1 Temat przez szymek

  • szymek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-11-03
  • Posty: 220

Temat: Wejście do sieci podrzędnej w LAN

Witam,
Mam swego rodzaju problem do rozwiązania.
Posiadam w sieci lokalnej dwa routery, jeden główny X, drugi dodatkowy Y.

Chciałbym, by urządzenia z sieci X miały dostęp do urządzeń z sieci Y, niestety najprawdopodobniej NAT i/lub firewall go blokuje.
Ale będąc w sieci Y widzę urządzenia z sieci nadrzędnej.

„X” 192.168.5.1 z portu LAN wchodzi w port WAN „Y” 192.168.1.1 ,
tak jak wspomniałem będąc w X nie mam dostępy do Y, a będąc w Y mogę logować się do np. NAS`a w X czy router X.

Urządzenie które jest w „Y” nie ma możliwości wywołania poprzez port dedykowany, wiec otwarcie konkretnego portu we firewarze nie działa ☹ wskazaniem przerzucenia wszystkich portów na tą jednostkę w Y również nie wpuszcza.

Idzie jakoś to uwolnić?

dziękuję za podpowiedz.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Wejście do sieci podrzędnej w LAN

To normalne połączenie routerów, tak jak cały internet jest zbudowany. I siłą rzeczy nie dostaniesz się do urządzeń za Y bo są za natem. Jak chcesz się dostać do usług komputerów udostępnionych za Y to zrób na Y przekierowanie określonych portów na określone adresy IP, tak jak się to normalnie robi.

Ew zrób z Y zwykłego AP żeby wszystko było w jednej podsieci.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez garysek

  • Zarejestrowany: 2012-10-29
  • Posty: 78

Odp: Wejście do sieci podrzędnej w LAN

Ja osobiście robię to w ten sposób:
1. Na routerze podrzędnym (Y) ustawiam symetryczny routing pomiędzy lan i wan, czyli w /etc/config/firewall:

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan'
    option masq '1'

config zone
    option name 'wan'
    option output 'ACCEPT'
    option masq '1'
    option network 'wan'
    option input 'ACCEPT'
    option forward 'ACCEPT'

config forwarding
    option src 'lan'
    option dest 'wan'

config forwarding
    option dest 'lan'
    option src 'wan'

2. Na nadrzędnym dodaję statyczny routing do podsieci Y, np. w /etc/config/network:

config route
    option target '192.168.2.0'
    option netmask '255.255.255.0'
    option interface 'lan'
    option gateway '192.168.10.216'

I mam pełny dostęp po IP do wszystkich urządzeń w danej podsieci.

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Wejście do sieci podrzędnej w LAN

I całkowicie odblokowany wan. Więc czemu nie zrobisz z niego ap po prostu?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez garysek (edytowany przez garysek 2020-07-22 15:19:48)

  • Zarejestrowany: 2012-10-29
  • Posty: 78

Odp: Wejście do sieci podrzędnej w LAN

Tak, wan jest całkowicie odblokowany, ale w niczym to mi nie przeszkadza, bo tylko z mojej sieci można tak dostać się. A czemu tak a nie inaczej? Na przestrzeni czasu były różne konfiguracje, a ta mi najbardziej spodobała po prostu. Wejście do niektórych urządzeń w tej podsieci muszę mieć, a tak jest wygodniej niż odblokowywać i przekierowywać poszczególne porty, a że funkcjonalnie to w sumie odrębna sieć, więc uznałem, że tak będzie optymalnie. Podsieć też ma swój serwer DNS bez adblocka jaki funkcjonuje na głównej.

6 Odpowiedź przez szymek

  • szymek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-11-03
  • Posty: 220

Odp: Wejście do sieci podrzędnej w LAN

właśnie o takie coś mi chodzi co podaje @garysek,

w moim przypadku zmiany tylko w config defaults/zone z REJECT NA ACCEPT ? w nadrzędnym nie mam możliwości obecnie zmiany, gdyż jest tam soft prodcenta routera.

