaju adrese iz jednog a moji racunari iz drugog opsega ili moram ici na staticko podesavanje adresa bez DHCP-a uopste? Ili ako moze kako zabraniti njima da rucno upisu staticku adresu na racunar a ne ono sto im je dhcp dao (znam da moze preko arp=replay only).

Da li bi mi pomoglo da dodam adrese u address listu tipa

/ip firewall address-list
add list=ja address=192.168.100.0/24
add list=ostali address=192.168.200.0/24

pa onda filter

/ip firewall filter
add chain=forward src-address-list=ja dst-address-list=ostali action=drop

[Ovu poruku je menjao bmarkovic06 dana 23.12.2012. u 18:10 GMT+1]
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.



+638 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika23.12.2012. u 18:49 - pre 137 meseci
To mozda moze preko firewall-a, ne pustas saobracaj iz 100.0/24 u 200.0/24 iz suprotno. A moras da stavljas static, kako ce dhcp "znati" kome iz kog pool-a da dodeli ip kom racunaru.
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 6278

Sajt: pedja.supurovic.net


+1570 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika23.12.2012. u 20:20 - pre 137 meseci
Ako su ti svi na istom lan interfejsu onda svako ko iole poznaje mreže moze da preskoči sve blokade koje si postavio.

 
Odgovor na temu

bmarkovic06

Član broj: 301412
Poruke: 716



+66 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika23.12.2012. u 20:33 - pre 137 meseci
Pa da RB411 i ima samo jedan LAN interfejs.

Ovim pravilom sto sam naveo:

/ip firewall address-list
add list=ja address=192.168.100.0/24
add list=ostali address=192.168.200.0/24

pa onda filter

/ip firewall filter
add chain=forward src-address-list=ja dst-address-list=ostali action=drop

moze da se ogranici pristup iz jednog mreznog opsega u drugi ali opet postoji problem kako naterati korisnika da koristi tu i tu IP adresu (znam da jedino moze preko arp tabele, znaci arp=replay only, to mu dodje kao neki MAC filtering koji je smesna vrsta zastite ko iole zna nesto o mrezama).

Da li postoji neki drugi vid zastite? Jedino da podesim auth preko VPN-a ili pppoe, mada time sprecavam korisnika da koristi net cim upali komp nego mora i da se autentifikuje... Na AP-u imam mogucnost izolacije korisnika mada time izoliram i svoje racunare a imam ih 4 na toj mrezi.

Ili mi preostaje da nabavim upravljivi switch sa 2 ap-a jedan za njih na poseban vlan a mene na drugi ap za poseban vlan....
 
Odgovor na temu

newtesla
Aleksander Segedi
CEO / owner
Tim011 Digital doo
N 44.69344 - E 20.38175

Član broj: 147164
Poruke: 1532
109-92-229-245.dynamic.isp.telekom.rs.

Sajt: www.knjigovodja.in.rs


+404 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika23.12.2012. u 21:34 - pre 137 meseci
Šerovao si stvarčice bez passworda? ...ccc...
Kad, tokom pravljenja Nes kafe, umesto da uzmeš mleko iz friza tamo ustvari staviš Nes konzervu - shvatiš koliko je multitasking za*ebana i pipava rabota :)
 
Odgovor na temu

bmarkovic06

Član broj: 301412
Poruke: 716



+66 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika23.12.2012. u 21:40 - pre 137 meseci
Citat:
newtesla: Šerovao si stvarčice bez passworda? ...ccc...


Hehe nisam ja samo u pitanju nego buraz, majka.... Nije mi problem ni kod njih da postavim password protected shareing ali aj ti nagovori osobu od 45 godina da koristi neki password... A navikli su da na mom racunaru ima svega i svacega od multimedije... Mislio sam da bi ovo sto sam pokusao bilo malo elegantnije resenje.

