• Zarejestrowany: 2018-08-13
  • Posty: 216

Temat: VLAN dla sieci gościnnej

Cześć, proszę o wsparcie w konfiguracji sieci gościnnej odizolowanej od domowej. Temat odświeżony. Stare zapytanie skasowałem bo zmienił się sprzęt.

Główny router to Linksys EA7500v2 z Luci 21.02 od Cezarego.
Kilka AP-ków ze starych routerów.
Jeden AP to Western Digital My Net N750 z Luci 21.02 od Cezarego.

Chcę by na jednym porcie routera (lub na wszystkich) nadawany był VLAN dla sieci gościnnej tak, by AP z konfiguracja poniżej podłączony w dowolnym miejscu sieci widział ten VLAN i mógł z niego korzystać. Nie chcę wydzielać tylko jednego portu routera ale jeżeli to dużo prostsze to też zaakceptuję takie rozwiązanie.

Proszę o precyzyjne informacje co w jakiej sekcji dodać i na którym urządzeniu. Próbowałem sam ogarnąć VLANy ale poległem.

NA AP-ku WD N750 jest taki konfig:

root@Gargoyle:~# cat /etc/config/network

config interface 'loopback'
        option device 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fdf4:8932:05ac::/48'

config device
        option name 'br-lan'
        option type 'bridge'
        list ports 'eth0.1'

config device
        option name 'eth0.1'
        option macaddr '00:90:a9:0b:a0:26'

config interface 'lan'
        option device 'br-lan'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '192.168.1.5'
        option gateway '192.168.1.1'
        option dns '192.168.1.1'

config device
        option name 'eth0.2'
        option macaddr '00:90:a9:0b:a0:25'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0t 1 2 3 4'
        option vid '1'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '0t 5'
        option vid '2'

root@Gargoyle:~# cat /etc/config/wireless

config wifi-device 'radio0'
        option type 'mac80211'
        option channel '11'
        option hwmode '11g'
        option path 'platform/ahb/18100000.wmac'
        option htmode 'HT20'
        option country 'PL'
        option cell_density '0'

config wifi-iface 'default_radio0'
        option device 'radio0'
        option network 'lan'
        option mode 'ap'
        option encryption 'psk2'
        option key '********'
        option ssid 'domowa'

config wifi-device 'radio1'
        option type 'mac80211'
        option channel '36'
        option hwmode '11a'
        option path 'pci0000:00/0000:00:00.0'
        option htmode 'HT20'
        option country 'PL'
        option cell_density '0'

config wifi-iface 'default_radio1'
        option device 'radio1'
        option network 'lan'
        option mode 'ap'
        option encryption 'psk2'
        option key '*******'
        option ssid 'domowa'

Konfiguracja ROUTERA Linksys EA7500

root@OpenWrt:~# cat /etc/config/network

config interface 'loopback'
        option device 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option packet_steering '1'
        option ula_prefix 'fdc6:5027:e5fd::/48'

config device
        option name 'br-lan'
        option type 'bridge'
        list ports 'lan1'
        list ports 'lan2'
        list ports 'lan3'
        list ports 'lan4'

config device
        option name 'lan1'
        option macaddr 'XX:XX:XX:XX:XX'

config device
        option name 'lan2'
        option macaddr 'XX:XX:XX:XX:XX'

config device
        option name 'lan3'
        option macaddr 'XX:XX:XX:XX:XX'

config device
        option name 'lan4'
        option macaddr 'XX:XX:XX:XX:XX'

config interface 'lan'
        option device 'br-lan'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '60'

config device
        option name 'wan'
        option macaddr 'XX:XX:XX:XX:XX'

config interface 'wan'
        option device 'wan'
        option proto 'pppoe'
        option username 'user'
        option password '*********'
        option ipv6 'auto'

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: VLAN dla sieci gościnnej

Wieczorem Ci rozpiszę całość, jak nikt tego wcześniej nie zrobi.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: VLAN dla sieci gościnnej

Ja zrobiłem na podstawie R6220 + wdr3600.