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option network 'lan'
    option masq '1'
    option forward 'REJECT'

config zone
    option name 'wan'
    option output 'ACCEPT'
    option masq '1'
    option mtu_fix '1'
    option network 'wan'
    option input 'REJECT'
    option forward 'REJECT'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config include
    option path '/etc/firewall.user'

config zone
    option name 'vpn'
    option output 'ACCEPT'
    option network 'vpn'
    option masq '1'
    option forward 'REJECT'
    option input 'ACCEPT'

config forwarding
    option src 'lan'
    option dest 'vpn'

czy bez poniższego jesteśmy w stanie stworzyć transparentność sieci Y w X ?

config route
    option target '192.168.x.x'

7 Odpowiedź przez garysek

  • Zarejestrowany: 2012-10-29
  • Posty: 78

Odp: Wejście do sieci podrzędnej w LAN

W defaults nie musisz reguł zmieniać, wystarczy w wan i w lan. Oprócz tego musisz dodać przekazywanie z wan do lan.
Jeśli w głównym masz opcje ustawienia tras statycznych to powinno zadziałać, w przeciwnym wypadku nie bardzo to widzę.
Router główny bez openwrt? Jesli nie możesz zmienić softu zmień router smile.

8 Odpowiedź przez szymek

  • szymek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-11-03
  • Posty: 220

Odp: Wejście do sieci podrzędnej w LAN

Główny router mam wrt3200acm, były problemy z radiem więc wgrałem oryginał, ale spokojnie mam jeszcze inne np 1043 czy archer c7, fritzbox przez weekend zrobię testy.

9 Odpowiedź przez szymek

  • szymek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-11-03
  • Posty: 220

Odp: Wejście do sieci podrzędnej w LAN

coś mi to ruszyć nie chce sad

pokażę configi routera X oraz Y, gdzie X to nadrzędny, Y podrzędny.


X network

config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fd0c:f0d9:c819::/48'

config interface 'lan'
    option type 'bridge'
    option ifname 'eth0.1'
    option proto 'static'
    option netmask '255.255.255.0'
    option ip6assign '60'
    option ipaddr '192.168.5.1'

config interface 'wan'
    option ifname 'eth1.2'
    option proto 'static'
    option netmask '255.255.255.0'
    list dns '8.8.8.8'
    option ipaddr '192.168.8.100'
     option gateway '192.168.8.1'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '0 1 2 3 5t'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '4 6t'

X firewall

config route
    option target '192.168.1.1'
    option netmask '255.255.255.0'
    option interface 'lan'
    option gateway '192.168.5.1'

config defaults
    option input 'ACCEPT'
    option output 'ACCEPT'
    option flow_offloading '1'
    option synflood_protect '1'
    option forward 'ACCEPT'
    option flow_offloading_hw '1'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan'

config zone
    option name 'wan'
    option output 'ACCEPT'
    option masq '1'
    option mtu_fix '1'
    option network 'wan'
    option input 'REJECT'
    option forward 'REJECT'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config include
    option path '/etc/firewall.user'

config redirect
    option target 'DNAT'
    option dest 'lan'
    option proto 'tcp udp'
    option name 'rejestrator'
    option dest_ip '192.168.5.150'
    option dest_port '1050'
    option src 'wan'
    option src_dport '1050'

Y networt

config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fd33:a80c:ae4b::/48'

config interface 'lan'
    option type 'bridge'
    option ifname 'eth1.1'
    option proto 'static'
    option ipaddr '192.168.1.1'
    option netmask '255.255.255.0'
    option ip6assign '60'

config interface 'wan'
    option ifname 'eth0.2'
    option proto 'static'
    option netmask '255.255.255.0'
    list dns '1.1.1.1'
    option ipaddr '192.168.5.30'
    option gateway '192.168.5.1'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '1 2 3 4 0t'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '5 6t'

config interface 'vpn'
    option ifname 'tun0'
    option proto 'none'

firewall

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan'
    option masq '1'

config zone
    option name 'wan'
    option output 'ACCEPT'
    option masq '1'
    option network 'wan'
    option input 'ACCEPT'
    option forward 'ACCEPT'

config forwarding
    option src 'lan'
    option dest 'wan'

config forwarding
    option dest 'lan'
    option src 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config include
    option path '/etc/firewall.user'

config zone
    option name 'vpn'
    option output 'ACCEPT'
    option network 'vpn'
    option masq '1'
    option forward 'REJECT'
    option input 'ACCEPT'

config forwarding
    option src 'lan'
    option dest 'vpn'

co ewentualnie zmienić?

dziękuję za wskazówki.

10 Odpowiedź przez garysek

  • Zarejestrowany: 2012-10-29
  • Posty: 78

Odp: Wejście do sieci podrzędnej w LAN

config route
    option target '192.168.1.0'
    option netmask '255.255.255.0'
    option interface 'lan'
    option gateway '192.168.5.30'

To w nadrzędnym powinieneś mieć w network, a nie w firewall.

