Urządzenia IoT (kamery, inteligentne gniazdka, odkurzacze) często mają luki w zabezpieczeniach i rzadkie aktualizacje. Pozostawienie ich w tej samej sieci, co Twój komputer czy serwer NAS, to ryzyko. Rozwiązaniem jest segmentacja sieci za pomocą VLAN-ów.

W tym tutorialu skonfigurujemy dwie sieci:

1. VLAN 10 (Główna): Dla zaufanych urządzeń (PC, Laptop).
2. VLAN 20 (IoT): Dla urządzeń inteligentnego domu, zablokowana przed dostępem do reszty sieci.

Krok 1: Przygotowanie Bridge (Mostu)

Zaczynamy od stworzenia jednego mostu, który będzie obsługiwał cały ruch VLAN.

1. Otwórz WinBox i przejdź do sekcji Bridge.
2. Kliknij +, aby dodać nowy most. Nazwij go bridge-LAN.
3. Ważne: Na razie nie włączaj opcji Vlan Filtering – zrobimy to na samym końcu, aby nie stracić połączenia z routerem.

Krok 2: Tworzenie interfejsów VLAN

Teraz musimy poinformować system, że na naszym moście będą działać konkretne identyfikatory (ID).

1. Przejdź do Interfaces -> zakładka VLAN.
2. Kliknij + i dodaj:
   • Name: vlan10-main | VLAN ID: 10 | Interface: bridge-LAN
   • Name: vlan20-iot | VLAN ID: 20 | Interface: bridge-LAN

Krok 3: Adresacja IP i DHCP

Każdy VLAN musi mieć własną podsieć.

1. IP -> Addresses:
   • 192.168.10.1/24 dla interfejsu vlan10-main
   • 192.168.20.1/24 dla interfejsu vlan20-iot
2. IP -> Pool: Stwórz pule adresów, np. pool-iot (192.168.20.10-192.168.20.100).
3. IP -> DHCP Server: Uruchom serwery DHCP na interfejsach vlan10-main i vlan20-iot, korzystając z przycisku DHCP Setup.

Krok 4: Konfiguracja Portów (Access i Trunk)

To tutaj decydujemy, do którego VLAN-u należy dany port fizyczny.

1. Przejdź do Bridge -> Ports.
2. Dodaj porty do bridge-LAN:
   • ether2 (PC): Ustaw PVID na 10. To będzie port typu Access.
   • ether3 (Kamera IoT): Ustaw PVID na 20.
3. Przejdź do Bridge -> VLANs.
4. Kliknij + i zdefiniuj członkostwo:
   • Bridge: bridge-LAN | VLAN IDs: 10 | Tagged: bridge-LAN | Untagged: ether2
   • Bridge: bridge-LAN | VLAN IDs: 20 | Tagged: bridge-LAN | Untagged: ether3

Uwaga: Interfejs bridge-LAN musi być oznaczony jako Tagged, aby procesor routera mógł komunikować się z danym VLAN-em (routing, DHCP).

Krok 5: Aktywacja VLAN Filtering

Gdy wszystko jest skonfigurowane, możemy włączyć filtrowanie.

1. Wróć do Bridge -> Bridge.
2. Otwórz ustawienia swojego bridge-LAN.
3. Zaznacz Vlan Filtering i kliknij Apply.

Krok 6: Firewall – Izolacja sieci IoT

Mimo podziału na VLAN-y, MikroTik domyślnie będzie przesyłał ruch między nimi. Musimy to zablokować w IP -> Firewall -> Filter Rules.

Stwórz regułę:

• Chain: forward
• In. Interface: vlan20-iot
• Out. Interface: vlan10-main
• Action: drop

Dzięki temu urządzenia IoT będą miały dostęp do Internetu, ale nie „zobaczą” Twojego komputera ani serwera z danymi.

Tabela konfiguracji portów

Port	Funkcja	PVID (VLAN ID)	Typ portu
ether2	Komputer Biurowy	10	Access
ether3	Kamera IP	20	Access
ether4	Access Point (VLAN Trunk)	brak	Trunk (Tagged)

Podsumowanie

Dzięki Bridge VLAN Filtering Twoja sieć jest teraz podzielona na logiczne segmenty. Nawet jeśli ktoś przejmie kontrolę nad tanią żarówką Wi-Fi w Twoim domu, nie uzyska dostępu do reszty infrastruktury.