Konfigurace mikrotiku oddělené sítě

jsou tu nějaké články:
https://pc.poradna.net/articles/1078271-mikrotik-jako-soho-router-3-wifi-sit-pro-navstevniky
https://pc.poradna.net/articles/2723777-co-jsou-to-vlan-a-jak-funguji-implementace-v-mikrotiku

To jsem viděl, ovšem, dle druhého článku mi příjde, že je potřeba ještě switch. :\

Tak něco jsem spatlal. Sice mi to funguje, ale nechám si vyčinit :)

/interface bridge
add name=LOCAL
add name="Souseda"
/interface list
add name=WAN
add name=LAN
/ip pool
add name=dhcp ranges=192.168.88.100-192.168.88.250
add name=dhcp_pool1 ranges=192.168.88.2-192.168.88.254
add name=dhcp_pool2 ranges=192.168.89.100-192.168.89.254
/ip dhcp-server
add address-pool=dhcp_pool1 interface=LOCAL name=dhcp1
add address-pool=dhcp_pool2 interface="Souseda" name=dhcp2
/port
set 0 name=serial0
/interface bridge port
add bridge=LOCAL interface=ether2
add bridge=LOCAL interface=ether3
add bridge=LOCAL interface=ether4
add bridge=LOCAL interface=ether5
add bridge=LOCAL interface=ether6
add bridge=LOCAL interface=ether7
add bridge=LOCAL interface=sfp1
add bridge=LOCAL interface=wifi1
add bridge="Souseda" interface=ether8
/interface list member
add interface=ether1 list=WAN
add interface=LOCAL list=LAN
/ip address
add address=192.168.88.1/24 interface=LOCAL network=192.168.88.0
add address192.168.89.1/24 interface="Souseda" network=192.168.89.0
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=0.0.0.0/24 dns-server=0.0.0.0 gateway=0.0.0.0 netmask=24
add address=192.168.89.0/24 gateway=192.168.89.1
add address=192.168.88.0/24 gateway=192.168.88.1
/ip firewall filter
add action=drop chain=forward dst-address=192.168.88.0/24 src-address=\
192.168.89.0/24
add action=drop chain=forward dst-address=192.168.89.0/24 src-address=\
192.168.88.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN

Co se snažím pochopit je i to, proč když jedno to pravidlo ve firewallu deaktivuji, tak stejně mi ty requesty navzájem neprojdou.

Ty ale VLANy s jedním zařízením vůbec nepotřebuješ. Ty jsou třeba, až když ty oddělené sítě distribuuješ přes více aktivních prvků (switchů).

Ve tvém případě stačí vytvořit druhý bridge, přesně tak, jak to máš ve svém konfigu. Jen bych ve firewallu použil místo IP adres (které se mohou měnit) jednotlivé názvy bridgů. A ověřil bych si pořadí filtrů u forwardu, protože opravou níže uvedeného problému se může stát, že se nebudou vůbec aplikovat (to teď z hlavy nevím, jaké je tam pořadí, ale tvá dvě pravidla pro zákaz forwardu mezi LAN sítěmi musí být PŘED pravidlem povolujícím forward pro iface list LAN)

Dále ti chybí přidání bridge "Souseda" do interface listu LAN (což je důvod nefunkčnosti a problému, na který se ptáš):

/interface list member
add interface=Souseda list=LAN

pak se ti rozjede NATování do internetu i u Sousedy.

edit: obecně platí, že všechny LAN-sítě musí být uvedeny v listu LAN, všechny WAN porty v listu WAN. Pak budou správně fungovat defaultní mikrotikácká firewallová pravidla, která jsou postavena právě na těchto listech.

Super, díky moc :) Už si jen pohraji s firewallem a pak se vrhnu na poslední věc a to je VPNka.

VPN ti doporučuju nasadit rovnou WireGuard, je jednoznačně nejlepší a nejrychlejší. JaFi tu na to má i návod.

https://pc.poradna.net/articles/3196141-mikrotik-router-9-wireguard-vpn

Tak jsem to zkusil. Jako na konfiguraci fakt easy.. ale
- z pc mi nejde ping na sit Souseda `Request timeout for icmp_seq 95` firewall je kompletne nyni vypnuty a nejde mi ani ping na gateway

utun8: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1420
options=6460<TSO4,TSO6,CHANNEL_IO,PARTIAL_CSUM,ZEROINVERT_CSUM>
inet 192.168.98.2 --> 192.168.98.2 netmask 0xffffffff
nd6 options=201<PERFORMNUD,DAD>

[Interface]
PrivateKey = ddddddd
Address = 192.168.98.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = aaaaa
AllowedIPs = 192.168.89.2/24
Endpoint = 192.168.23.172:13231

není tam třeba ještě řešit routování?

- IP adresy se přiřazují na konkrétní WireGuard, takže musím pro každého klienta udělat i novou adresu? V článku je, že to stačí změnit v tom konfigurátku, co se importuje na PC.

máš tam chyby v konfiguraci.

1. povolit musíš i IP adresu minimálně WG klienta, tj. 192.168.98.2/32 a opačně zase na straně klienta všechny sítě, kam se má dostat.
2. když už zadáváš rozsah adres maskou, tak používej vždy adresu sítě, nikoli adresu z rozsahu, tj. u 24b 192.168.89.0/24 nikoli 192.168.89.2/24
3. routování není třeba řešit, protože to ti pořeší právě samotný WG server/klient. Stačí mít správně nastavené položky AllowedIPs na straně klienta i serveru.
4. nezapomeň síť WG opět přidat do interface list LAN.

