MO
Size: a a a
2020 February 07
AM
потому что по рулзам пакет ходит до первого попадания
Так яж и написал, что динамическое правило в самом низу создается, т.е. пакет в другой влан должен до него перекидываться (правило по маку конечно же выше), но нет.
E
Перестал телефон улетать в отдельный влан. Может ли этому причиной быть включение дхцп-снупинга? При его включении создается правило с редиректом дхцп пакетов на цпу, оно правда в самом низу, но черт его знает. Включаю правило по маку кидать в отдельный влан, дхцп получается все равно с основной сети, а потом весь трафик начинает валиться в влан.
а так-то у них немного всё поломано. чтобы "корректно работало всегда" после мак-базед влан-правила создавай нулевую маску с экшоном ньювланид, соответствующий пвиду порта
N
нет, это не так работает, если вам нужен внешний ip поставьте в ip.cloud соответствующую галку
это dyndns, а я прям публичный IP-адрес хочу на интерфейс микрота.
E
или какого тебе удобно.
E
у меня только с таким костылём всё работает 100% времени
AM
а так-то у них немного всё поломано. чтобы "корректно работало всегда" после мак-базед влан-правила создавай нулевую маску с экшоном ньювланид, соответствующий пвиду порта
Попробую, спасибо.
fk
товарищи! задача: подключать 3 типа устр-в (пк внутри сети с доступом лишь внутри сети, пк внутри сети с доступом во внеший мир и внутри сети, гостевые пк с доступом только во внешний мир) + 2 wifi (гостевая, рабочая)
я правильно понимаю, что для реализации мне нужно будет сделать 3 VLAN, одну присвоить локальной сети, 2ю для гостевой wifi, а 3ю для пк, который имеет доступ лишь в локальную сеть?
я правильно понимаю, что для реализации мне нужно будет сделать 3 VLAN, одну присвоить локальной сети, 2ю для гостевой wifi, а 3ю для пк, который имеет доступ лишь в локальную сеть?
Д
ну в целом верно понимаешь
fk
хм, хорошо, но у меня проблема с "интеграцией" задачи в эту "инфраструктуру", я хочу, чтобы тот обособленный ПК, что имеет доступ только во внутрисеть мог ходить во внешнюю на опред. адреса (напр. он мог лишь обновлять антивирь)
и в итоге вся схема идет по известно органу, ибо вроде как обособленный пк в 3м vlan теперь такой же как и сеть во vlan2, только по верх вешаются ограничения на доступ
и в итоге вся схема идет по известно органу, ибо вроде как обособленный пк в 3м vlan теперь такой же как и сеть во vlan2, только по верх вешаются ограничения на доступ
VP
fedor k
хм, хорошо, но у меня проблема с "интеграцией" задачи в эту "инфраструктуру", я хочу, чтобы тот обособленный ПК, что имеет доступ только во внутрисеть мог ходить во внешнюю на опред. адреса (напр. он мог лишь обновлять антивирь)
и в итоге вся схема идет по известно органу, ибо вроде как обособленный пк в 3м vlan теперь такой же как и сеть во vlan2, только по верх вешаются ограничения на доступ
и в итоге вся схема идет по известно органу, ибо вроде как обособленный пк в 3м vlan теперь такой же как и сеть во vlan2, только по верх вешаются ограничения на доступ
Вам надо сделать количество виланов в соответствии с количеством сетей. А доступы - это дело фильтров. (фаерволл, бридж и пр.)
fk
Вам надо сделать количество виланов в соответствии с количеством сетей. А доступы - это дело фильтров. (фаерволл, бридж и пр.)
ну, сеть то у меня по сути одна... я так понял, когда читал про vlan-ы, что их можно использовать для простейшей фильтрации трафика, тем самым не нагружая лишний раз фаерволлы и тд
поэтому четкое разделение на "внутренняя сеть предприятия" и "гостевой доступ" напрашивается сразу.
но вот разница между "внутренняя сеть предприятия" и "внутренняя сеть предприятия, но нельзя никуда ходить кроме сайта касперского" минимальна
поэтому четкое разделение на "внутренняя сеть предприятия" и "гостевой доступ" напрашивается сразу.
но вот разница между "внутренняя сеть предприятия" и "внутренняя сеть предприятия, но нельзя никуда ходить кроме сайта касперского" минимальна
fk
поэтому и не пойму, имеет ли смысл разделять их или нет
fk
либо можно прописать какое-то правило типа: "такой-то мак во внутрисети не может никуда ходить, кроме такого-то сайта"
E
достаточно сменить слово "сеть" на "подсеть", и должно стать понятнее :)
VP
fedor k
ну, сеть то у меня по сути одна... я так понял, когда читал про vlan-ы, что их можно использовать для простейшей фильтрации трафика, тем самым не нагружая лишний раз фаерволлы и тд
поэтому четкое разделение на "внутренняя сеть предприятия" и "гостевой доступ" напрашивается сразу.
но вот разница между "внутренняя сеть предприятия" и "внутренняя сеть предприятия, но нельзя никуда ходить кроме сайта касперского" минимальна
поэтому четкое разделение на "внутренняя сеть предприятия" и "гостевой доступ" напрашивается сразу.
но вот разница между "внутренняя сеть предприятия" и "внутренняя сеть предприятия, но нельзя никуда ходить кроме сайта касперского" минимальна
С ваших слов минимально видно две сети: рабочая и гостевая.
fk
С ваших слов минимально видно две сети: рабочая и гостевая.
да, но что делать с обособленным пк?
fk
достаточно сменить слово "сеть" на "подсеть", и должно стать понятнее :)
😅
VK
fedor k
да, но что делать с обособленным пк?
зафильтровать
fk
зафильтровать
понял, т.е. для подобных задач не имеет смысла выделять отдельный vlan?