Εδώ μιλάμε για Mikrotik RouterBoard

[kostas2005]

Σιγουρα οπως βολευει τον καθενα απλα ρωταω ποιες οι διαφορες και δινω και ενα σεναριο να μου πειτε τα υπερ και τα κατα αν προχωρησω ετσι η αλλιως.
Καποια διαφορα θα υπαρχει αποκλειεται να ειναι ακριβως το ιδιο.

[kostas2005]

τελικα εριξα την κληση vpn επανω σε ενα vlan και δουλευει.

Εχω ομως 2 κανονες που αν αφησω και τους 2 η και μονο τον 1 (οποιονδηποτε) παλι δουλευει.

Μπορει καποιος με απλα λογια να μου εξηγησει τι ακριβως ζηταω εδω add action=masquerade chain=srcnat
μηπως και καταλαβω τα υπολοιπα?

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pptp-client-interface-VPN-US
add action=masquerade chain=srcnat src-address=192.168.68.0/24

- - - Updated - - -

κατι ακομα

αν εχω 2 vlan χρειαζονται και κανονες για isolation μεταξυ τους?

- - - Updated - - -

τοσο δυσκολο ειναι αυτο που ζηταω?

[kostas2911]

τελικα εριξα την κληση vpn επανω σε ενα vlan και δουλευει.

Εχω ομως 2 κανονες που αν αφησω και τους 2 η και μονο τον 1 (οποιονδηποτε) παλι δουλευει.

Μπορει καποιος με απλα λογια να μου εξηγησει τι ακριβως ζηταω εδω add action=masquerade chain=srcnat
μηπως και καταλαβω τα υπολοιπα?

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pptp-client-interface-VPN-US
add action=masquerade chain=srcnat src-address=192.168.68.0/24

- - - Updated - - -

κατι ακομα

αν εχω 2 vlan χρειαζονται και κανονες για isolation μεταξυ τους?

- - - Updated - - -

τοσο δυσκολο ειναι αυτο που ζηταω?

Ότι "δουλέυει" δεν σημαίνει απαραίτητα ότι είναι και σωστό.

- Masquerade = source nat με την ip του out interface. Αν το εκάστοτε Interface έχει πάνω από μια IP θα χρησημοποιήσει την μικρότερη.

- Αν δεν θέλεις να επικοινωνούν τα 2 vlan, ναι θες firewall κανόνες.

[deniSun]

τελικα εριξα την κληση vpn επανω σε ενα vlan και δουλευει.

Εχω ομως 2 κανονες που αν αφησω και τους 2 η και μονο τον 1 (οποιονδηποτε) παλι δουλευει.

Μπορει καποιος με απλα λογια να μου εξηγησει τι ακριβως ζηταω εδω add action=masquerade chain=srcnat
μηπως και καταλαβω τα υπολοιπα?

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pptp-client-interface-VPN-US
add action=masquerade chain=srcnat src-address=192.168.68.0/24

- - - Updated - - -

κατι ακομα

αν εχω 2 vlan χρειαζονται και κανονες για isolation μεταξυ τους?

- - - Updated - - -

τοσο δυσκολο ειναι αυτο που ζηταω?

Οτιδήποτε πάει προς το pptp-client-interface-VPN-US να το περνάει από ΝΑΤ.
Οτιδήποτε προέρχεται από το 192.168.68.0 δίκτυο να το περνάει από ΝΑΤ.

[kostas2005]

Ότι "δουλέυει" δεν σημαίνει απαραίτητα ότι είναι και σωστό.

- Masquerade = source nat με την ip του out interface. Αν το εκάστοτε Interface έχει πάνω από μια IP θα χρησημοποιήσει την μικρότερη.

- Αν δεν θέλεις να επικοινωνούν τα 2 vlan, ναι θες firewall κανόνες.

Ευχαριστω. Σιγουρα δεν ειναι σωστο για αυτο ρωταω.

Αυτο που λες "Αν το εκάστοτε Interface έχει πάνω από μια IP θα χρησημοποιήσει την μικρότερη." μπορεις να μου το εξηγησεις λιγο καλυτερα?
Εχει να κανει με αυτο που λεω οτι δουλευει με οποιο κανονα και να αφησω και βλεπεις η φανταζεσαι οτι συμβαινει κατι τετοιο (δεν νομιζω αλλα ρωταω)? Η μου το λες γενικα να το εχω στο νου μου?

Οτιδήποτε πάει προς το pptp-client-interface-VPN-US να το περνάει από ΝΑΤ.
Οτιδήποτε προέρχεται από το 192.168.68.0 δίκτυο να το περνάει από ΝΑΤ.

Ευχαριστω.


Εδω τι μπορει να συμβαινει και δουλευει με οποιον κανονα και να αφησω? ειναι φυσιολογικο?

[deniSun]

Ευχαριστω. Σιγουρα δεν ειναι σωστο για αυτο ρωταω.

Αυτο που λες "Αν το εκάστοτε Interface έχει πάνω από μια IP θα χρησημοποιήσει την μικρότερη." μπορεις να μου το εξηγησεις λιγο καλυτερα?
Εχει να κανει με αυτο που λεω οτι δουλευει με οποιο κανονα και να αφησω και βλεπεις η φανταζεσαι οτι συμβαινει κατι τετοιο (δεν νομιζω αλλα ρωταω)? Η μου το λες γενικα να το εχω στο νου μου?

Ευχαριστω.


Εδω τι μπορει να συμβαινει και δουλευει με οποιον κανονα και να αφησω? ειναι φυσιολογικο?

Στο αρχικό σου ερώτημα περί διαχωρισμό δικτύων:
Από την στιγμή που θέλεις τα δίκτυά σου να είναι ανεξάρτητα...
μπορείς απλά να κάνεις διαχωρισμό τις θύρες βάζοντάς τε σε διαφορετικό bridge
και ορίζοντας για το καθένα διαφορετικό δίκτυο.
Αν τα έχεις έτσι δεν θα βλέπονται εκ των πραγμάτων.
Αν προσθέσεις ΝΑΤ για το κάθε ένα θα τους δίνεις την δυνατότητα να βγαίνουν προς τα έξω (αλλά οι έξω δεν θα μπορούν να επικοινωνούν με αυτούς).

[kostas2005]

Στην τελευταία πρόταση που λες " δεν θα μπορούν οι εξω να επικοινωνήσουν.." εννοείς ότι θα είμαι πισω από το nat firewall αρα θα ειμαι προστατευμένος απο τους εξω αλλά στην πορεία μπορώ να προσθέσω κανόνες για περαιτέρω ασφάλεια?




(,Edit: επειδή μπερδεύτηκα με την τελευταία συνολική σου απάντηση. Βαζοντας τα σε διαφορετικές θυρες που λες εννοείς lan ports/virtual ap => bridge Δηλαδή μου λες να μην μπλέξω με vlan? Τα παρακάτω που ρωτάω ειναι περιττά?)

Το να κοψουμε την επικοινωνια, isolation μεταξύ τους γινετε μονο σε επιπεδο bridge ?
Στο σενάριο που έρχομαι απο reset και έχω αφήσει το main/private δικτυο μου στην αρχική bridge αυτοι οι κανονες ειναι αρκετοι για 100% isolation μεταξυ των δικτύων?

/ip firewall filter
add action=drop chain=forward disabled=no in-interface=Bridge out-interface=bridge-VPN-US-VLAN
add action=drop chain=forward disabled=no in-interface=bridge-VPN-US-VLΑΝ out-interface=Bridge


Αν ειχα ακομα ενα αλλο interface πχ guest και αυτο επανω σε vlan θα επρεπε να προσθεσω κανονες προς τα αλλα 2 interface=Bridge αλλα και interface=bridge-VPN-US-VLAN?
Δηλαδη αλλους 4 κανονες ?

/ip firewall filter
add action=drop chain=forward disabled=no in-interface=Bridge out-interface=bridge-guest-vlan
/ip firewall filter
add action=drop chain=forward disabled=no in-interface=bridge-guest-vlan out-interface=Bridge


/ip firewall filter
add action=drop chain=forward disabled=no in-interface=Bridge out-interface=bridge-VPN-US-VLAN
/ip firewall filter
add action=drop chain=forward disabled=no in-interface=bridge-VPN-US-VLAN out-interface=Bridge

Οποτε με Ακομα ενα interface, δηλαδη 4 θα ηθελα αλλους 3χ2=6 κανονες?
Σωστα?

[deniSun]

Στην τελευταία πρόταση που λες " δεν θα μπορούν οι εξω να επικοινωνήσουν.." εννοείς ότι θα είμαι πισω από το nat firewall αρα θα ειμαι προστατευμένος απο τους εξω αλλά στην πορεία μπορώ να προσθέσω κανόνες για περαιτέρω ασφάλεια?




