DOMANDA DMZ su Mikrotik
- Autore discussione jeyhw
- Data d'inizio
-
- Tag
- internet networking
Scusami, devo capire nei dettagli, altrimenti mi perdo.
Devo comunque prima rimuovere un'interfaccia dal bridge e assegnargli una subnet differente. Giusto? O intendi che la posso rimanere così?
Una regola di firewall filter? E come potrebbe essere? Mi fai un esempio gentilmente?
Grazie
Togli un'interfaccia dal bridge, da /ip address gli assegni il suo ip e fin qui ci siamo, provi a metterci una macchina su quella scheda di rete e a vedere se naviga dandogli un IP della sottorete specificata e come gateway l'ip assegnato all'interfaccia sul mikrotik
Fatto ciò, se vuoi fare una specie di DMZ, usi le regole già impostate per la openvpn ma togli i riferimenti alle porte, così che non filtra su nessuna porta e quindi le lascia tutte in DNAT sull'indirizzo che specifichi. Considera che non ho mai fatto questa cosa.
Alternativa, metti in bridgea porta ethernet con la porta su cui è connesso il router internet, così il tuo pfsense arriva direttamente al router e le gestioni le fai da lì
Fatto ciò, se vuoi fare una specie di DMZ, usi le regole già impostate per la openvpn ma togli i riferimenti alle porte, così che non filtra su nessuna porta e quindi le lascia tutte in DNAT sull'indirizzo che specifichi. Considera che non ho mai fatto questa cosa.
Alternativa, metti in bridgea porta ethernet con la porta su cui è connesso il router internet, così il tuo pfsense arriva direttamente al router e le gestioni le fai da lì
Ok, quindi su subnet differente. Adesso il bridge è su 192.168.3.1. Ne rimuovo un'interfaccia e gli assegno ip 192.168.10.1 su una subnet quindi di 192.168.10.0/24 e a pfsense assegno IP 192.168.10.2. Giusto?
Qui penso di aver capito, e forse va bene. Poi vorrei essere sicuro che la LAN del Mikrotik sia al sicuro e non corra rischi. ma vediamo in seguito
Dici il router dell'ISP? Si può mettere una porta ethernet del Mikrotik (su cui è collegato il pfsense) con una porta del router ISP? Sarebbe l'ideale in effetti ma non credo si possa fare. Mi interesserebbe capire però di più nei dettagli questo passaggio. Tu come lo faresti con il Mikrotik e un router della Vodafone?
Grazie
Hmm, immagino che sarebbe un po' un casino con la mia situazione. Se avessi collegato tutto via cavo sarebbe più facile, ma come sai ottengo la connessione via interfaccia Wlan1 in client (station). Magari si può comunque fare, ma isolerei i device connessi alla LAN del Mikrotik. Forse impostando due client, di cui uno credo per forza virtual, uno per la LAN attuale e una in client bridge direttamente con l'interfaccia a cui è collegato il pfsense.
Ho detto bene?
Un domani magari posso anche stravolgere la rete e e far gestire tutta da pfsense. A questo punto quindi solo con la soluzione wlan1 in client bridge con l'ISP router il mikrotik mi fornirebbe solo la connesione e al resto (firewall ecc) ci penserebbe pfsense.
A parte la convenienza pratica e l'efficienza delle soluzioni, ho detto qualche inesattezza?
Grazie
Ultima modifica:
Ma la wlan (station bridge) deve essere per forza una virtual visto che la WLAN1 fisica fa già da client (station) ed è la mia WAN.
Confermi?
Potrei farlo, ma il pfsense lo uso solo per studio al momento, e potrà far parte della mia rete in maniera stabile un domani, come dicevo sopra.
Quindi quando lo stacco la mia rete abituale collegata al Mikrotik deve continuare a funzionare regolarmente, ecco perché parlavo di creare una nuova interefaccia virtuale wifi sulla WLAN1 da far collegare anch'essa al router ISP ma in bridge. Non so se è chiaro.
Ma non capisco il motivo. Comunque puoi creare tutte le wlan virtuali che vuoi, ovviamente più ne crei più il chipset wifi è costretto a suddividere i dati, già con due dimezza la banda
Se invece lasci la tua wifi station e la metti in bridge con la ethernet del mikrotik (oltre ovviamente fare da routing per l'altro bridge) non hai problemi. In fin dei conti le interfacce in bridge altro non sono come praticamente mettete uno switch
Se invece lasci la tua wifi station e la metti in bridge con la ethernet del mikrotik (oltre ovviamente fare da routing per l'altro bridge) non hai problemi. In fin dei conti le interfacce in bridge altro non sono come praticamente mettete uno switch
Eh si avevo immaginato una cosa del genere
un momento, scusami. Dici che posso mettere la WLAN1 fisica in (station) bridge con la porta ethernet su cui è collegato pfsense e conteporanemente avere la linea per l'altro bridge, quello della mia LAN "abituale"?? Questo meccanismo lo voglio capire bene anche a titolo puramente di studio.
Comunque penso che procederò con il primo caso preso in considerazione, cioè rimuovere una porta dal bridge e assegnargli una subnet differente; poi questo. Giusto come prove di laboratorio come dicevo. Grazie
Nei mikrotik puoi creare tutti i bridge che vuoi, i bridge sono delle percorsi dati uniti a livello layer 2, a tutti gli effetti è come avere un apparato switch tra le interfacce. Quindi sì puoi mettere la wlan1 fisica in mode station-bridge in un bridge creato appositamente e aggiungerci anche altre interfacce, così facendo tutte le interfacce dei quel bridge sono interconnesse.
Poi puoi comunque usare l'interfaccia wlan1 per dare routing layer 3 (quindi masquerading, nat, ecc)
Poi puoi comunque usare l'interfaccia wlan1 per dare routing layer 3 (quindi masquerading, nat, ecc)
La funzionalità del bridge più o meno ormai l'ho capita. Però mi sfugge qualcosa qui. Posso creare un bridge sui cui metto la wlan 1 e l'interfaccia a cui è collegato il pfsense. Ok ci siamo qui. Ma poi utilizzare la stessa WLAN1 che ho messo in bridge per fare routing alla resto della LAN non collegata al bridge sopra??. :boh::boh: Mi servirebbe un esempio preciso, per piacere. Grazie
ps: ho aggiornato il post del thread sul failover.
Ultima modifica: