Защита · · 1 мин чтения

Управление доступом между VLAN в MikroTik: маршруты, правила и безопасность

Введение

После создания VLAN и настройки изоляции устройств может возникнуть необходимость предоставить доступ между сегментами — например, с рабочего компьютера к NAS, или с домашней сети к принтеру в другой подсети. В этой статье мы рассмотрим, как правильно управлять маршрутами и доступом между VLAN.

1. Встроенная маршрутизация между VLAN

MikroTik по умолчанию маршрутизирует между интерфейсами, если нет запрета в Firewall. То есть, если у вас настроены VLAN с IP, и нет фильтрующих правил, они могут «видеть» друг друга.

Важно: всегда ограничивайте межсегментный доступ вручную через Firewall.

2. Разрешение точечного доступа

Например, вы хотите, чтобы только с VLAN40 (рабочей сети) был доступ к NAS в VLAN30:

/ip firewall filter add chain=forward src-address=192.168.40.0/24 dst-address=192.168.30.10 action=accept comment="Allow Work to NAS"
/ip firewall filter add chain=forward src-address=192.168.30.10 dst-address=192.168.40.0/24 action=accept comment="Allow NAS reply"
/ip firewall filter add chain=forward src-address=192.168.40.0/24 dst-address=192.168.30.0/24 action=drop comment="Block rest Work to Media"
/ip firewall filter add chain=forward src-address=192.168.30.0/24 dst-address=192.168.40.0/24 action=drop comment="Block Media to Work"

Это даст доступ только к одному IP, остальное останется изолированным.

3. Настройка маршрутов, если VLAN находятся за разными роутерами

Если у вас несколько MikroTik, или внешние маршрутизаторы, потребуется прописать маршруты вручную:

/ip route add dst-address=192.168.30.0/24 gateway=192.168.88.2

Где 192.168.88.2 — IP второго маршрутизатора, отвечающего за VLAN30.

4. Пример: доступ с домашней сети к принтеру в IoT

Предположим, принтер имеет IP 192.168.10.50 в VLAN10, а пользователь в VLAN20 (домашняя сеть):

/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.50 action=accept comment="Home to Printer"
/ip firewall filter add chain=forward src-address=192.168.10.50 dst-address=192.168.20.0/24 action=accept comment="Printer reply"
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=drop comment="Block other Home to IoT"
/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop comment="Block IoT to Home"

5. Мониторинг межсегментного трафика

  • Используйте IP → Firewall → Connections для анализа текущих соединений
  • Включите Logging для важных правил, чтобы видеть попытки доступа
  • Можно настроить Graphing или NetFlow для трафика между VLAN

Заключение

Вы можете тонко управлять доступом между сегментами сети, не жертвуя безопасностью. MikroTik позволяет создавать правила практически любой сложности — главное, понимать, зачем каждый доступ нужен, и чётко его ограничивать.

📌 Следующая часть: \»VPN для отдельных VLAN и Wi-Fi сетей в MikroTik: точечный безопасный доступ\»

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка 0 / 5. Количество оценок: 0

Оценок пока нет. Поставьте оценку первым.

MrRoot
Обновлено: 21 октября, 2025

Читайте также

Как обнаружить и убрать майнер (Kinsing / kdevtmpfsi) с Docker-сервера — подробный практический гайд Сегментация и изоляция устройств в MikroTik: VLAN, DHCP и контроль доступа Мобильная лаборатория для тестирования безопасности: Kali Linux в вашем кармане