Безопасно ли такое подключение свитча с камерами в роутер Mikrotik?

Во первых ты забыл цепочку, которая, очевидно, должна быть forward. Во вторых лучше уж тогда вывести интерфейс из моста/свитча и создать отдельную подсеть

Нет, нихера: https://imgur.com/a/SzFDB

Как запилить сабж?

так и есть - интерфейс в режиме «slave». Как я и предпологал

Да-да, цепочку добавил, результат на картинке выше, спасибо, сейчас попробую сделать как вы посоветовали.

Специально для этого б-г создал vlan

Я хочу полностью безопасный порт, т.к. у свитча нет ни MAC-адреса, ни доступа к нему по любому протоколу, а поскольку он OEM-китайский, у меня есть некоторые сомнения в его безопасности. Его никак не видно в этой цепочке подключений, vlan сможет помочь в таком случае?

Да можно и без влана. Вывести порт из бриджа | убрать у него мастер интерфейс. И по необходимости навесить ему адрес в сети без доступа к инету.

убрать у него мастер интерфейс.

поставил master port -> none, он перестал быть slave

Вывести порт из бриджа

удалил порт из единственного bridge1

Что делать дальше?

Задать на этом порту адрес, отличный от адреса на основном LAN, т.е. создать другую сеть. На всех устройствах за этим портом прописать соответствующие адреса и у них указать шлюзом новый адрес роутера. На роутере создать правило запрещающее прохождение пакетов между этим портом и портом WAN. Радоваться жизни.

Как вариант можно не разрешать маскарадить эту подсеть (смотря как основное правило настроено).

На всех устройствах за этим портом прописать

А нельзя ли запилить порт, за которым ничего не нужно прописывать? Можно допрописываться, что при смене конфигурации или сбое — на камеру больше не зайдешь и сбросить никак. Я ведь могу dhcp-сервак повесить на этот порт, будет же работать?

На форуме микротика говорят, что нужно:

you must un-slave interfaces such as ether4

Далее,

you will need to add ether4 to the LAN bridge, and then enable "use IP firewall" on the bridge.

Это мне посоветовали сделать, чтобы можно было включить те правила, что указаны в первом посте.

насчет ub-slave не уверен что это всё. насчет bridge - скорее всего надо отдельный бридж, bridge2

Не маскарадь на него

Отрезать вланом и не е***ть мозг.

Не маскарадь на него

На него, на физический порт? Как это делается в routeros?

в моём домашнем роутере бридж только для wifi. там интерфейс wlan1 и раньше был vlan от сервера.
советую тебе отказаться от бриджей для портов, это большая нагрузка на проц, а профита никакого.
предлагаю следующее:

• /interface ethernet
  set [ find default-name=ether4 ] rx-flow-control=auto tx-flow-control=auto

• /ip pool
  add name=cameras_pool ranges=192.168.30.2-192.168.30.254
  

• /ip dhcp-server
  add add-arp=yes address-pool=cameras_pool disabled=no interface=ether4 name=cameras_dhcp
  

• /ip dhcp-server network
  add address=192.168.30.0/24 dns-server=192.168.30.1 domain=lan gateway=192.168.30.1 netmask=24
  

вроде ничего не забыл.

• отключаешь мастер порт у ether4
• создаёшь ip пул
• создаешь dhcp для этого пула

дальше, все подключённые к ether4 устройства будут получать ip по dhcp и ты можешь управлять правилами фаерволла по этому диапазону.
интернетов у них не будет, если не прописать маскарад.

вроде ничего не забыл.

забыл:

/ip address
add address=192.168.30.1/24 interface=ether4 network=192.168.30.0

Спасибо большое, но не совсем работает, т.е. из коробки у подключаемых к ether5 интернет есть.

Я отключил мастер-порт у ether5, он перестал быть slave и из единственного bridge1 пропал.

Далее выполнил (ether5 — нужный порт, все названия заменил на sc_*, и в подсети вместо 30 поставил 150, ассоциирующийся у меня с сетью безопасности):

/interface ethernet
set [ find default-name=ether5 ] rx-flow-control=auto tx-flow-control=auto

/ip pool
add name=sc_pool ranges=192.168.150.2-192.168.150.254

/ip dhcp-server
add add-arp=yes address-pool=sc_pool disabled=no interface=ether5 name=sc_dhcp

/ip dhcp-server network
add address=192.168.150.0/24 dns-server=192.168.150.1 domain=lan gateway=192.168.150.1 netmask=24

/ip address
add address=192.168.150.1/24 interface=ether5 network=192.168.150.0

В итоге: всё успешно работает, но в интернет устройства ходят, где пофиксить? Из твоих слов я понял, что интернета не будет из коробки, только локальная сеть.

