我有個網路原本的設定是把AP的lan port接到RB2011上,RB2011做DHCP server。現在改成AP改插wan port,讓AP自己發IP,介此希望AP上的client能無法access RB2011內的設備及電腦。
本以為無線的網段與RB2011不同就能達成,結果無線網路上的client (192.168.1.0/24)還是能進入RB2011 (192.168.0.0/24)內的電腦。
我是應該要在RB2011內設VLAN,還是用filter,或其他方式會比較好呢?
無線網路client需要能access internet,但不能access RB2011 LAN內的電腦。
gfx wrote:
封鎖不就解決了嗎,別...(恕刪)
ha 我試著用firewall來drop packet,條件用source address 192.168.0.2(無線連RB2011的IP), destination address 192.168.0.0/24,但沒動作。。。
後來改用mangle,mark routing source address是192.168.0.2的封包,然後往loopback送(新做一個loopback介面),但不知道為啥還是沒效。。。
所以現在在想vlan的方式。但還沒在mikrotik上設過vlan,還要翻wiki來看。
但我首先還是希望能用firewall rule來處理,不能才用mangle。再不行才試vlan或其他的。
我在想,firewall會不會對內網是沒動作的?對了,我firewall rule沒指定interface - 也許問題在這?
gfx wrote:
我會建議RB2011再開第2個DHCP-Server(192.168.2.0/30) ,AP-WAN則是利用此DHCP.
這樣兩個DHCP就分開,AP就連不到您預設的DHCP-Server(192.168.0.0/24)了.
這主意好!!就這樣辦吧 :) thanks~~
YAWPYNG wrote:
方法之一:
在橋接的防火牆裡面直接設定網口隔離,這樣該網口就無法連到其他的網口電腦。
要限制的網口不可以是Master port的成員,
否則封包會在switch chip那邊直接交換過去,
會不受防火牆控制。
這個沒很懂,能稍為解釋下嗎
pctine wrote:
其實大大已經曉得問題點了.
因為 AP WAN 端對 RB2011 LAN switch 端下面其他電腦存取的封包, 並不會經過 RB2011 的 filter, 自然所設的 firewall rule 都是無效的.
謝謝提醒。最後我還是靠 firewall rule 才完成的。說真的我也不太懂到底是怎回事
* AP LAN 接到 RB2011 ether4
* RB2011 設第二個DHCP server,不同 subnet.
到此為止,兩個不同 subnet 居然還能互通
* 再加 firewall rule, chain forward, source address IP/24 from second DHCP server, destination address IP/24 of first DHCP server, action drop.
一開始 firewall rule 沒動作時,我的 AP 是接到 switch (所有裝置都是在此 switch 上),且無線的 DHCP 是靠 AP 自己發的。後來才改成 RB2011 第二個 DHCP server + 跳過 switch,直接接到 ether4 上。
=====
在這之間我參考了這篇。但他的 vlan 應該有問題吧。我照作但還是互相會通。且他的這個邏輯感覺怪怪的。
http://networkingforintegrators.com/2012/12/mikrotik-basic-vlan-example/
內文搜尋
從 APP 打開
X