11 Odpowiedź przez szymek (edytowany przez szymek 2020-07-26 18:35:49)

  • szymek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-11-03
  • Posty: 220

Odp: Wejście do sieci podrzędnej w LAN

@garysek dziękuję, działa,
zastanawia mnie "  option gateway '192.168.5.30'" dlaczego akurat 30 a nie 5.1 jak IP serwera? czy nie będzie konfliktu, gdybym miał maszynę w adresacji 192.168.5.x z IP 5.30?
option  target jest dla mnie zrozumiałe, obejmujemy każde IP z 192.168.1.x-xxx

Pozdrawiam
szymek

12 Odpowiedź przez garysek

  • Zarejestrowany: 2012-10-29
  • Posty: 78

Odp: Wejście do sieci podrzędnej w LAN

szymek napisał/a:

zastanawia mnie "  option gateway '192.168.5.30'" dlaczego akurat 30

A to już pytanie do Ciebie czemu akurat takie IP nadajesz routerowi podrzędnemu:

config interface 'wan'
    option ifname 'eth0.2'
    option proto 'static'
    option netmask '255.255.255.0'
    list dns '1.1.1.1'
    option ipaddr '192.168.5.30'
    option gateway '192.168.5.1'

To on robi za bramę i musisz po prostu podać jego adres w lan routera nadrzędnego.

13 Odpowiedź przez szymek

  • szymek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-11-03
  • Posty: 220

Odp: Wejście do sieci podrzędnej w LAN

masz rację, ten router to odgrzewane kluchy, kiedyś działało w dhcp później coś ustawiłem na sztywno i tak zostało,
kompletnie przeoczyłem tą kwestię.

14 Odpowiedź przez gonzales (edytowany przez gonzales 2020-08-22 00:11:31)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Wejście do sieci podrzędnej w LAN

Nie jestem pewny czy piszę w dobrym temacie ale...
W chwili obecnej routery z WG były za routerami brzegowym (łączącymi z Internetem - fritzboxy bez openwrt) i powiedzmy, że działało to prawie tak jak chciałem, czyli miałem dostęp z lokalizacji A do do sieci B i na odwrót (miałem dostęp do webinterfejsów routera brzegowego i tego z WG). Routery z wireguard miały na stałe przypisany na WAN-ie adres z DHCP fritzów.

Teraz jednak chciałem przetestować konfigurację z routerami z WG jako brzegowe (łączące z internetem) a fritzboxy byłyby za openwrt.
Jednak testowo chcę również sprawdzić VPN oferowany przez fritzboxy i ogólnie chciałbym mieć dostęp do sieci za fritzami.

Czy w związku z tym routery bez openwrt powinny tworzyć swoją podsieć tak jak do tej pory robiły routery z wireguard?
Czy powinienem wydzielić dla fritzboxów osobny VLAN?
Czy może jeszcze jakoś inaczej to zrobić?

Generalnie chciałbym w routerach tak zmienić konfigurację, żeby tylko jeden lub dwa porty LAN łączyły poprzez VPN wireguard natomiast wi-fi i pozostałe porty LAN wykorzystywały łączenie się z internetem po swoim łączu, nie przez sieć VPN (zdalne łącze internetowe).
Jasno to opisałem, czy nie bardzo?

15 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Wejście do sieci podrzędnej w LAN

Nie bardzo, bo nie widzę problemu. Robisz po prostu połączenie vpn pomiędzy dwoma routerami, to czy hosty korzystają z vpn czy nie zależy jak zrobiłeś sobie routing czy pbr. Nie wiem zbytnio co tu fritzy mają do rzeczy.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

16 Odpowiedź przez gonzales (edytowany przez gonzales 2020-08-22 06:51:07)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Wejście do sieci podrzędnej w LAN

Pewnie nic, ale wolę dopytać zanim zacznę grzebać.
Tylko teraz, to co chcę osiągnąć zrobić na podstawie tego poradnika:
https://eko.one.pl/?p=openwrt-routing
czy raczej kombinować z siecią gościnną i ją puścić przez VPN?

17 Odpowiedź przez Cezary (edytowany przez Cezary 2020-08-22 07:00:07)

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Wejście do sieci podrzędnej w LAN

A to już od ciebie zależy. Powiem ci także że są gotowe aplikacje od tego - np. https://github.com/stangri/openwrt_pack … /README.md czy https://github.com/stangri/openwrt_pack … pass/files gdzie możesz to sobie wyklikać. Jak zrobisz to tak będziesz miał.

