Využij akce až 30 % zdarma při nákupu e-learningu. Více informací. Zároveň je tento týden sleva až 80 % na e-learning týkající se C# .NET
Hledáme nového kolegu do redakce - 100% home office, 100% flexibilní pracovní doba. Více informací.
Avatar
Dědečkovy hodiny:18. ledna 8:25

Ahoj,

včera jsem celý den řešil stavění sítě s MK a vůbec se mi to nepovedlo rozchodit. Je čas posílit zabezpečení mé malé firmy, ale jsem amatér, tak se omlouvám za nepřesné vyjadřování.

Jde o to, že mám na vstupu MikroTik RB3011UiAS verze 6.48.

Do ether 1 - WAN "teče internet" ; ether 9 je výstup do LAN přes co běží veškerý provoz. Ether 5 je propojen s dalším MK, kde je oddělená síť fyzicky. To měnit nechci.

Mám doteď jeden pool 192.168.0.0-192.168.0.255. Mám po celé firmě AP UniFi, které sbírají lidi a hází je do tohoto rozsahu.

Vytvořil jsem 6 POOLŮ:

1.) Návštěvníci - 192.168.0.1/24
2.) Ethernet - 192.168.2.1/24 - všichni připojeni po ETHERNETU
3.) WiFi - 192.168.3.1/24 - všichni připojení bezdrátově
4.) CAM - 192.168.4.1/24 - všechny kamery
5.) TECH - 192.168.5.1/24 - všechny technologické servery, tiskárny a další
6.) VPN - 192.168.6.1/24 - všichni klienti po SSTP - pro bezpečné připojení.

Mám jeden DHCP server, který běží v rozsahu na 192.168.0.1/24, což je v pořádku a tam všichni padají. Pokud chci vytvořit další DHCP servery, tak co jsem vystudoval je nutno fyzicky porty oddělit od bridge, aby to nebylo brané jako SLAVE a vytvořit nový bridge nebo to jde udělat VLAN. Testoval jsem tyto možnosti a nemohl jsem zaboha na toto přijít.

Docílil jsem toho, že jsem měl jedno DHCP na 192.168.0.1/24 tam padají lidi a pak přes DHCP leases jsem dle MAC přiřazoval IP do poolu to fungovalo, ale pak ten daný POOL neměl internet - účastník kterého jsem tam přiřadil. Nastavil jsem vše do Address listu, ARP listu a Leases.

Bohužel pak tato adresa neměla internet, ale není to ono co potřeubuji.

Chci, aby každý pool měl svůj DHCP jestli to správně chápu, tak každý pool bude mít VLAN a vytovřený DHCP server, kde si pak nastavím ARP-reply only kvůli tomu, aby si nikdo z nulové sítě 192.168.0.1/24 nevynutil další POOL.

Pool na nule bude mít ARP - enable pro návštěvníky.

Poté si ve FW - udělám pravidlo, aby 0 pool nemohl vidět do ostatních, to se mi povedlo. Ty všechny ostatní do sebe vidět můžou.

Posílám fotku z Tiku, jak mám nastaveno bez VLAN + menší schéma, jak bych si to představoval.

Omlouvám se předem jestli je to špatně pochopitelné. Snad jsem to popsal dobře.

 
Odpovědět
18. ledna 8:25
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 1 zpráv z 1.