Elektroda.pl
Elektroda.pl
X
Osprzęt kablowy
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Izolacja komputera od pozostałych na mikrotiku

05 Sie 2019 14:08 264 21
  • Poziom 13  
    Otrzymuję od operatora 2 zewnętrzne adresy ip np. 5.8.9.10 oraz 5.8.9.11
    W sieci lokalnej mam 5 komputerów:
    192.168.0.2,
    192.168.0.5,
    192.168.0.8,
    192.168.0.54
    192.168.0.97
    Aktualnie mam sieć tak skonfigurowaną że komputer o adresach 192.168.0.2 oraz 192.168.0.5 mają ip zewnętrzne 5.8.9.10 natomiast pozostałe komputery mają ip zewnętrzne 5.8.9.11.
    Wszystkie komputery mają łączność pomiędzy sobą,jest możliwość podłączenia się do dowolnego komputera w sieci.

    W jaki sposób mogę odizolować komputer o adresie 192.168.0.5 od pozostałych, chodzi o to aby z tego komputera nie można było się połączyć na pozostałe komputery w sieci.
  • Osprzęt kablowy
  • Osprzęt kablowy
  • Poziom 13  
    Mikrotik RB3011

    Opcję "Access List" mam w zakładce Wireless, jednak ten router nie posiada modułu wi-fi.
  • Poziom 38  
    Trzeba się skonsultowac z instrukcją. WiFi często jest rozpoznawany jako dodatkowy port w module SWITCH.
  • Poziom 13  
    Zaszło drobne nieporozumienie, komputery łączą się z routerem za pomocą kabla LAN, poza tym router nie ma wbudowanego wi-fi.
  • Poziom 34  
    kamilalek1 napisał:
    ... odizolować komputer o adresie 192.168.0.5 od pozostałych, chodzi o to aby z tego komputera nie można było się połączyć na pozostałe komputery w sieci.


    W tym układzie tworzy się bałagan, którym będzie coraz trudniej zarządzać. Najlepiej byłoby wydzielić ten komputer np. do osobnej sieci, osobnego interfejsu ...


    Bez wydzielania: w firewall zablokować ruch pomiędzy tym komputerem a innymi (filter rules).


    Izolacja komputera od pozostałych na mikrotiku

    Warto użyć "safe mode" (lewy górny róg) nim się "palec omsknie".

    Code:

     /ip firewall filter
    chain=forward action=drop src-address=192.168.0.5 dst-address=192.168.0.2
  • Poziom 37  
    kamilalek1 napisał:
    Otrzymuję od operatora 2 zewnętrzne adresy ip np. 5.8.9.10 oraz 5.8.9.11
    W sieci lokalnej mam 5 komputerów:
    192.168.0.2,
    192.168.0.5,
    192.168.0.8,
    192.168.0.54
    192.168.0.97
    Aktualnie mam sieć tak skonfigurowaną że komputer o adresach 192.168.0.2 oraz 192.168.0.5 mają ip zewnętrzne 5.8.9.10 natomiast pozostałe komputery mają ip zewnętrzne 5.8.9.11.
    Wszystkie komputery mają łączność pomiędzy sobą,jest możliwość podłączenia się do dowolnego komputera w sieci.

    W jaki sposób mogę odizolować komputer o adresie 192.168.0.5 od pozostałych, chodzi o to aby z tego komputera nie można było się połączyć na pozostałe komputery w sieci.

    Vlany?

    2 podsieci np 192.168.0.0/24 a na jednym porcie 192.168.0.1/24
    2 razy NAT do róznych, blokada na FW żeby pomiedzy LAN1 i lAN2 pakiety nie przełaziły.
  • Poziom 31  
    m.jastrzebski napisał:
    2 podsieci np 192.168.0.0/24 a na jednym porcie 192.168.0.1/24

    Przecież to jedna i ta sama sieć.
    m.jastrzebski napisał:
    Vlany?

    Jakie znowu vlany skoro komputery podłączone są bezpośrednio do portów routera? Jeśli już tak, to wystarczy wyjąć interfejs od komputera 192.168.0.5 z bridge i nadać mu ip.
    Erbit napisał:
    /ip firewall filter
    chain=forward action=drop src-address=192.168.0.5 dst-address=192.168.0.2

    Prawie.
    Code:
    chain=forward action=drop src-address=192.168.0.5 dst-address=192.168.0.0/24
    
    chain=forward action=drop src-address=192.168.0.0/24 dst-address=192.168.0.5

    I trzeba jeszcze zaznaczyć 'use ip firewall' w Bridge->Settings.
    (To wszystko przy założeniu, że obecna konfiguracja używa bridge)
  • Poziom 37  
    szwagros napisał:
    m.jastrzebski napisał:
    2 podsieci np 192.168.0.0/24 a na jednym porcie 192.168.0.1/24

    Przecież to jedna i ta sama sieć.
    m.jastrzebski napisał:
    Vlany?

