Здравствуйте, есть такая ситуация, покупаем L2 VPN туннель у провайдера (Ростелеком). В каждом офисе есть свой dhcp сервер и своя подсеть. Если просто проводом соединим свичи офисов, будет каша разданных dhcp адресов в обоих офисах (поправьте если ошибаюсь). Поставить железо и настроить маршрутизацию в другом офисе отказались. Там стоит простой домашний роутер. Вопрос. Не ставя маршрутизаторы в обоих офисах можно как-то зарезать на mikrotik L2 пакеты, оставив только L3? P.S. в свой офис я могу поставить что угодно. Но скажем если я поставлю в свой офис маршрутизатор и пропишу у него нат на другую сеть, мне нужно будет указать и шлюз в той сети, а там только интернет на простом роутере.
Т.е. задача просто не пускать раздачу адресов dhcp сквозь VPN туннель, что будет с остальным L2 трафиком всё равно. Как это сделать?
Ставите в разрыв соединения Ростелекома Mikrotik. Воткнув соответственно LAN и кабель VPN в езернет-порты. Объединяете эти порты в бридж. Далее либо пользуетесь Bridge Filters (можете например фильтровать трафик UDP по портам 67-68 и адресам 0.0.0.0 и 255.255.255.255) Или если функционала маловато, в Bridge Settings ставите галку Use IP Firewall и пользуетесь IP Firewall.
Теперь другая проблема. Есть бридж, в нем два порта, 1) порт который на VPN 2) порт лан через который dhcp раздает адреса локальным компьютерам. Они в бридже. Но dhcp отказывается раздавать на порт, соглашается только на бридж. Подскажите как можно решить? P.S.: т.е. условия те-же, резать dhcp раздачу из ВПН в сетку и обратно, но своей сетке адреса раздавать.
Вот что я написал: /interface bridge add name=bridge-vpn2lan /interface bridge port ** интерфейс к которому подключен vpn add bridge=bridge-vpn2lan interface=ether5 ** интерфейс lan add bridge=bridge-vpn2lan interface=ether2 ** если прописать правила на сам бридж /interface bridge filter add action=drop chain=input disabled=yes dst-address=255.255.255.255/32 dst-port=67-68 in-bridge=bridge-vpn2lan ip-protocol=udp mac-protocol=ip add action=drop chain=forward disabled=yes dst-address=255.255.255.255/32 dst-port=67-68 in-bridge=bridge-vpn2lan ip-protocol=udp mac-protocol=ip ** тогда само-собой dhcp через бридж не ходит, но и через ether2 адреса не раздаются ** если прописать правила на ether5 (vpn) /interface bridge filter add action=drop chain=input dst-address=255.255.255.255/32 dst-port=67-68 in-interface=ether5 ip-protocol=udp mac-protocol=ip add action=drop chain=output dst-address=255.255.255.255/32 dst-port=67-68 ip-protocol=udp mac-protocol=ip out-interface=ether5 add action=drop chain=forward dst-address=255.255.255.255/32 dst-port=67-68 in-interface=ether5 ip-protocol=udp mac-protocol=ip ** по факту "ловят" пакеты только "input in ether5 255.255.255.255" и "forward in ether5 255.255.255.255" ** при этом dhcp НЕ ПРОХОДИТ из ether2(lan) в ether5(vpn), и ПРОХОДИТ из ether5(vpn) в ether2(lan). Если я правильно понимаю эти правила относятся только к портам в бридже. Т.е. input ether5 указывает на пакеты идущие из бриджа в интерфейс 5. меняю output правило на: add action=drop chain=forward dst-address=255.255.255.255/32 dst-port=67-68 in-bridge=bridge-vpn2lan ip-protocol=udp mac-protocol=ip out-interface=ether5 ** выходной интерфейс ether5, входной bridge-vpn2lan - работает, режет в обе стороны Будет-ли это правильным решением или это "костыли"? Если костыли то как прописать?
Неа. input это пакет пришедший с интерфейса в бридж. Т.е. Input->Bridge decision -> Forward -> Output Но тут нюанс. В цепочку input IP Firewall оно не попадет. https://wiki.mikrotik.com/wiki/Manual:Packet_Flow#Bridging_with_use-ip-firewall.3Dyes