PS. I odradzam takie zabawy jeżeli routery masz 400km o siebie smile

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

18 Odpowiedź przez gonzales (edytowany przez gonzales 2020-08-22 07:49:59)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Wejście do sieci podrzędnej w LAN

400 to nie ale też nie 10. Chociaż korzystając z jakiegoś narzędzia do pracy zdalnej idzie i to ogarnąć o ile nie wyłożę całkowicie dostępu do internetu na którymkolwiek końcu.

Czyli bawiąc się należałoby skonfigurować takie rzeczy mając fizyczny dostęp do obydwu lub większej ilości routerów?
No nic zacznę od przepięcia routerów miejscami i ewentualnie zabawy ustawieniem allowed ip w wireguard.

Bo zakładam, że ustawienie zgodnie z tym poradnikiem:
https://eko.one.pl/?p=openwrt-konfigura … lientwdhcp
innego gateway dla klientów dhcp, może dać mi oczekiwany efekt,
czyli tylko 2-3 hosty będą się łączyć przez wireguard a pozostałe normalnie ale nie koniecznie zadziała mi łączność pomiędzy dwoma stronami tunelu wg (i/lub innymi ewentualnymi podsieciami za routerem z wireguard - czytaj podsieć fritzboxa)?

Co do VPN na fritzboxie (będącym inną podsiecią) to opcja VPN passthrough, która z tego co kojarzę jest domyślnie w firewall ustawiona dla IPSEC to powinno wystarczyć czy muszę coś jeszcze robić?

Teoretycznie fritzbox mógłby być w tej samej sieci co netgaer tylko czy to, że będą dwa VPN w jednej podsieci nie będzie powodować problemów?
A może skoro VPN fritzboxa to inny VPN niż wireguard to fritzbox może być w jednej podsieci z openwrt?

19 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Wejście do sieci podrzędnej w LAN

Mając połączenie vpn masz po prostu połączenie, możesz w tym łączu zestawić następne połączenie vpn, tylko po co...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

20 Odpowiedź przez gonzales (edytowany przez gonzales 2020-08-22 08:44:29)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Wejście do sieci podrzędnej w LAN

To znaczy z tym sprawdzeniem VPN fritzboxa to tylko tak testowo dla nauki/praktyki.

Ale proszę o ponowne przeczytanie mojego poprzedniego postu i odniesienie się do sposobu rozdzielenia ruchu tylko po WG dla części hostów i normalnego (nie po wg) dla pozostałych hostów na openwrt oczywiście.

VPN PBR jest tym co pewnie powinno mnie zainteresować i pewnie z czasem będę przerabiał taką konfigurację aczkolwiek w tym momencie na moje potrzeby chyba nie jest to niezbędne.

Natomiast co do VPN Bypass to ja powinienem zrobić konfigurację odwrotną do tam przyjętych założeń czyli tylko określone np. IP puszczać po VPN a resztę normalnie. Chyba dobrze to zrozumiałem?

21 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Wejście do sieci podrzędnej w LAN

Nadal to samo - robisz vpn i teraz od ciebie zależy czy cały ruch puścisz przez vpn czy tylko z określonych hostów. I jak to zrobisz też zależy od ciebie - czy zrobisz "ręcznie" odpowiednie polityki czy użyjesz gotowych programów do tego. Kwestia konfiguracji.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

22 Odpowiedź przez gonzales

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Wejście do sieci podrzędnej w LAN

Nie ma co strzępić języka. Trzeba przepinać routery i konfigurować. Za wszelkie wskazówki oczywiście dziękuję. Dopytam tylko, jeżeli zainstaluję pakiety do VPN PBR i VPN Bypass to do czasu konfiguracji sam obecność pakietów nie będzie mi bruździć w routerze?

23 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Wejście do sieci podrzędnej w LAN

Tylko jeden z nich, oba są zbędne. I domyślnie powinny być wyłączone, więc nic złego nie powinno się stać.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

24 Odpowiedź przez gonzales (edytowany przez gonzales 2020-08-22 09:23:20)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Wejście do sieci podrzędnej w LAN

Niby się zainstalowało ale w UCI nie widzę. Pliki konfigurcyjne mam.
Co jest nie tak z tym pobieraniem z repozytorium?