    Jakie znowu vlany skoro komputery podłączone są bezpośrednio do portów routera? Jeśli już tak, to wystarczy wyjąć interfejs od komputera 192.168.0.5 z bridge i nadać mu ip.
    Erbit napisał:
    /ip firewall filter
    chain=forward action=drop src-address=192.168.0.5 dst-address=192.168.0.2

    Prawie.
    Code:
    chain=forward action=drop src-address=192.168.0.5 dst-address=192.168.0.0/24
    
    chain=forward action=drop src-address=192.168.0.0/24 dst-address=192.168.0.5

    I trzeba jeszcze zaznaczyć 'use ip firewall' w Bridge->Settings.
    (To wszystko przy założeniu, że obecna konfiguracja używa bridge)

    głupia literówka.
    Oczywiście 192.168.0.0/24 i 192.168.1.0/24. Czego się pewnie domyśliłeś.
    Ten router ma coś koło 10 portów, z czego większość pewnie w jednej sieci LAN, wiec można zastosować vlany.
    Rozwiązań dużo.
  • Poziom 31  
    m.jastrzebski napisał:
    Ten router ma coś koło 10 portów, z czego większość pewnie w jednej sieci LAN, wiec można zastosować vlany.

    Więc proszę przedstaw taką konfigurację.
  • Poziom 34  
    szwagros napisał:
    ...
    Prawie.
    Code:
    chain=forward action=drop src-address=192.168.0.5 dst-address=192.168.0.0/24
    
    chain=forward action=drop src-address=192.168.0.0/24 dst-address=192.168.0.5

    ...

    Generalnie masz rację ale nie znamy całej sieci a autor napisał

    kamilalek1 napisał:
    ...
    W jaki sposób mogę odizolować komputer o adresie 192.168.0.5 od pozostałych, chodzi o to aby z tego komputera nie można było się połączyć na pozostałe komputery w sieci.


    więc mam wątpliwości co do Twojego zapisu. Wystarczy jakaś drukarka/skaner z "aktywnym panelem" i będzie pozamiatane.

    Dodano po 3 [minuty]:

    m.jastrzebski napisał:
    ...
    Ten router ma coś koło 10 portów, z czego większość pewnie w jednej sieci LAN, wiec można zastosować vlany.
    Rozwiązań dużo.


    Co do tego wszyscy się zgadzamy. Ja dodatkowo uważam, że autor ma niedużą wiedzę (może się mylę) i dlatego jestem ostrożny w doradzaniu osobnych sieci choć jak wspomniałem byłoby to najlepsze rozwiązanie.
  • Poziom 13  
    Spróbuję opisać moją sytuację jeszcze raz tym razem z szczegółami które wcześniej pominąłem:

    Od operatora otrzymuję dwa adresy ip zewnętrzne: 5.8.9.10 oraz 5.8.9.11
    Internet od operatora jest podłączony do portu eth1 w mikrotiku, do portu eth2 mam podłączony switch tp-link niezarządzany.
    5 komputerów mam podłączonych do switch tp-link.
    pc 1 - 192.168.0.2
    pc 2 - 192.168.0.5
    pc 3 - 192.168.0.8
    pc 4 - 192.168.0.54
    pc 5 - 192.168.0.97

    Metoda z blokadą ruchu na podstawie adresu ip nie wchodzi w grę, ponieważ użytkownik może zmienić sobie adres ip i obejdzie w ten sposób blokadę.

    Wnioskuję że najlepszą metodą będzie podłączenie pc 2 do portu ether3 w mikrotiku, następnie usunięciu portu ether3 z domyślnego bridge na mikrotiku.
    Kolejnym krokiem powinno być utworzenie puli adresów dhcp(ip>pool>ip pool) np.192.168.1.2-192.168.1.99
    Następnie powinienem utworzyć nowy server dhcp i wybrać interfejs ether3 oraz wcześniej utworzoną pulę adresów 192.168.1.2-192.168.1.99
    Po czym tworzę nową sieć ip > DHCP Server > Network - address: 192.168.1.0/24 gateway: 192.168.1.1

    Po tych zabiegach komputer pc2 otrzymuję adres ip 192.168.1.99, jednak internet nie działa. Izolacja komputera od pozostałych na mikrotiku
  • Poziom 31  
    Zrób jeszcze NAT dla nowo dodanej sieci.
  • Poziom 34  
    kamilalek1 napisał:
    ....
    Metoda z blokadą ruchu na podstawie adresu ip nie wchodzi w grę, ponieważ użytkownik może zmienić sobie adres ip i obejdzie w ten sposób blokadę.
    ...


    Kolega przesadza ale skoro aż takie wymagania to proponuję osobny vlan bez zastanawiania (aż dziw, że do tej pory to tak działało). Opis sieci jaki Kolega podał jest niewystarczający by to zrobić na forum choć przyznaję. że tok rozumowania ma Kolega poprawny (odnośnie odseparowania na Eth3).
  • Poziom 13  
    Wcześniej nie było potrzeby odizolowania tego komputera więc nie potrzebowałem takich blokad.
    Uruchomiłem nat (masquerade) dla pc 2 który jest podłączony do portu eth3 w mikrotiku i internet zaczął działać poprawnie na tym komputerze.
    Pc 2 otrzymał adres ip 192.168.1.99 jednak dało się połączyć z pc 1 - 192.168.0.2
    Wiec na firewallu dałem nową regułę drop pomiędzy sieciami 192.168.0.0/24 oraz 192.168.1.0/24
    Po tym zabiegu nie byłem już w stanie połączyć się z komputera pc 2 192.168.1.99 na komputer pc 1 192.168.0.2 oraz odwrotnie
    Czyli w teorii osiągnąłem sukces, jednak tak się nie stało.
    Wystarczyło że na pc 2 ustawiłem statycznie adres ip 192.168.0.5 i mogłem bez problemu połączyć się z pc1 - 192.168.0.2

    Jutro spróbuję z vlanem, ale spodziewam się podobnym efektów:
    Wystarczy że użytkownik w konfiguracji sieci na komputerze zmieni vlan i uzyska dostęp do pozostałych komputerów.
  • Poziom 38  
    Kolego, jeśli chciałbyś zrobić taka izolację bez zbytniego inwestowania w sprzęt to polecam zrobić to na zasadzie podwójnego NAT.
    Czyli, w sieci instaluje dodatkowy router (bez WiFi) na jego porcie WAN ustawiasz na sztywno 192.168.0.5; Na LAN powiedzmy 192.168.10.1/24 i podłączasz tam PCta (z adresem IP na sztywno lub DHCP - jak wolisz).
    Wtedy PC bez problemu odwoła się do Internetu oraz do każdego innego Hosta w sieci, natomiast odwrotna próba polaczenia skończy się niepowodzeniem.

    To tak na szybko, bo późno a jutro mnie czeka 8 godzinna szychta od samego rańca.
  • Poziom 34  
    kamilalek1 napisał:
    ...
    Jutro spróbuję z vlanem, ale spodziewam się podobnym efektów:
    Wystarczy że użytkownik w konfiguracji sieci na komputerze zmieni vlan i uzyska dostęp do pozostałych komputerów.


    Mylisz się. Musiałby poza zmianą IP zmienić także port eth a ten mam nadzieję znajduje się w serwerowni za pancernymi drzwiami z systemem alarmowym, rejestracją wejść.... no coś tam jeszcze można by dołożyć do tych zabezpieczeń.

    Zaś na poważnie - w jaki sposób widzisz możliwość zmiany vlan przez użytkownika?

    Dodano po 8 [minuty]:

    sanfran napisał:
    ...
    Czyli, w sieci instaluje dodatkowy router ...


    E.. tam.

    Maska sieci /30 rozwiązuje problem ilości hostów w tym vlan gdzie ma być 1 komputer.
  • Poziom 13  
    Użytkownik nie będzie miał możliwości fizycznego przełączenia kabla z portu eth3 do switcha tp-link

    Przydzieliłem na mikrotiku dla interfejsu ether3 - vlan id 71, następnie na komputerze w ustawieniach karty sieciowej ustawiłem vlan 71, ustawiłem nat oraz server dhcp dla vlan71, po tych zmianach komputer pc2 otrzymał adres 192.168.1.98, nie było łączności z komputerem 192.168.0.2, natomiast wystarczyło że zmieniłem adres na 192.168.0.19 na pc 2 i uzyskałem łączność z komputerem 192.168.0.2
  • Poziom 13  
    Udało się wyizolować ten komputer od pozostałych dzięki opcji static only oraz ip (arp) na mikrotiku
    Wybrany komputer uzyskuję adres ip 192.168.1.98 i nawet gdy zmieni adres ip na 192.168.0.19 to nadal nie ma łączności z pozostałymi komputerami oraz traci połączenie z internetem.
  • Specjalista Sieci, Internet
    sanfran napisał:
    Kolego, jeśli chciałbyś zrobić taka izolację bez zbytniego inwestowania w sprzęt to polecam zrobić to na zasadzie podwójnego NAT.
    Czyli, w sieci instaluje dodatkowy router (bez WiFi) na jego porcie WAN ustawiasz na sztywno 192.168.0.5; Na LAN powiedzmy 192.168.10.1/24 i podłączasz tam PCta (z adresem IP na sztywno lub DHCP - jak wolisz).
    Wtedy PC bez problemu odwoła się do Internetu oraz do każdego innego Hosta w sieci, natomiast odwrotna próba polaczenia skończy się niepowodzeniem.

    To tak na szybko, bo późno a jutro mnie czeka 8 godzinna szychta od samego rańca.


    To nie jest żadne zabezpieczenie. Komputery w sieci 192.168.0.0 mogą bez problemu czytać lub modyfikować pakiety wstrzykując złośliwy kod. Wystarczą takie banalne ataki jak przepełnienie tablicy MAC na głównym routerze (switchu) lub arp spoofing i atak MITM z podmianą bramy.

    @kamilalek1
    Nic nie wyizolowałeś. Nie ma tylko komunikacji na warstwie trzeciej po protokole IPv4. Dalej możesz wykonać połączenie chociażby korzystając z IPv6 lub chociażby bezpośrednio z adresów MAC. Rozgarnięty uczeń technikum obejdzie te zabezpieczenia.

    Jak to się robi:
    1. Komputer podłączasz bezpośrednio do eth3.
    2. Tworzysz dwa VLANY (np 10 to home, 20 to public).
    3. Port eth 3 przypisujesz do vlanu 20 jako port nietagowany. Ty nadałeś dodatkowy tag 72 i tym sposobem na porcie masz przekazywane dwa VLANY (i do obydwu dostęp).
    4. Teraz wyższa szkoła jazdy - dzielisz router na dwa wirtualne routery (dwie tablice routingu) z wykorzystaniem techniki VRF (MPLS Lite). W jednej tablicy przypisujesz interfejsy WAN i VLAN 10, w drugiej tablicy interfejs VLAN 20. Konfigurujesz dla obydwu tablic NAT i maskaradę.

    Co do samej konfiguracii w punkcie 4, to nie używam MT w swoich sieciach, a już tym bardziej w poważniejszych zastosowaniach. Za dużo błędów w oprogramowaniu i potem problemów. Niestety nie pomogę Ci w konfiguracji "krok po kroku" na Twoim urządzeniu.

    http://mikrotik.net.pl/wiki/Dost%C4%99p_do_internetu_z_VRF_z_NATem
  • Poziom 38  
    IC_Current napisał:
    To nie jest żadne zabezpieczenie


    Pewno, że nie jest. Ale wszystko zależy od tego co i przed czym autor chce ochronić oraz budżetu.
    Nie wyślesz chłopaków z procami do ochrony transportu złota, tak samo, jak nie postawisz grupy komandosów z kałachami do ochrony stoiska z watą cukrową.
  • Specjalista Sieci, Internet
    sanfran napisał:
    wszystko zależy od tego co i przed czym autor chce ochronić

    Jakoś nic do głowy mi nie przychodzi, (poza podzieleniem sieci na dwie domeny rozgłoszeniowe oraz skanowaniem portów) przed czym chroniłby podwójny NAT.

    sanfran napisał:
    oraz budżetu

    sanfran napisał:
    z kałachami do ochrony stoiska

    Dlatego nawet nie proponuję UTM, tylko wykorzystanie możliwości jakie daje sam MT. Inną kwestią są jeszcze umiejętności autora w kwestii skonfigurowania tego VRF.

    sanfran napisał:
    Nie wyślesz chłopaków z procami do ochrony transportu złota

    Taki stary kawał mi się przypomniał:
    "Grupa komunistów chińskich zaatakowała pracujący w polu radziecki traktor. Traktor odpowiedział celnym ogniem kilku dział rakietowych, po czym odleciał w kierunku Moskwy. Ministerstwo Rolnictwa ostrzega chińskich towarzyszy, że jeśli incydent się powtórzy, na pole zostanie wysłany kombajn."