• Skąd: Łódź
  • Zarejestrowany: 2013-07-07
  • Posty: 290

Temat: Komunikacja między dwoma vlanami

Witam.
Mam ruter WDR4300 ze switcha mam wydzielony dodatkowy vlan.
Komunikacja między vlanami jest zablokowana to jest ok.
Chciałbym jednak mieć dostęp z konkretnego IP z vlan1 do konkretnego IP z vnal2.

Próbowałem taki wpis w iptables ale nie działa

iptables -I FORWARD -i eth0.1 -o eth0.3 -p tcp -s 192.168.100.10 -d 172.16.100.25 -j ACCEPT

Fragment z /etc/config/network

config interface 'lan'
    option type 'bridge'
    option ifname 'eth0.1'
    option proto 'static'
    option ip6assign '60'
    option ipaddr '192.168.100.1'
    option netmask '255.255.255.0'

config interface 'lan2'
    option ifname 'eth0.3'
    option proto 'static'
    option ipaddr '172.16.100.1'
    option netmask '255.255.255.0'
| C2600 @ OpenWrt 21.02 / LuCi -> sieć gościnna, WINS serwer, VLAN, DLNA, multiwan
| WDR4300 @ OpenWrt 21.02 / LuCI -> extroot, sieć gościnna, WINS serwer
| MR3020 @ MiFi 17.01 -> E3372 HiLink
| WR842ND v2 @ Gargoyle PL 1.13.0 -> testy

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,207

Odp: Komunikacja między dwoma vlanami

Interfejsem jest br-lan nie eth0.1. Bridge masz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez jaros85 (edytowany przez jaros85 2018-05-17 18:03:07)

  • Skąd: Łódź
  • Zarejestrowany: 2013-07-07
  • Posty: 290

Odp: Komunikacja między dwoma vlanami

Niestety zmiana nazwy interfejsu źródłowego nie pomogła.

Tak wygląda łańcuch FORWARD u mnie

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
 135K  128M forwarding_rule  all  --  any    any     anywhere             anywhere             /* !fw3: user chain for forwarding */
 134K  128M ACCEPT     all  --  any    any     anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  611 46432 zone_lan_forward  all  --  br-lan any     anywhere             anywhere             /* !fw3 */
    5  1358 zone_wan_forward  all  --  eth0.2 any     anywhere             anywhere             /* !fw3 */
    0     0 zone_wan_forward  all  --  eth1   any     anywhere             anywhere             /* !fw3 */
   15   900 zone_lan2_forward  all  --  eth0.3 any     anywhere             anywhere             /* !fw3 */
  286  126K zone_lan3_forward  all  --  eth0.4 any     anywhere             anywhere             /* !fw3 */
    0     0 zone_guest_forward  all  --  br-guest any     anywhere             anywhere             /* !fw3 */
   18   936 reject     all  --  any    any     anywhere             anywhere             /* !fw3 */
    0     0 ACCEPT     tcp  --  br-lan eth0.3  192.168.100.10             172.16.100.25
| C2600 @ OpenWrt 21.02 / LuCi -> sieć gościnna, WINS serwer, VLAN, DLNA, multiwan
| WDR4300 @ OpenWrt 21.02 / LuCI -> extroot, sieć gościnna, WINS serwer
| MR3020 @ MiFi 17.01 -> E3372 HiLink
| WR842ND v2 @ Gargoyle PL 1.13.0 -> testy

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,207

Odp: Komunikacja między dwoma vlanami

Reguła jest na końcu. Tak jak  byś zrobił -A FORWARD zamiast -I, bo przed nią masz reject. Zezwól także na ruch w drugą stronę.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez jaros85

  • Skąd: Łódź
  • Zarejestrowany: 2013-07-07
  • Posty: 290

Odp: Komunikacja między dwoma vlanami

Wielkie dzięki za pomoc smile
Zapomniałem że ruch musi być otwarty w obydwie strony teraz już działa.
iptables -I FORWARD -i br-lan -o eth0.3 -p tcp -s 192.168.100.10 -d 172.16.100.25 -j ACCEPT
iptables -I FORWARD -i eth0.3 -o br-lan -p tcp -s 172.16.100.25 -d 192.168.100.10 -j ACCEPT

| C2600 @ OpenWrt 21.02 / LuCi -> sieć gościnna, WINS serwer, VLAN, DLNA, multiwan
| WDR4300 @ OpenWrt 21.02 / LuCI -> extroot, sieć gościnna, WINS serwer
| MR3020 @ MiFi 17.01 -> E3372 HiLink
| WR842ND v2 @ Gargoyle PL 1.13.0 -> testy