Когда моя сеть стала разрастаться по родственным домам и квартирам, то стало ясно, что не всем устройствам нужно знать о существовании друг друга. Например, вы не хотите видеть камеры другой квартиры или не хотите, чтобы обнаруживали ваши. Давайте разграничим подсети, которые физически соединены.
Translation to English is here. Также канал в telegram и YouTube.
Например, я писал ранее про то, что ко мне подключаются разные телефоны:
1. VPN из телефона в Mikrotik. Получаем доступ к умному дому из любой точки мира
2. VPN из телефона в Mikrotik на iPhone. Активация L2TP IPsec.
Связано это с тем, что у меня белый IP, а у всех остальных серый. Поэтому все подключаются ко мне и телефонами и роутерами. Если ничего не настраивать, то я буду видеть все сети и все, кто ко мне подключаются, тоже будут видеть все сети. Вроде как у нас секретов нет друг от друга, но и повода пошарить что-либо на свой телевизор или колонку, например, давать не хочется☺.
Для начала нам нужно сделать так, чтобы подсети были разные. Тогда мы сможем выбирать кому и куда можно. Например, гостям нельзя никуда, Жильцам квартиры №1 только к роутеру квартиры №1 и т.д. Для этого все адреса должны быть статичные, или динамические, но из разных пулов. Создадим эти пулы:
Далее, чтобы удобнее было работать, создадим листы интерфейсов. Это нужно для того, чтобы в Firewall было удобнее правила писать.
Далее для каждого подключенного устройства я создаю server binding и в разделе Interface list мы его прикрепляем к требуемому листу
Далее для каждой группы создаем профиль безопасности, в котором указываем, какой пул нам использовать и для каждого клиента указываем правильный профиль безопасности.
И теперь, когда у нас полный порядок с организацией адресов, осталось лишь написать правила для Firewall. Я хотел изолировать конкретную сеть от другой. Правила для меня выглядят тогда так:
Первым и вторым правилом мы блокируем трафик в роутер и через роутер из сети 10.X в сеть 2.X. Если теперь из сети 10.Х набрать любой адрес сети 2.1, то вместо этого получим страничку, где будет указано, что странички не существует. Трафик в обратную сторону я ограничивать не буду, т.к. в сети только динамические клиенты и искать там нечего, но при необходимости можно. Третье правило необходимо из-за наличия правила №14. В правиле №14 мы сбрасываем все соединения не из листа LAN. В листе LAN у меня домашняя сеть. Поэтому мы пропишем отдельно что из листа такого-то (на скрине зеленый прямоугольник) трафик можно.
Пример того, как работает firewall, подключается к нам клиент с именем "klient-16", ему присваивается адрес 192.168.10.17. Такой адрес ему присваивается, потому что для "klient-16" работает профиль безопасности с пулом 192.168.10.2-192.168.10.254. В server binding мы создали входящее соединение l2tp-klient16. В Interface list мы его занесли в list 192.168.10.X. Соответственно в правило №13 мы прописали accept, для input из листа 192.168.10.X. Когда клиент будет набирать адрес в строке поиска, то трафик, благодаря правилу №13 попадет роутер и оттуда по маршруту прописанному в routing. Но стоит нашему клиенту "klient-16" набрать адрес из списка 192.168.2.1-192.168.2.254, так сразу отработают правила №12 и 11 и сбросят трафик. Таким образом при помощи firewall мы можем легко управлять трафиком и отделять сети друг от друга.
Если остались вопросы, то пишите в комментариях и я постараюсь ответить.
А на этом все, делайте ваш умный дом умнее, ярче, красочнее, информативнее, настраивайте автоматизации правильно, чтобы получать максимальное удовольствие. Вы можете всегда поддержать меня лайком, репостом, комментарием или просто подписаться, чтобы не пропускать свежие выпуски. Также можно следить за мной на других площадках: Instagram и telegram (RU, EN, DE), Medium, LiveJournal, YouTube (старый канал), YouTube (новый канал).