(,Edit: επειδή μπερδεύτηκα με την τελευταία συνολική σου απάντηση. Βαζοντας τα σε διαφορετικές θυρες που λες εννοείς lan ports/virtual ap => bridge Δηλαδή μου λες να μην μπλέξω με vlan? Τα παρακάτω που ρωτάω ειναι περιττά?)

Το να κοψουμε την επικοινωνια, isolation μεταξύ τους γινετε μονο σε επιπεδο bridge ?
Στο σενάριο που έρχομαι απο reset και έχω αφήσει το main/private δικτυο μου στην αρχική bridge αυτοι οι κανονες ειναι αρκετοι για 100% isolation μεταξυ των δικτύων?

/ip firewall filter
add action=drop chain=forward disabled=no in-interface=Bridge out-interface=bridge-VPN-US-VLAN
add action=drop chain=forward disabled=no in-interface=bridge-VPN-US-VLΑΝ out-interface=Bridge


Αν ειχα ακομα ενα αλλο interface πχ guest και αυτο επανω σε vlan θα επρεπε να προσθεσω κανονες προς τα αλλα 2 interface=Bridge αλλα και interface=bridge-VPN-US-VLAN?
Δηλαδη αλλους 4 κανονες ?

/ip firewall filter
add action=drop chain=forward disabled=no in-interface=Bridge out-interface=bridge-guest-vlan
/ip firewall filter
add action=drop chain=forward disabled=no in-interface=bridge-guest-vlan out-interface=Bridge


/ip firewall filter
add action=drop chain=forward disabled=no in-interface=Bridge out-interface=bridge-VPN-US-VLAN
/ip firewall filter
add action=drop chain=forward disabled=no in-interface=bridge-VPN-US-VLAN out-interface=Bridge

Οποτε με Ακομα ενα interface, δηλαδη 4 θα ηθελα αλλους 3χ2=6 κανονες?
Σωστα?

Έστω ότι έχεις 6 ether.
βάζεις 2 & 3 σε bridge με gw την 1
βάζεις 5 & 6 σε bridge με gw την 4
Έστω το πρώτο είναι το lan1 και το δεύτερο το lan2.
Κάνεις ΝΑΤ ώστε να βγαίνουν προς τα έξω (πχ internet) οι 1 και 4.
Τα lan1 και 4 δεν μπορούν να επικοινωνήσουν μεταξύ τους.
Δεν μπορείς δηλαδή να έχεις επικοινωνία απευθείας από έναν ΗΥ του lan1 σε άλλον του lan2.
Επίσης... με το ΝΑΤ θα μπορείς να έχεις πρόσβαση στο πχ internet και στο υπόλοιπο δίκτυο που μπορεί να συνδέονται οι 1 και 4 (πχ ένα άλλο sw ή ΜΤ που θα ανήκει στο ίδιο δίκτυο με το αυτό των 1 και 4).
Αλλά ένας ΗΥ από το δίκτυο των 1 και 4 δεν θα μπορεί λόγω ΝΑΤ να έχει πρόσβαση στο δίκτυο των 2-3 και 5-6.
Σε αυτή την περίπτωση θα έπρεπε να ανοίξεις πόρτες.

Τώρα σχετικά με το vlan...
Εξαρτάται τι θέλεις να κάνεις.
Συνήθως το χρησιμοποιούμε όταν θέλουν να βάλουμε στο ίδιο δίκτυο συσκευές που κάθονται σε διαφορετικά sw/router.

Ποιο είναι περισσότερο αποδοτικό... το ΝΑΤ ή το vlan... δεν έχω κάνει μετρήσεις για να σου πω.
Αλλά όπως σου είπα είναι διαφορετικά πράγματα.
Οι περιπτώσεις που επιλέγεις να υλοποιήσεις κάτι με ΝΑΤ δεν σχετίζονται με αυτές που επιλέγεις vlan.

[Nikiforos]

Καλημέρα! έχει ασχοληθει κανεις με WOL απο το mikrotik? https://wiki.mikrotik.com/wiki/Manual:Tools/Wake_on_lan
να ρωτησω κατι που εχω ενα θεματακι.

