1 Temat przez Piotr.pot (edytowany przez Piotr.pot 2016-11-26 22:25:57)

  • Zarejestrowany: 2011-01-25
  • Posty: 26

Temat: Drugi OpenWRT wewnątrz sieci LAN -> WAN

Witam mam problem w następującej konfiguracji. Główny router w domu (A) to 192.168.0.1, do jego LANa podłączony mam drugi router (B) w WAN, którego adresy to WAN 192.168.0.2, LAN 192.168.1.1. Do routera (B) podłączony jest komputer z SSH (192.168.1.10), do którego chciałbym łączyć się z komputerów podłączonych do routera (A). Ustawiłem więc na routerze (B) przekierowanie portu np. 2222 > 192.168.1.10:22. Niestety mimo to, ssh 192.168.0.2 -p 2222 jest nieosiągalne z komputerów podłączonych do (A). Z routera (B) mogę połączyć się ssh 192.168.1.10 i wszystko jest ok. Czy w ogóle dobrze rozumuję, że takie przekierowanie powinno działać? Resetowałem (B) do ustawień domyślnych, próbowałem CC, BB, trunk, konfigurowałem na nowo, za żadne skarby nie mogę uzyskać działającego przekierowania. Nie potrzebuję, nic więcej tylko ten jeden port na jeden komputer w drugiej sieci, inne komputery nie muszą się "widzieć". Będę bardzo wdzięczny za wszelkie podpowiedzi. Dzięki z góry za pomoc.

Przekierowanie na routerze (B) wygląda następująco:

config redirect
    option target 'DNAT'
    option src 'wan'
    option dest 'lan'
    option proto 'tcp'
    option src_dport '2222'
    option dest_ip '192.168.1.10'
    option dest_port '22'
    option name 'SSH_komp_w_routerze_B'

Rys
W skrócie, chodzi o to aby z PC1 osiągnąć SSH na PC2.
|-----------| LAN <-> PC1                                         |------------| LAN <-> PC2
|router A | LAN <-------------------------------> WAN  | router B |
|-----------|                                                              |------------|

2 Odpowiedź przez mar_w (edytowany przez mar_w 2016-11-26 23:36:23)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Drugi OpenWRT wewnątrz sieci LAN -> WAN

A może zmaż:      option target 'DNAT'
Jedyną wytłumaczalną reakcją na brak przekierowania jest .... brak restartu Firewall-a na CC, BB, trunk.
co jak co, ale na BB i CC (oficjalnych) to zawsze chodzi/ło prawidłowo, bo samo wpisanie regułki do pliku jeszcze nie powoduje, że ta regułka zacznie nagle obowiązywać.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

3 Odpowiedź przez Piotr.pot

  • Zarejestrowany: 2011-01-25
  • Posty: 26

Odp: Drugi OpenWRT wewnątrz sieci LAN -> WAN

Oczywiście po każdej zmianie dawałem /etc/init.d/firewall restart. Przy tylu próbach poszedł też niejeden restart całego routera. Mimo usunięcia option target 'DNAT' nadal nie działa. Poniżej podaję cały plik firewall, może coś w standardowych ustawieniach wyklucza działanie w moim przypadku? Bardzo proszę o pomoc bo już mi ręce opadają..

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option output 'ACCEPT'
    option input 'REJECT'
    option forward 'REJECT'
    option masq '1'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config include
    option path '/etc/firewall.user'

config rule
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config redirect
    option name 'ssh'
    option src 'wan'
    option proto 'tcp'
    option src_dport '2222'
    option dest_ip '192.168.1.10'
    option dest_port '22'
    option dest 'lan'
    option name 'SSH_komp_w_routerze_B'

# podłączenie ssh 192.168.0.2 działa z sieci routera (A)
config rule
    option target 'ACCEPT'
    option src 'wan'
    option proto 'tcp'
    option dest_port '22'
    option name 'SSH'

# podłączenie do luci 192.168.0.2 działa z sieci routera (A)
config rule
    option target 'ACCEPT'
    option src 'wan'
    option proto 'tcp'
    option dest_port '80'
    option name 'SSH'

4 Odpowiedź przez jzef (edytowany przez jzef 2016-11-27 15:20:11)

  • jzef
  • jzef
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-01-16
  • Posty: 872

Odp: Drugi OpenWRT wewnątrz sieci LAN -> WAN

Zrób wszystko w jednej podsieci LAN. Na drugim OpenWrt nie rób portu WAN tylko normalnie LAN połącz kablem do routera głównego jak zwykły komputer tzn. switch <> switch. W pliku /etc/config/network określ adres LAN z tej samej podsieci np.

Router główny: 192.168.0.1
Router drugi: 192.168.0.2

Wtedy nie potrzebujesz żadnego przekierowania:
|-----------| LAN <-> PC1                                         |------------| LAN <-> PC2
|router A | LAN <-------------------------------> LAN    | router B |
|-----------|                                                              |------------|

Jeśli chcesz mieć dostęp do Internetu na drugim routerze ustaw dodatkowo adres DNS i bramę w /etc/config/network

Przykładowe ustawienie dla CC 15.05.1 dla routera B:

config interface 'lan'
    option ifname 'eth0.1'
    option force_link '1'
    option type 'bridge'
    option proto 'static'
    option ipaddr '192.168.0.2'
    option netmask '255.255.255.0'
    option gateway '192.168.0.1'
    option dns '192.168.0.1'
    option ip6assign '60'

Oczywiście reszta ustawień w pliku domyślna.

5 Odpowiedź przez mar_w (edytowany przez mar_w 2016-11-27 15:47:56)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Drugi OpenWRT wewnątrz sieci LAN -> WAN

Dla konfiguracji @jzef-a przydałoby się wyłączyć DHCP na LAN-ie w routerze B. /etc/config/dhcp  sekcja 'lan' podobna do sekcji 'wan'

A jeżeli musisz mieć 2 sieci to sprawdź, czy czasem coś Ci nie blokuje na tych komputerach.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

6 Odpowiedź przez jzef

  • jzef
  • jzef
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-01-16
  • Posty: 872

Odp: Drugi OpenWRT wewnątrz sieci LAN -> WAN

mar_w napisał/a:

Dla konfiguracji @jzef-a przydałoby się wyłączyć DHCP na LAN-ie w routerze B. /etc/config/dhcp  sekcja 'lan' podobna do sekcji 'wan'

Oooo, tak, tak zapomniałem o tym właśnie - ale w sumie to obojętne czy DHCP będzie na routerze A czy B, grunt to aby nie było dwóch serwerów w jednej sieci.