Mikrotik - "pevna" siet pre hosti

Nejlepší řešení: VLAN - je to jednoduché a přímočaré a hlavně naprosto nezávislé na tom koncovém bodu. V podstatě si jen nastavíš trunkporty na MKT a switchi a jeden vyhradíš té separátní VLANě. Další konfigurace je už poměrně jednoduchá (v podstatě jen druhý DHCP server, přidat druhou VLAN do LAN interface list, nastavit zákaz routování mezi VLANama)
Pokud chceš jít cestou "jen" jiné sítě: tak to mu už můžeš IP nastavit rovnou napevno a sebrat admin práva (to je ovšem podmínka nutná). Ale stejně nezabráníš tomu, aby někdo to zařízení odpojil a připojil si tam své.

Este doplnim, aby neprislo k dezinformaciam. Do inej siete potrebujem pripojit "cudzi" mikrotik, ktory vytvara VPNku medzi pracovnym ntb a sietou zamestnavatela pre rodinneho prislusnika. Zatial je ten mkt pripojeny "len tak" v rodinnej sieti, dhcp mu prideli IP z mojho rozsahu. Ak by to slo cestou VLAN, potreboval by som nastavenie VLAN podla MAC (nie portu), nakolko ntb a mikrotik sa obcas stahuje do inej miestnosti (iny port).

Už to komplikuješ. Vázání VLAN na MAC je blbost - jednak by to musel umět tvůj switch, což nejspíš neumí, zadruhé jsme u stejného problému - co zabrání správci Mikrotiku nastavit na WAN portu jinou MAC adresu?
Toto se řeší pomocí 802.1x a certifikáty (což zase tvůj switch neumí).

Jistým řešením je domluvit se se správcem toho firemního Mikrotiku, aby veškerý provoz na WAN odcházel jako tagovaný nějakou VLANou, a na tvém domácím switchi nastavit všechny porty jako trunkové s tím, že netagovaný provoz bude padat do tvé domácí sítě, tagovaný do separátních VLAN. Pak to bude fungovat tak, jak jsi popsal (tj. domácí zařízení má přístup do domácí sitě, Mikrotik jen do své VLAN).
Ale zase jsme u stejného problému - jak zaručit, aby správce toho cizího Mikotiku neprovedl takové změny aby se dostal do tvojí sítě?

Otázka k zamyšlení: Jaký by měl mít admin toho Mikrotiku motiv, aby se ti hrabal v domácí síti?

Tak ono se to dá udělat opačně, že? Domácí LAN tagovat vše (nebo aspoň ty porty, kam se může připojit cizí zařízení) a naopak hostovskou síť dát netagovanou. Jenže to zase přepokládá, že admin toho cizího MKT je ňouma, který si neumí odposlechnout, co mu na WAN port lítá za vlany... takže reálná bezpečnost opět nula.

Jinak obecně: paranoia je pro síťaře nejlepší kamarádka.

Nemyslel som to zrovna tak, co sa tyka tej paranoje , ale trosku prekonfigurovavam domace zariadenie, moje mali staticke IP, hostia dostali IP z dhcp, ale jeden rozsah . . . tak som si zacal vytvarat hostovsku wifi, a toto ma len tak napadlo, ze ci by sa to dalo vyriesit, ale po kabli a este aj so switchom v ceste nejakym pokial mozno jednoduchym domacim sposobom. To nebola paranoja co sa tyka vpn zeby sa nejaky IT snazil rypat v mojej domacej sieti
Na inom mkt to mam nastavene, lenze tam mam jeden ethernet port spolu s hostovskou wifi v jednom bridgi pre hosti a ak pride host pripojim ho do toho vyhradeneho portu, ak bude vobec potrebovat ethernet port . . .

otazka k zamysleni . . . . odpoved vyssie . . .

v jiné místnosti se k tomu MKT přece můžeš připojit bezdrátově, nemusíš stěhovat i ten cizí MKT...

Nemozem, spravuje ho IT zamestnavatela, a je tam vydefinovana len VPN, wifi zakazane

Tak stačí snad v práci říct, že by bylo potřeba zprovoznit wifi, je to otázka pár kliknutí na dálku...

S tym sa mi nikto babrat nebude
Maju takto rozhodenych niekolko mkt, predpokladam nejaku jednotnu konfiguraciu . . . nikto nespravi viac ako musi . . .