Ako imas neki predlog slobodno napisi :D. Ja evo pokusavam nesto da smilim al ne ide nikako sem da nabavim drugi ruter (sto mi provajder ne dozvoljava pitaj boga zasto....), zato sam i mislio da idem sa upravljivim switchom i vlan-ovima... ali tako ispade skuplje uze od koze...
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 6278

Sajt: pedja.supurovic.net


+1570 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika23.12.2012. u 21:56 - pre 137 meseci
Oduvek je pravi način da izoluješ svoju mrežu od drugih bio taj da između staviš neki firewall odnosno ruter.

 
Odgovor na temu

bmarkovic06

Član broj: 301412
Poruke: 716



+66 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika23.12.2012. u 22:02 - pre 137 meseci
Znaci najbolje da uzmem rb750 na primer i jedan AP za sebe vezem na jedan a drugi AP za druge vezem na drugi interfes, na oba interfejsa po DHCP server i cao... uz naravno filter pravilo da dropujem sve izmedju dve mreze.

[Ovu poruku je menjao bmarkovic06 dana 24.12.2012. u 02:21 GMT+1]
 
Odgovor na temu

rajco

Član broj: 19348
Poruke: 1020

Sajt: rajco.me/blog


+45 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika24.12.2012. u 07:43 - pre 137 meseci
Pravo rešenje su ti vlan-ovi, možeš i uzeti neki svič koji ih podržava ako ti je jeftnije od RB750G.
rajco.me/blog

 
Odgovor na temu

newtesla
Aleksander Segedi
CEO / owner
Tim011 Digital doo
N 44.69344 - E 20.38175

Član broj: 147164
Poruke: 1532
109-92-229-245.dynamic.isp.telekom.rs.

Sajt: www.knjigovodja.in.rs


+404 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika24.12.2012. u 09:24 - pre 137 meseci
Jedino što bez VLAN-a ne možeš sa 411 su dva DHCP-a: u prevodu, ako ćeš u jednom subnetu da sve upisuješ statički/ručno, onda ti svič sa VLAN-ovima ne treba. Najjeftiniji VLAN svič je inače RB250 - koji košta isto ko i RB750 :D

@Peđa: baki, to što smo se toliko navikli na NAT nas je upropastilo: prvi deploy IPv6 će najverovatnije dovesti do smaka sveta! ...kad shvatiš da ti Android dobija javnu, vindoza XP dobija javnu....

Zaštita se valjda radi na samom korisničkom računaru: to što postoje bangavi OS-ovi, koji ne mogu da "ćute" na mreži kad ih neko nešto pita - to ne znači da je NAT pametna stvar; NAT inače normalno ne koriste oni koji idu na net putem PPPoE/VPN sa samog računara (u ogromnom broju slučajeva) kao i oni koji dobijaju modem, a ne ruter (coax provajderi). Prava stvar je kontrola pristupa, a firewall može i bez NAT-a :)

@bmarkovic: Možeš da namestiš svima šifre za šer, sa šiframa za juzer naloge - a da ostane da ne moraju nigde da kucaju bilo kakav pass, nego da računar pamti.
Kad, tokom pravljenja Nes kafe, umesto da uzmeš mleko iz friza tamo ustvari staviš Nes konzervu - shvatiš koliko je multitasking za*ebana i pipava rabota :)
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 6278

Sajt: pedja.supurovic.net


+1570 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika24.12.2012. u 09:37 - pre 137 meseci
Mnogo je bolje obezbeđivati lokalnu mrežu centralizovano, odnosno na tačkama koje predstavlaju vezu te mreže sa okolinom, a ne da bezbednost zavisi od svakog računara u njoj. Nekada su za tu namenu postavljani namenski firewall-i a danas je dovoljan i običan ruter. NAT je samo najjedostavniji oblik firewall-a koji je obično i sasvim dovoljan.

U ovom konkretnom slučaju NAT nije potreban već samo par jednotavnih pravila koja kontrolišu saobraćaj između dva segmenta lokalne mreže.

newtesla, za IPV6 si u pravu. Vaćanje koncepta da su svi uređaji koji su umreženi ujedno i javno dostupni će zaista da zakomplikuje svima život.
 
Odgovor na temu

anon115774

Član broj: 115774
Poruke: 1656



+920 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika24.12.2012. u 13:07 - pre 137 meseci
Citat:
Predrag Supurovic: Mnogo je bolje obezbeđivati lokalnu mrežu centralizovano, odnosno na tačkama koje predstavlaju vezu te mreže sa okolinom, a ne da bezbednost zavisi od svakog računara u njoj.


Uopste se ne bih slozio. Sta ce se desiti onda kada nezasticen racunar iskljucis sa tako zasticene mreze i povezes na neki javni hotspot?
 
Odgovor na temu

rajco

Član broj: 19348
Poruke: 1020

Sajt: rajco.me/blog


+45 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika24.12.2012. u 13:39 - pre 137 meseci
On ne ostaje nezaštićen, zato i imaš profile na widows firewall-u, na domenskoj mreži bi uključio razne portove, dok na public nećeš ostaviti ništa uključeno. Prvi i najbitniji deo zaštite je ivični deo mreže, odnosno u ovom slučaju Mikrotik sa funkcijom firewall-a. Naravno postoje i drugi sistemi, kao što je zaštita na samom računaru koja se takođe podrazumeva.
rajco.me/blog

 
Odgovor na temu

bmarkovic06

Član broj: 301412
Poruke: 716



+66 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika24.12.2012. u 13:41 - pre 137 meseci
@Informer Pedja je verovatno mislio na stabilne racunare u mrezi (sto kod mene i jeste slucaj :)) i slazem se sa njim da je tu NAT najbolja stvar, pre svega sto kod mene dodje nekada neko i zeli da se nakaci na mrezu i automatski biva izlozen drugima...

A i to sto kazes da racunar sam treba biti zasticen se slazem u potpunosti, eto npr moj laptop koji nosam svuda i svakuda sam obezbedio postenski jer sam svestan rizika kacenjem na otvorene mreze.

Ipak cu ici sa rb750.
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 6278

Sajt: pedja.supurovic.net


+1570 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika24.12.2012. u 13:45 - pre 137 meseci
Citat:
Informer: Uopste se ne bih slozio. Sta ce se desiti onda kada nezasticen racunar iskljucis sa tako zasticene mreze i povezes na neki javni hotspot?


Ako se računar povezuje na javnu mrežu onda opn treba dabude zaštićen od nje i to je problem tog računara.

Mi pričamo o LAN-u. Besmisleno je bezbednost zasbnivati na pojedinačnim računarima jer je to mnogo teže za adminsitraciju i ima neograničen broj mogućnosti da ne funkcioniše, a da ne pričamo o tome koliko bi bilo komplikovano uošte raditi u takvoj mreži gde se svi od svih štite, pogotovo ako je potrebno da se svi štite od interneta a između sebe ne bi trebalo da budu zaštićeni u toj meri. Svaki korisnik takvog računara bi morao da bude mali mrežni ekspert da bi mu to radilo.


 
Odgovor na temu

bmarkovic06

Član broj: 301412
Poruke: 716



+66 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika24.12.2012. u 14:27 - pre 137 meseci
Pa zato sam ja i hteo da idem sa varijantom da odvojim svoje racunare od drugih u dve razlicite mreze. Tako mi je mnogo lakse pogotovu sto na racunaru kod buraza i na ostalima nema neki dobar firewall vec je svuda avg free. A windows firewall je tu kao da ga i nema... Admin password nema takodje..
 
Odgovor na temu

newtesla
Aleksander Segedi
CEO / owner
Tim011 Digital doo
N 44.69344 - E 20.38175

Član broj: 147164
Poruke: 1532
109-92-229-245.dynamic.isp.telekom.rs.

Sajt: www.knjigovodja.in.rs


+404 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika25.12.2012. u 00:35 - pre 137 meseci
Citat:
bmarkovic06:Admin password nema takodje..


??????????? ...........

Citat:
rajco: On ne ostaje nezaštićen, zato i imaš profile na widows firewall-u, na domenskoj mreži bi uključio razne portove, dok na public nećeš ostaviti ništa uključeno.


Ono, jes', penis, al bogami i nije :) vidiš, vindoza će u IPv&-enabled mreži da dobije IPv4 lokalnu adresu, i IPv6 javnu: i ti ćeš kliknuti Home network - misleći da si sakriven iza NAT-a ; istina je zato tu da se surovo našali sa tobom :D

Citat:
Predrag Supurovic: Besmisleno je bezbednost zasbnivati na pojedinačnim računarima jer je to mnogo teže za adminsitraciju i ima neograničen broj mogućnosti da ne funkcioniše, a da ne pričamo o tome koliko bi bilo komplikovano uošte raditi u takvoj mreži gde se svi od svih štite, pogotovo ako je potrebno da se svi štite od interneta a između sebe ne bi trebalo da budu zaštićeni u toj meri. Svaki korisnik takvog računara bi morao da bude mali mrežni ekspert da bi mu to radilo.


Tu ću se baš naročito razložiti u mišljenju sa tobom: osim što mi je uvek sistemski zahtev da direktoru i njegovoj sekretarici ne može da se "uđe na kompjuter" - nije ni naročito teško: dok sam radio sa vindozama, AD je bio rešenje; danas sve radimo u NFS/FTP/Web2.0 rešenjima. Jedino zašto i dalje čuvam NAT/Firewall kombinaciju je zbog prokletog Datalab Pantheon servera, koji mora na mssql (2003). Ostalo? Pa SAMBA mašini sam dao javnu IP :D i IPv4 i IPv6 ;)
Kad, tokom pravljenja Nes kafe, umesto da uzmeš mleko iz friza tamo ustvari staviš Nes konzervu - shvatiš koliko je multitasking za*ebana i pipava rabota :)
 
Odgovor na temu

rajco

Član broj: 19348
Poruke: 1020

Sajt: rajco.me/blog


+45 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika25.12.2012. u 06:04 - pre 137 meseci
Citat:
newtesla:Jedino zašto i dalje čuvam NAT/Firewall kombinaciju je zbog prokletog Datalab Pantheon servera, koji mora na mssql (2003).
Što mora na mssql 2003 :)
rajco.me/blog

 
Odgovor na temu

bmarkovic06

Član broj: 301412
Poruke: 716



+66 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika25.12.2012. u 15:32 - pre 137 meseci
Mislio sam na administratorski password za windows xp :-). Nebitno nisam dovraio recenicu kako treba....
 
Odgovor na temu

newtesla
Aleksander Segedi
CEO / owner
Tim011 Digital doo
N 44.69344 - E 20.38175

Član broj: 147164
Poruke: 1532
109-92-229-245.dynamic.isp.telekom.rs.

Sajt: www.knjigovodja.in.rs


+404 Profil

icon Re: 2 mreze na jednom interfejsu mikrotika26.12.2012. u 01:36 - pre 137 meseci
Citat:
bmarkovic06: Mislio sam na administratorski password za windows xp :-). Nebitno nisam dovraio recenicu kako treba....


Tome sam se i začudio onoliko: da li si svestan kolika je to greška?

Citat:
rajco: Što mora na mssql 2003 :)


Fakin' sistemsko-aplikativni zahtev: mora mssql. 2003 je definitivno bolji od ikspea, glede sigurnosti.
Kad, tokom pravljenja Nes kafe, umesto da uzmeš mleko iz friza tamo ustvari staviš Nes konzervu - shvatiš koliko je multitasking za*ebana i pipava rabota :)
 
Odgovor na temu

[es] :: Wireless :: Mikrotik :: 2 mreze na jednom interfejsu mikrotika

[ Pregleda: 2602 | Odgovora: 19 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.