Koncept mreže koja je u rekonstrukciji

Pozdrav,

Ako je krivi podforum neka admin premjesti, po meni pripada u mrežne probleme.

U prilogu je pojednostavljena skica mreže koja je trenutno u funkcji. Mreža će funkcionirati u postojećoj konfiguraciji sljedećih cca mjesec dana, nakon čega je zbog promjene lokacije/zamjene hardvera/promjene servera/tipa vpn-a/promjene prava itd. planiran veći zahvat.

U skici je vidljivo da su nova 2 MikroTik-ova router switcha, trenutno se upoznajem s tim jer nemam velikog iskustva sa ruterima toga tipa.

Zahtjevi su takvi da "prostor 2" sa skice treba imati samo pristup internetu i svom printeru. Ne smije imati pristup NAS-u i kamerama koje se nalaze u tom prostoru niti smije imati pristup bilo čemu iz "prostora 1". S druge strane, "prostor 1" gdje je nazovimo uprava ima pristup svemu u "prostoru 2".

Prostori su međusobno povezani sa utp-om cat6.

Mreža trenutno radi na način da MikroTik routeri rade u switch modu i zapravo je to sve jedna mreža 192.168.1.0/24

Kao što sam rekao, nemam iskustava sa mrežama/podmrežama/konceptima mreža itd. ali zanimaju me savjeti kako to organizirati a praka je nešto drugo i već ću naći način kako to provesti.

LP, tnx.

Predlažem da mreže razdovjiš, na ruteru napraviš dva porta, jedan za svaku mrežu, da bude gateway računalima. Ne možeš postići da jedna mreža vidi drugu, a da druga ne vidi prvu. Jednostavno mreža tako radi, kad ti napraviš ping, uređaj u drugoj mreži napravi pong. Na ruteru bi trebao imati dva porta za svaku mreži, međusobno rutirana, i da imaju oba rutu za Internet.

Dobar način zaštite između mreža bi bio da prostor jedan bude u nekoj drugoj mreži, dosta različita broja, npr. 192.168.100.x, nikome iz mreže 192.168.1.x neće padati na pamet tražiti nešto na mreži 192.168.100.x.

Ako i to nije dovoljno, uređaji iz 192.168.100.x mogu imati definirani u firewallu da blokiraju sve šta dolazi s 192.168.1.x mreže.

-ponekad je KISS bolji.

-mreža koja može samo svoj dio + internet, normalno (kao vjerojatno do sad)..

-mreža koja može u ograničenu, ali ograničena ne u nju, preko WAN porta. To je defaultno firewalano, ping itd.. jednosmjerno. Naravno svaka ima svoj subnet i switchevi se ne miješaju. Za tu shemu ne mora biti poseban router (iz kategorije firewal-dmz..) običan jeftikaner može.

ili sam zabrijao.