Помощ за конфигуриране на две подмрежи

[valbg]

Привет,

Знанията ми са на съвсем базово ниво и макар да отделих доста време не успях да намеря помощ в интернет (съответно, не успях да разбера достатъчно това което се обяснява за моята ситуация)

Задачата ми е следната:

Разполагам с RB2011iL-RM (свързан към интернет) и искам в обща ethernet мрежа да свържа две групи устройства - IP камери + NVR (едната) и компютри (другата), като и двете групи да имат достъп до интернет, но да не се виждат една друга.

Вероятно не съобразявам още нещо и приемам допълнителни въпроси. 

[Самуил Арсов]

/interface bridge
add name=bridge1
add name=bridge2

/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254

/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge2 lease-time=1d name=dhcp1

/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge2 interface=ether4
add bridge=bridge2 interface=ether5
add bridge=bridge2 interface=ether6
add bridge=bridge2 interface=ether7

/ip dhcp-client
add interface=ether1 disabled=no

/ip address
add address=192.168.0.1/24 interface=bridge1
add address=192.168.1.1/24 interface=bridge2

/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

/ip firewall filter
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.0.0/24

ether1 = WAN: Internet
ether2 = група1: NVR
ether3 = група1: PoE switch cams
ether4 = група2: AP
ether5 = група2: Home switch
ether6 = група2: PC1
ether7 = група2: PC2

Ако първи порт ти е WAN, втори и трети са за видеонаблюдението а останалите за домашната мрежа става лесно.

Мрежата за видеото е 192.168.0/24 и няма смисъл от автоматично получаване на адреси което значи, че (това е само пример) 192.168.0.2 е NVR а 192.168.0.2/3/4/5/6/7 са камери. С горната конфугурация те ще имат Интернет но няма да виждат домашната ти мрежа 192.168.1.0/24 която също ще има Интернет и ще раздава адреси автоматично.

Незнам какво влагаш под обща Ethernet мрежа но ще се опитам в допълнение с колегата ДжонТриВолта да ти дам възможни сценарий.

1. Горния пример, най прост и най сигурен, може би с малко повече кабел но е класика.

2. След рутера Switch който поддържа Port Isolation, със сигурност по скъпо от кабела освен ако не наблюдаваш футболно игрище и се иска малко знания как да се конфигурира.

3. Едната мрежа се отделя с VLAN, също изисква допълнителен Switch който поддържа това, конфигурация и отива на пари работата

[JohnTRIVOLTA]

Ако са в една етернет мрежа няма как да не се виждат на L2, освен ако устройствата в една от "групите"  поддържат VLAN !

[valbg]

Благодаря за отзивчивостта ви,

Трябва да поясня малко моята ситуация. Мрежата е изграждана/разширявана "хаотично" през годините.
Не е домашна, ведомствена е (съответно парите ...). Заварих я като настолните компютри и WiFi рутерите са 192.168.88.ХХХ (DHCP раздава от 100-254), а IP камерите са 192.168.99.XXX. Gateway е само един 192.168.88.1. Маските обаче навсякъде са 255.255.255.0.

Като попитах "как да не се виждат" камери и компютри имах предвид - оптимизиране/организиране с цел минимизиране трафика в мрежата. Все се надявам да има какво да се направи/използва (предвид възможностите на Микротик) за моята ситуация.  

[111111]

На 5.01.2023 г. at 0:24, samyil написа:

/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge2 lease-time=1d name=dhcp1

Време зададено над 10 мин е безсмислено.
ако пропадне връзка от рутер до суич на който е  клиента,
на другия ден ще разбере от де е проблема, докато останалите може да си имат нет. 

[valbg]

Значи към момента сме със шест 2-3МП камери и 15-ина интернет "сърфисти", няма забавяния от трафик, но ... със времето очаквам да се получи и затова отоврих тази тема (надвам се да се окаже полезна и за други начинаещи като мен). Разделяне на камерите физически (на портове на рутера) не може да се направи, както и по самата мрежа - разстоянията са големи и допълнително окабеляване за целта ще е доста разход.

Ориентирам се като за начало да "изолирам" само ИП камерите във VLAN. Доколкто разбрах останалите точки, които ползват мрежата за достъп до интернет, не е задължително да се организират във друг VLAN. Подходи в RouterOS намирам различни, предпочитам да е най-простия (като за начало), дори и да има някакви слабости - по-нататък ще развивам/доизграждам, като дойде време/нужда ... 

Ако някой е открил добро (подробно, пълно) ръководство някъде из интернет - моля споделяйте (аз също продължавам да търся).  Започвам схема на Ethernet мрежата и ако някой прояви интерес мога да я дам тук за указания как да настройвам Микротик-а.

Edited January 26, 2023 by valbg

[JohnTRIVOLTA]

Щом камерите поддържат VLAN, ползвай таг в мрежата за тях, а нетагнатия трафик си остава за потребителите на интернет.

В рутера вилана се сетва директно на локалния бридж.

[valbg]

Преди 21 часа, JohnTRIVOLTA написа:

Щом камерите поддържат VLAN, ползвай таг в мрежата за тях, а нетагнатия трафик си остава за потребителите на интернет.

В рутера вилана се сетва директно на локалния бридж.

Уви ... чел-недочел ... и си харесах VLAN, ами - не, камерите (HikVision) не поддържат VLAN тагове. 
Продължавам "борбата" и оставам отворен за предложения и съвети.

Edited January 27, 2023 by valbg

[111111]

Защо се бориш, пусни ги на отделен бридж, задай го в друга адреса група и отделно NAT правило.

[Самуил Арсов]

Не разбирам за каква борба и за какви ръководства говориш ?

1. Няма такива Mikrotik мрежи, Sisco мрежи или някаква марка мрежи. Мрежата е една без значение какъв производител ползваш, правилата за всички са едни и същи. Друг е въпроса, че за 5 камери и 20 клиента ако няма някаква найстина сериозна причина не виждам нужда от каквото и да е допълнително конфигуриране.

2. Искаш да конфигурираш рутер за решение което не зависи от рутера. Рутера рутира, тоест препраща трафика между портовете си или филтрира с Firewall, трафика който идва или излиза от него. Как искаш да управляваш трафик който не стига до него (пример: камера и клиент са на един и същ неуправляем суич) Очевидно е, че рутера не може да управлява пакети между тях а устройството което ги свързва тоест суича.

3. По горе ти споменах три варианта
а) два Bridge да разделят мрежата - разбрахме, че не става.
б) VLAN до два или повече суича (не до камерите) - също е ясно, че не става.
в) Port Isolation е твоето решение защото няма друг вариант да останеш с една мрежа.

Явно не знаеш какво е Port Isolation, сега се надявявам да ти обясня. В суича който поддържа порт изолация се конфигура така, че всички да виждат Uplink порта (изхода от рутера) но да не се виждат помежду си ако са от една мрежа. Можеш да имаш само един суич, можеш да имаш скачени един след друг, може да го слагаш където поискаш в мрежата точно в точката на изолация. В този сценарии всички ще имат Интернет и ще виждат рутера но между тях няма да има трафик.

Тези борби и тези ръководства за марки рутери не ти трябват, по скоро ти трябва да си обясниш как работи мрежата, най вече слоевете: Layer2: Brdging&Switching, Layer3: Routing и Layer4: VPN&Firewall.

[JohnTRIVOLTA]

Да добавя , че има и софтуерна L2 порт изолация в бриджа или бриджпорт изолазия , а именно Bridge Horizon !