root@OpenWrt:~# opkg update
Downloading http://downloads.openwrt.org/releases/19.07-SNAPSHOT/packages/mipsel_24kc/base/Packages.gz
Updated list of available packages in /var/opkg-lists/openwrt_base
Downloading http://downloads.openwrt.org/releases/19.07-SNAPSHOT/packages/mipsel_24kc/base/Packages.sig
Signature check passed.
Downloading http://downloads.openwrt.org/releases/19.07-SNAPSHOT/packages/mipsel_24kc/luci/Packages.gz
Updated list of available packages in /var/opkg-lists/openwrt_luci
Downloading http://downloads.openwrt.org/releases/19.07-SNAPSHOT/packages/mipsel_24kc/luci/Packages.sig
Signature check passed.
Downloading http://downloads.openwrt.org/releases/19.07-SNAPSHOT/packages/mipsel_24kc/packages/Packages.gz
Updated list of available packages in /var/opkg-lists/openwrt_packages
Downloading http://downloads.openwrt.org/releases/19.07-SNAPSHOT/packages/mipsel_24kc/packages/Packages.sig
Signature check passed.
Downloading http://downloads.openwrt.org/releases/19.07-SNAPSHOT/packages/mipsel_24kc/routing/Packages.gz
Updated list of available packages in /var/opkg-lists/openwrt_routing
Downloading http://downloads.openwrt.org/releases/19.07-SNAPSHOT/packages/mipsel_24kc/routing/Packages.sig
Signature check passed.
Downloading http://downloads.openwrt.org/releases/19.07-SNAPSHOT/packages/mipsel_24kc/telephony/Packages.gz
Updated list of available packages in /var/opkg-lists/openwrt_telephony
Downloading http://downloads.openwrt.org/releases/19.07-SNAPSHOT/packages/mipsel_24kc/telephony/Packages.sig
Signature check passed.
Downloading http://dl.eko.one.pl/openwrt-19.07/targets/ramips/mt7621/packages/Packages.gz
Failed to establish connection
*** Failed to download the package list from http://dl.eko.one.pl/openwrt-19.07/targets/ramips/mt7621/packages/Packages.gz

Downloading http://dl.eko.one.pl/openwrt-19.07/packages/mipsel_24kc/base/Packages.gz
Failed to establish connection
*** Failed to download the package list from http://dl.eko.one.pl/openwrt-19.07/packages/mipsel_24kc/base/Packages.gz

Downloading http://dl.eko.one.pl/openwrt-19.07/packages/mipsel_24kc/luci/Packages.gz
Failed to establish connection
*** Failed to download the package list from http://dl.eko.one.pl/openwrt-19.07/packages/mipsel_24kc/luci/Packages.gz

Downloading http://dl.eko.one.pl/openwrt-19.07/packages/mipsel_24kc/packages/Packages.gz
Failed to establish connection
*** Failed to download the package list from http://dl.eko.one.pl/openwrt-19.07/packages/mipsel_24kc/packages/Packages.gz

Downloading http://dl.eko.one.pl/openwrt-19.07/packages/mipsel_24kc/routing/Packages.gz
Failed to establish connection
*** Failed to download the package list from http://dl.eko.one.pl/openwrt-19.07/packages/mipsel_24kc/routing/Packages.gz

Downloading http://dl.eko.one.pl/openwrt-19.07/packages/mipsel_24kc/telephony/Packages.gz
Failed to establish connection
*** Failed to download the package list from http://dl.eko.one.pl/openwrt-19.07/packages/mipsel_24kc/telephony/Packages.gz

Downloading http://dl.eko.one.pl/openwrt-19.07/targets/ramips/mt7621/kmods-4.14.179/Packages.gz
Failed to establish connection
*** Failed to download the package list from http://dl.eko.one.pl/openwrt-19.07/targets/ramips/mt7621/kmods-4.14.179/Packages.gz

Collected errors:
 * opkg_download: Failed to download http://dl.eko.one.pl/openwrt-19.07/targets/ramips/mt7621/packages/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download http://dl.eko.one.pl/openwrt-19.07/packages/mipsel_24kc/base/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download http://dl.eko.one.pl/openwrt-19.07/packages/mipsel_24kc/luci/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download http://dl.eko.one.pl/openwrt-19.07/packages/mipsel_24kc/packages/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download http://dl.eko.one.pl/openwrt-19.07/packages/mipsel_24kc/routing/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download http://dl.eko.one.pl/openwrt-19.07/packages/mipsel_24kc/telephony/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download http://dl.eko.one.pl/openwrt-19.07/targets/ramips/mt7621/kmods-4.14.179/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

25 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Wejście do sieci podrzędnej w LAN

Nic ci się nie zainstalowało. dl.eko.one.pl kuleje co jakiś czas bo operator daje ciała (pozdrawiam vectrę), więc próbuj ponownie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona