Как защитить сеть

Базовая функциональность RouterOS
evgeniy7676
Сообщения: 42
Зарегистрирован: 19 май 2016, 14:52

Как защитить сеть

Сообщение evgeniy7676 » 10 авг 2018, 15:38

Для связи 2 офисов через сеть провайдера выделили vlan, как спрятать свою локалку от провайдера.

Аватара пользователя
Sir_Prikol
Сообщения: 38
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Как защитить сеть

Сообщение Sir_Prikol » 10 авг 2018, 16:39

За натом она сама по себе спрятана.
А теперь хотя-бы настройки в студию, а то телепаты в отпуске
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

evgeniy7676
Сообщения: 42
Зарегистрирован: 19 май 2016, 14:52

Re: Как защитить сеть

Сообщение evgeniy7676 » 10 авг 2018, 17:36

#1
/interface bridge
add fast-forward=no name=bridge1 protocol-mode=none
/interface eoip
add mac-address=02:53:A2:2D:41:02 name=eoip-tunnel1 remote-address=\
192.168.22.2 tunnel-id=11
/interface vlan
add interface=ether1 name=vlan11 vlan-id=11
add interface=eoip-tunnel1 name=vlan22 vlan-id=22
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=vlan22
/ip address
add address=192.168.22.1/24 interface=ether1 network=192.168.22.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge1
/system identity
set name=MikroTik1

#2
/interface bridge
add fast-forward=no name=bridge1 protocol-mode=none
/interface eoip
add mac-address=02:B7:3A:3C:1A:CB name=eoip-tunnel1 remote-address=\
192.168.22.1 tunnel-id=11
/interface vlan
add interface=ether1 name=vlan11 vlan-id=11
add interface=eoip-tunnel1 name=vlan22 vlan-id=22
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=vlan22
/ip address
add address=192.168.22.2/24 interface=ether1 network=192.168.22.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge1
/system identity
set name=MikroTik2
/system routerboard settings
set silent-boot=no


ether1 -кабель от провайдера
ether2 -локалка внутренная сеть
vlan11 -это влан провайдера а как такая схема нормально будет работать ?

Аватара пользователя
Sir_Prikol
Сообщения: 38
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Как защитить сеть

Сообщение Sir_Prikol » 10 авг 2018, 17:56

ВЛан во влане - нормально изолированно. Вы же не видите сеть провайдера, соответственно и он вашу не видит

Можно, конечно, ещё один туннель сверху навесить, но зачем? Если что-то секретное, тогда надо отказываться от vlan провайдера и своё делать, если нет, то и так пойдёт
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

evgeniy7676
Сообщения: 42
Зарегистрирован: 19 май 2016, 14:52

Re: Как защитить сеть

Сообщение evgeniy7676 » 10 авг 2018, 17:57

если позволяет оборудование провайдера прогонять

Аватара пользователя
Sir_Prikol
Сообщения: 38
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Как защитить сеть

Сообщение Sir_Prikol » 10 авг 2018, 17:59

А причём здесь оборудование провайдера? Это обычное TCP соединение. И, если, vlan даёт пров, то естественно оно может его прогнать
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Как защитить сеть

Сообщение Chupaka » 10 авг 2018, 19:12

Хм... Подозреваю, вилан поверх вилана заработает, только если у провайдера QinQ нормально настроен.

Но если так работает - то для добавления шифрования у EoIP нужно просто с обеих сторон указать ipsec-secret - и вуаля, провайдер даже при желании не увидит, что там в тоннеле :)


Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Как защитить сеть

Сообщение Chupaka » 10 авг 2018, 19:32

Ну, просто "Выделили VLAN" и "Выделили QinQ-вилан" - всё же разные вещи. И в первое пролезет не всё, что пролезет во второе.

evgeniy7676
Сообщения: 42
Зарегистрирован: 19 май 2016, 14:52

Re: Как защитить сеть

Сообщение evgeniy7676 » 10 авг 2018, 19:40

EoIP с ipsec-secret работает,а как проц нагрузит сильно ? у меня rb 750 20 МБит нужно прокинуть,а если все таки заработает QinQ-вилан то как у провайдера защититься он по идее увидит созданные мои веланы ?

Ответить