Roteamento entre múltiplos Firewalls Mikrotik

Navegue suas respostas
2

Eu tenho 2 Miktorik RouterBoards, uma RB1100 e uma RB951G. O 951G está agindo como minha caixa Wireless, e possui redes Wireless Guest, Internas e Internet Only. A RB1100 possui 3 conexões WAN (modems a cabo de 2x150 / 10Mb e um modem VDSL de 70 / 20Mb) e faz balanceamento de carga, firewall, etc., para toda a rede.

A RB1100 está na rede 192.168.0.0/24 e a 951 possui 3 intervalos de endereços:

  • Convidado - > 192.168.87.0/24
  • Interno - > 192.168.88.0/24
  • Apenas Internet - > 192.168.89.0/24

A idéia é que o convidado é um firewall grande (largura de banda limitada, sites limitados, etc) que eu tenho trabalhando com a ajuda do hotspot.

  • Somente Internet só deve ser roteado para a Internet, possivelmente limitando algumas portas, e não deve ver nada na rede 192.168.0.0/24.
  • Interna deve ter acesso tanto à internet quanto à rede 192.168.0.0/24, e qualquer coisa na rede 192.168.0.0/24 deve poder ver também a rede 192.168.88.0/24 ...

Eu tinha a parte Internet Only funcionando até certo ponto, mas acidentalmente apaguei a configuração do meu roteador ( doh ), mas nunca consegui configurar a rede interna corretamente ...

Atualmente tenho o NAT ativado e isso permite que eu veja todas as máquinas na rede 192.168.0.0/24 da rede 88.0 / 24, mas 0.0 / 24 não pode ver a rede 88.0 / 24 ...

Eu sei que eu preciso fazer algo com rotas, mas mesmo quando eu tive isso, algo não estava me permitindo ver máquinas (laptop em wifi não podia ver o desktop em com fio).

Então, onde estou errado?

Mais uma vez, desculpe, eu não posso postar a configuração exata ... perdeu em uma regra de firewall estragar ...

    
por TiernanO 14.08.2013 / 14:28

2 respostas

1
Ok, graças a DKNUKLES por sua resposta, mas o problema era mais um problema de configuração do meu jeito ... Acabei adicionando 2 itens de roteamento aos roteadores, um no 1100 e outro no 951. O 951 dizia para rotear todo o tráfego (0.0.0.0/0) para a RB1100. a RB1100 tinha uma rota para apontar todo o tráfego 192.168.88.0/24 para o IP do 951, mas ainda não há alegria ...

o problema foi o meu pré-encaminhamento. Como tenho várias conexões WAN e como meu pré-roteamento fez round robin, todo o tráfego na minha rede estava sendo roteado para uma das portas WAN, se não fosse para a rede 192.168.0.0/24. Assim, no final do meu bloco de pré-roteamento, eu adicionei uma regra, qualquer tráfego indo para 192.168.88.0/24 com uma marca de conexão foi apagado de sua marca de conexão. isso desviava as regras de balanceamento de carga e permitia que o tráfego fosse na área correta ... Percebi que poderia ser algo assim ao executar o traceroute. de uma das máquinas não conectadas WiFi para uma máquina conectada WiFi, eu estava sendo encaminhado para um dos meus modems ... Enfim, tudo corrigido ... agora posso chegar a máquinas da rede 192.168.88.0 e eles podem ver máquinas na rede 192.168.0.0. dias felizes!

    
por 15.08.2013 / 08:57
1

Para o seu grupo somente da Internet, você criaria uma regra de firewall que informa que todo o tráfego dessa rede "Convidado" destinada a suas redes internas deve ser eliminado. Certifique-se de criar uma regra para eliminar todo o tráfego de entrada dessa sub-rede, pois você não quer que as pessoas falsifiquem seu roteador (ou pelo menos tentem ...)

Quanto à sua rede sem fio, há duas maneiras de fazer isso.

  1. Você pode configurar uma rota que conecte duas redes (clientes com fio e confiáveis) - semelhante a uma rota VPN de site para site. A desvantagem disso é que você perderá seu endereço de origem e todo o tráfego aparecerá vindo da rede "rota".
  2. Você pode configurar seu roteador sem fio para receber endereços DHCP da sua RB1100 como uma retransmissão DHCP. Isso permitirá que você preserve seus endereços de origem e forneça acesso à sua rede sem fio. Você pode então manipular o tráfego como achar melhor.

Se eu entendi o seu problema corretamente, você não precisa do NAT para realizar o que você espera fazer, pois o MikroTik cuidará das rotas para você.

    
por 14.08.2013 / 15:12

Tags

Com que frequência um Linux verifica seu arquivo / etc / localtime É seguro excluir este instantâneo?