Takže když to shrnu,
- na straně serveru musí být AllowedIPs = 192.168.98.2/32
- na straně klienta takto: AllowedIPs = 192.168.89.0/24, 192.168.88.0/24 (povolí přístup do obou sítí)

edit: jinak koukám, že v to firewallování fakt fest plaveš, nech to raději na default a řiď se bodem 4. Tady nemáš problém s aktivním firewallem (pro WG stačí otevřít INPUT port), ale naopak s NEAKTIVNÍM firewallem - potřebuješ povolit FORWARD, ale to ti automaticky zařídí právě ten iface list.

ad 1) kde ji na serveru povolím? Nebo jak to myslíš teď?
ad 2) ok, chápu
ad 3) tady nevím kde allowedIPs udělám na straně serveru. Ale když čtu níže, tak by to mělo být jen přidáním do iface listu tedy
ad 4) to je řešení předchozího bodu

Co se týče default firewallu, tak doporučuješ zatím jen default. tzn.

/ip firewall nat add chain=srcnat out-interface-list=WAN ipsec-policy=out,none action=masquerade comment="defconf: masquerade"
/ip firewall {
filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
filter add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
filter add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
filter add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
filter add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"

a až to dorozjedu, tak bych mohl nějak omezovat po vytvoření backupu

ad 1+3. na straně serveru je to záložka Peers a daný uživatel, položka/y Allowed Address - můžeš přidávat řádky

Pozor, nepleť si konfiguraci WG a firewallu!

tak sice jsem to tam vyplnil, ale dole v client config to není.

jj, jsou to 2 věci, vím. Chci právě nejdřív vše zprovoznit a následně zabezpečit víc ten firewall. Vše z venku zavřít, krom VPNky, winboxu pro konkrétní IP atp. Ale to až mi pojede i VPN

Pozor, ale server a client config JSOU ODLIŠNÉ!!!

Ty tam máš 0.0.0.0/0 což znamená, že přes WG půjde úplně veškerý traffic.

No dobře, když to mám takto na MT v Peerech nastavené a na klientovi mám

[Interface]
PrivateKey = AFCptJodUtxSO56hxxxxxxxx
ListenPort = 51820
Address = 192.168.98.2/24
DNS = 1.1.1.1

[Peer]
PublicKey = 9iA0OlRMTX8K4yyyyyyy
AllowedIPs = 192.168.89.0/24
Endpoint = 192.168.23.172:13231

Tak by to mělo být v pořádku ne? Pak tedy, musí být chyba v tom forwardingu na MT, ne?

Přidej si tam i síť 192.168.98.0/24

Dokonalost sama. Díky moc. Aspoň sem tu VPN už asi i pochopil. Přitom je to fakt lehký :)

A o víkendu se vrhnu na firewall ať je to aspoň trochu bezpečný, když to bude z venku plně přístupný :)

Díky moc!

Firewall nech v defaultu. Je funkční a bezpečný.

jak ho mohu obnovit teda? Mám tam nějaké svá pravidla. Minimálně to jedno tam budu muset přidat. (aby jedna sít neviděla druhou)

Přidávat samozřejmě můžeš, ale nemá smysl mazat celý a tvořit ho znovu.

Pokud jsi do toho nějak masivně zasahoval (a tím nemyslím to jedno/dvě forward pravidla), tak si udělej zálohu, následně reset do defaultu, export default pravidel, obnovení zálohy a implantace defaultních pravidel z exportu.

Měl bych ještě otázečku. Nyní to zkouším na 2 klientech. Oba jsou nastaveni v Peers stejně, jediný rozdíl jsou veřejné klíče. Ovšem Vždy funguje jen jeden a druhý ne :\

Záhadně se prohazují ti klienti navzájem :)

[Interface]
PrivateKey = ...
Address = 192.168.41.2/24
DNS = 1.1.1.1

[Peer]
PublicKey = ...
AllowedIPs = 192.168.41.0/24, 192.168.42.0/24
Endpoint = ....:13231

a druhý má jediný rozdíl a to je v `address`

/interface wireguard peers
add allowed-address=192.168.41.0/24,192.168.42.0/24 comment=JK interface=\
wireguard1 public-key="..."
add allowed-address=192.168.41.0/24,192.168.42.0/24 comment=TK interface=\
wireguard1 public-key="...="

Teď jsem zjistil, že vždy funguje ten, který jako poslední uložím :D

Vygeneroval jsi každému uživateli jiný keypair?

keypair se generuje automaticky, ne? Každý má jiný privátní i veřejný klíč. Popř. co přesněji myslíš?

Trochu jsem si s tím hrál a stačilo mi upravit konfiguraci Petra na MT Upravil jsem tam jen `Allowed Address` na `192.168.41.2/32` nebo `192.168.41.3/32` dle toho o jakého jde clienta. Zajímavé je, že pak oba vidí sebe navzájem, protože jsou v té `192.168.41.0/24` síti.. ale zároveň vidí i do `192.168.42.0/24`

Zvenku nech pristupny pouze port WG, nic jiného nepotrebujes.
Pokud bys to dokazal nechat pristupne pouze pro vyjmenovane IP adresy nebo rozsahy, bylo by to jeste lepsi.