[kostas2911]

Έστω ότι έχεις 6 ether.
βάζεις 2 & 3 σε bridge με gw την 1
βάζεις 5 & 6 σε bridge με gw την 4
Έστω το πρώτο είναι το lan1 και το δεύτερο το lan2.
Κάνεις ΝΑΤ ώστε να βγαίνουν προς τα έξω (πχ internet) οι 1 και 4.
Τα lan1 και 4 δεν μπορούν να επικοινωνήσουν μεταξύ τους.
Δεν μπορείς δηλαδή να έχεις επικοινωνία απευθείας από έναν ΗΥ του lan1 σε άλλον του lan2.
Επίσης... με το ΝΑΤ θα μπορείς να έχεις πρόσβαση στο πχ internet και στο υπόλοιπο δίκτυο που μπορεί να συνδέονται οι 1 και 4 (πχ ένα άλλο sw ή ΜΤ που θα ανήκει στο ίδιο δίκτυο με το αυτό των 1 και 4).
Αλλά ένας ΗΥ από το δίκτυο των 1 και 4 δεν θα μπορεί λόγω ΝΑΤ να έχει πρόσβαση στο δίκτυο των 2-3 και 5-6.
Σε αυτή την περίπτωση θα έπρεπε να ανοίξεις πόρτες.

Τώρα σχετικά με το vlan...
Εξαρτάται τι θέλεις να κάνεις.
Συνήθως το χρησιμοποιούμε όταν θέλουν να βάλουμε στο ίδιο δίκτυο συσκευές που κάθονται σε διαφορετικά sw/router

Ποιο είναι περισσότερο αποδοτικό... το ΝΑΤ ή το vlan... δεν έχω κάνει μετρήσεις για να σου πω.
Αλλά όπως σου είπα είναι διαφορετικά πράγματα.
Οι περιπτώσεις που επιλέγεις να υλοποιήσεις κάτι με ΝΑΤ δεν σχετίζονται με αυτές που επιλέγεις vlan.

Σε αυτό που περιγράφεις εάν δεν βάλεις firewall κανόνες μεταξύ των 2 lan. Θα μιλάει κανονικά ένας υπολογιστής από το Lan1 έναν άλλο υπολογιστή στο lan2 σε Layer3. Καθώς και τα δύο δίκτυα είναι directly connected στον ίδιο router και η drefault λειτουργία του router είναι να προωθεί τα πακέτα και όχι να τα κόβει.

Όσο για τα vlan δεν έχουν κανένα νόημα σε μια υλοποίηση που έχει μόνο ένα router.
Η αν δεν συνδυάζονται με managed switch ή access points με περισσότερα από ένα ssid.

[kostas2005]

μια περίπτωση που σκέφτομαι για αρχη είναι με 1 wan.

Θα παίζει επάνω στο mt.. ενα private lan με ενα switch σε μια θυρα (για να μοιράζει στις συσκευές όπως pc/nas) και το ssid του βέβαια.
Μετα θα υπάρχει guest ssid, kids ssid, και 2 ssid/θύρες που θα οδηγούν σε vpn.
θα υπάρχει και vpn server.
Δεν θέλω να επικοινωνούν τα δίκτυα μεταξύ τους εκτος απο το private προς τα αλλα, και οι πελάτες του vpn server μου προς τα άλλα.

[deniSun]

Σε αυτό που περιγράφεις εάν δεν βάλεις firewall κανόνες μεταξύ των 2 lan. Θα μιλάει κανονικά ένας υπολογιστής από το Lan1 έναν άλλο υπολογιστή στο lan2 σε Layer3. Καθώς και τα δύο δίκτυα είναι directly connected στον ίδιο router και η drefault λειτουργία του router είναι να προωθεί τα πακέτα και όχι να τα κόβει.

Όσο για τα vlan δεν έχουν κανένα νόημα σε μια υλοποίηση που έχει μόνο ένα router.
Η αν δεν συνδυάζονται με managed switch ή access points με περισσότερα από ένα ssid.

Από την στιγμή που θα βρίσκονται σε διαφορετικό bridge και διαφορετικό sub πώς θα γίνεται η επικοινωνία σε L3;

[esma]

Έχουν το ίδιο default gateway. Εφόσον το default gateway γνωρίζει και τα δύο δίκτυα μπορεί να δρομολογήσει την κίνηση από το ένα Δίκτυο στο άλλο. Σε αυτή την περίπτωση για να τα διαχωρίσεις χρησιμοποιείς firewall filter rules.

[macro]

Deni oντως τα 2 δικτυα θα βλεπονται και δεν ειναι l3 αλλα l1 η επικοινωνια τους. Θες 2 κανονες firewall.

[esma]

Deni oντως τα 2 δικτυα θα βλεπονται και δεν ειναι l3 αλλα l1 η επικοινωνια τους. Θες 2 κανονες firewall.

Δεν νομίζω ότι είναι L1, αφού ειναι σε διαφορετικά bridge και σε διαφορετικές ethernet. Είναι όντως L3 η επικοινωνία μεταξύ τους.