Спасибо.

покажи весь конфиг: export и выложи через https://pastebin.com/ только пароли затри звёздочками.

свой ip заменил на XxX: https://pastebin.com/FTPy5Cm7

я делаю так:

/ip firewall address-list
add address=192.168.10.0/24 list=ethernet_network
add address=192.168.20.0/24 list=wireless_network

/ip firewall nat
add action=masquerade chain=srcnat comment=ethernet_network out-interface=ether1-wan src-address-list=ethernet_network
add action=masquerade chain=srcnat comment=wireless_network out-interface=ether1-wan src-address-list=wireless_network

/ip dhcp-server network
add address=192.0.0.0/8 comment=defconf gateway=192.168.0.1 netmask=8
add address=192.168.150.0/24 dns-server=192.168.150.1 domain=lan gateway=192.168.150.1 netmask=24

Создать список ip камер, и в настройкп nat masquerade указать что маскарад на этот список не распросьраняется, если надо скрин с винбокса могу позже скинуть, сейчас с телефона пишу

Понимаешь, это ненужные заморочки обмазываться списками ip всех камер, у этих камер даже MAC-адрес может сам по себе (либо по команде с китая? не в курсе) смениться.

Меня интересует универсальное решение: физический порт №5 (ether5) — работает только в локальной сети, никакое устройство, подключенное через него, с любым MAC-адресом и любым ip, с любым чем угодно — не имеет выхода в ether1/WAN (интернеты), ни по какому протоколу.

Судя по тому, что гуру микротиков предлагают мне на ихнем форуме уже 5-е и всё так же неработающее решение, у меня начинают закрадываться нехорошие мысли и появляются сомнения, технику той фирмы ли я закупил.

у тебя уже есть отдельный порт раздающий отдельную подсеть (почти отдельную)
теперь настрой подсети и маскарадь по ним. либо маскарадь по отдельным портам.
но я советую по подсетям. это удобнее в понимании и гибче в управлении.

указать не маскарадить сетку с камерами ?

У тебя получается 192.168.0.0/24 нет вообще и не используется?

это мнемонические, личные предпочтения.
«десятая» подсеть звучит лучше чем «нулевая»

Не знаю что там гуру микротиков тебе предлагают, но твоё решение укладывается в 5 минут работы на любом оборудовании. Ещё раз:

- Выводишь порт из slave состояния. Сие означает что он должен иметь в поле master-port значение none и не должен принадлежать ни одному мосту.

- Вешаешь на него ip адрес любого диапазона из rfc1918, главное, что бы он не принадлежал текущей сети используемой на LAN мастер-порту/бриджу.

- Не хочешь настраивать устройства вручную - без проблем. Поднимаешь на микротике dhcp-сервер для указанного выше диапазона и вешаешь этот новый dhcp-сервер на твой порт (тот который ты вывел из slave состояния).

- Пишешь правило: «/ip firewal filter chain=forward in-interface=(твой-интерфейс-с-камерами) out-interface=(твой-WAN-интерфейс) action=drop». Перемещаешь это правило на самый верх и наслаждаешься. Никто за этим портом не выйдет в интернет, не важно какой адрес, не важно какой мак.

Всё. Если там у тебя косяк в начальной конфигурации, а у тебя там косяк - то тут тебе никакой вендор, даже самый тупой китаец из подвала, не виноват

Спасибо, друзья system-root, Toten_Kopf! Наконец-то осилил, всё настроено и хорошо работает, проверил через китайскую аппу, которая по каким-то своим идентификаторам знает о камерах и просматривает их, так вот она их теперь при текущем сетапе не видит, что уже хорошо, буду еще тестировать, но уже нормально, камеры в сети 192.168.150.*, я остался в 192.168.0.* (192.0.0.* больше нет) — система видеонаблюдения из этой сети видит камеры из 150-й сети.

Правда кофигурялки две, которые по идее тоже должны их видеть, не видят, но это уже мелочи, потом настрою, главное, что уже основное всё работает. Спасибо.

Этой ночью сплю с камерами.

Правда кофигурялки две, которые по идее тоже должны их видеть

возможно они работают по броудкасту, который не ходит между сетями.
подключись в свич, который для камер и проверь.

Да, в итоге конфигурялки видят, если обращаться вручную с добавлением нужных для каждой из них порта (8899 и 34567).