Dobrý den mám dotaz, jak by se dalo vyřešit toto:
Mám AP Mikrotik v modu bridge AP a na něm 4 klienty, takže je mám ve vlastní síti
klienti pouzívají rozsah např IP 192.168.20.110-114 - to jsou wany na routerech klientů a má domácí sít má IP adresy 192.168.20.4-100
Router do internetu má IP 192.168.20.1 a web server 192.168.20.2
Potřebuji aby se klienti nedostali na rozsah 192.168.20.4-100 , ale dostali se na ip 192.168.20.1-2
Děkuji za pomoc a příklad, jak to udělat na APčku.

-- 16. 1. 2018 08:55 --

Zajimavy design site

Tohle by ti mohlo pomoci: https://wiki.mikrotik.com/wiki/Manual:I ... ket_Filter

Jelikož v tomto nejsem moc kován potřebuji, zda by mi někdo nenapsal příklad pravidla , jak to na Mikrotik AP v modu Bridge provést? v podstatě potřebuji jen, aby se rozsah IP 192.168.20.110-114 nemohl dostat na 192.168.20.4-100 , ale opačně z celého rozsahu 192.168.20.0/24 na rozsah IP 192.168.20.110-114 ano.
Děkuji za pomoc.

Nemáš náhodou v síti kromě Mikrotika nějaký switch? To bys pak mohl psát pravidla, jaká chceš, ale switch by to propojil nezávisle na Mikrotiku.

No mám tam switch, ale to by mělo jít asi nějak zafiltrovat na Mikrotiku , který je APčkem v modu bridge.
mám to nějak takto...

Kde je ten webový server? Nějak ho na obrázku nevidím.

Máš zvolený z mého pohledu nevhodný číslovací plán. Asi bych přečísloval ty hosty 192.168.20.110 až 114 třeba na 192.168.20.210-214, tvou domácí síť na 192.168.1.65-126 a pak bys mohl psát jedno pravidlo do filtru
in-interface:wifi-port destiation_address:192.168.20.64:26 action drop
(síť 192.168.20.64:26 doufám zahrnuje adresy 64-127, když tak mě někdo opravte).
To ti samozřejmě zablokuje přístup do těch klientů 20.210-214, pro tvůj přístup bych si na hlavním Mikrotiku vytvořil VPN-server a v případě potřeby si vytočil VPN, nebo vždycky to pravidlo na chvíli deaktivoval.


(Samozřejmě před započetím s experimenty doporučuji udělat zálohy nastavení obou Mikrotiků na HDD a pak když uděláš chybu a nebudeš vědět, jak dál, obnovíš na pár kliků myší nastavení ze zálohy, v nouzi nejvyšší, když by sis do něj sám sobě zakázal přístup, tak ho resetneš do výrobních nastavení.)

web server má IP 192.168.20.2

A nebylo by vhodné použít VLANY mikrotiky to umí ne?

Jak chces pouzit VLANy pri tehle adresaci? Zaslouzilo by to preadresovat, ale i v tomhle stavu se to da resit pomoci bridge firewallu, jak jsme s Vladimirem psali.

Vytvořil jsem address-list klienti (192.168.20.110-114) a domov (192.168.20.3-100)

do filtru dal:
chain=forward src-address-list="klienti" dst-address-list="domov" action=drop

Funguje mi to, ale nedostanu se pak na administraci klientů z domácího rozsahu, co potřebuji, aby to šlo?

No jak tak koukám na packet flow mikrotiku tak to vypadá že i při použití bridge ten paket prochází skrz forward chain firewallu. https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Jen tedy u toho bridge musíš nastavit use-ip-firewall=yes

Takže pak stačí jen dvě pravidla ve firewallu:
Chain: Forward
Action: Drop
Src.Address: 192.168.20.4-192.168.20.100
Dst.Address: 192.168.20.110-192.168.20.114
A druhé pravidlo stejné, jen tam Src a Dst adresy prohodíš.

Ale nezkoušel jsem to.

No to jsem provedl a funguje to, ale zase se nedostanu z adres domov na administraci klientů i když tám přidám pravidlo accept

add action=accept chain=forward dst-address-list=klienti src-address-list=domov
add action=drop chain=forward dst-address-list=domov log=yes log-prefix=Klienti src-address-list=klienti

A mas tam pravidlo, ktere propousti "established" spojeni? To je v "normalnim" firewallu defaultne zapnute, ale u FW na bridge si nejsem jisty.

Mám tam pouze tato 2 pravidla v tomto tvaru:

/ip firewall filter
add action=accept chain=forward connection-state=established,related dst-address-list=klienti \
src-address-list=domov
add action=drop chain=forward dst-address-list=domov log=yes log-prefix=Klienti src-address-list=\
klienti

to je ale spatne, potrebujes:

/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward dst-address-list=domov log=yes log-prefix=Klienti src-address-list=klienti

To druhe pravidlo zabrani otevirani novych spojeni od klientu k tobe. To prvni zajisti, ze kdyz z tve site budes chtit pristoupit do site klienta, tak odpoved z jeho IP zpet k tobe bude povolena.