Na początek - robisz dokładnie to co opisałem tutaj: https://eko.one.pl/?p=openwrt-guestnetwork , czyli w skrócie:

      uci set network.guest=interface
      uci set network.guest.device=br-guest
      uci set network.guest.proto=static
      uci set network.guest.ipaddr=172.16.0.1
      uci set network.guest.netmask=255.240.0.0

      uci add network device
      uci set network.@device[-1].name='br-guest'
      uci set network.@device[-1].type='bridge'
      uci set network.@device[-1].bridge_empty='1'

      uci set dhcp.guest=dhcp
      uci set dhcp.guest.start=100
      uci set dhcp.guest.limit=150
      uci set dhcp.guest.leasetime=2h
      uci set dhcp.guest.interface=guest

      uci set wireless.guest=wifi-iface
      uci set wireless.guest.device=radio0
      uci set wireless.guest.mode=ap
      uci set wireless.guest.network=guest
      uci set wireless.guest.ssid=OpenWrt1
      uci set wireless.guest.encryption=psk2
      uci set wireless.guest.key=1234567890


      uci add firewall zone
      uci set firewall.@zone[-1].name=guest
      uci add_list firewall.@zone[-1].network=guest
      uci set firewall.@zone[-1].input=ACCEPT
      uci set firewall.@zone[-1].output=ACCEPT
      uci set firewall.@zone[-1].forward=ACCEPT

      uci add firewall forwarding
      uci set firewall.@forwarding[-1].src=guest
      uci set firewall.@forwarding[-1].dest=wan

      uci commit

Jak już zrobisz to teraz trzeba wzbogać bridge dla sieci gościnnej o tagowany vlan, niech będzie o numerze 7. Robisz to dodając do br-guest linie lan1.7 itd. Sekcja ma wyglądać tak:

config device
    option name 'br-guest'
    option type 'bridge'
    option bridge_empty '1'
    list ports 'lan1.7'
    list ports 'lan2.7'
    list ports 'lan3.7'
    list ports 'lan4.7'

Rebutujesz i po stronie serwera to wszystko. A AP jest po staremu, on nie ma DSA, więc:
- do sekcji lan w /etc/config/network dodajesz

    option gateway 192.168.1.1
    option dns 192.168.1.1

Do /etc/config/dhcp do sekcji lan dodajesz:

option ignore 1

Oraz dodajesz nową sekcję 

config dhpc guest
    option ignore 1

- do /etc/config/wireless dodajesz 

config wifi-iface
    option device 'radio0'
    option network 'guest'
    option mode 'ap'
    option ssid 'siec-goscinna'
    option encryption 'psk2'
    option key 1234567890

- do network dodajesz

config device
    option name br-guest
    option type bridge
    list ports eth0.7

config interface guest
    option device 'br-guest'
    option proto 'static'
    option ipaddr '172.16.0.2'
    option netmask '255.240.0.0'

config switch_vlan
    option device 'switch0'
    option vlan '7'
    option ports '1t 2t 3t 4t 0t'

Kabel możesz przypiąć do dowolnego port lan. Po jednym kablu będzie szedł normalny lan oraz sieć gościnna na vlan7. Reboot i ma działać, sprawdzałem.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

4 Odpowiedź przez kacperr

  • Zarejestrowany: 2018-08-13
  • Posty: 216

Odp: VLAN dla sieci gościnnej

Działa.
Bardzo dziękuję za pomoc.

Jedna uwaga - sekcja "config wifi-iface" dla AP w /etc/config/wireless musi wyglądać tak

config wifi-iface 'wifinet0' czyli musi mieć jakąś nazwę (tu  'wifinet0') bo bez tego AP wariował. Dało się pingować klientów z sieci domowej ale nie można było wejść na ich strony w lokalnej sieci.
Próba logowania na AP-ka przez WWW kończyła się stroną "Bad gateway" i sporo innych niespodzianek.

Teraz jest już OK i działa wyśmienicie.

5 Odpowiedź przez kacperr

  • Zarejestrowany: 2018-08-13
  • Posty: 216

Odp: VLAN dla sieci gościnnej

Odświeżę temat.
Zauważyłem, że jest już Gargoyle na ten router (EA7500v2).

Czy z Gargoyle dam radę wyklikać konfig jak powyżej?

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: VLAN dla sieci gościnnej

Gargoyle sieć gościnną nie robi jako oddzielnej na ew vlanach tylko na lanie z klientami odseparowanymi od lanu bazując na regułkach ebtables.
Więc jeżeli chcesz na vlanach to nie, nie da sie wyklikać tego.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez kacperr

  • Zarejestrowany: 2018-08-13
  • Posty: 216

Odp: VLAN dla sieci gościnnej

OK, dziękuję za wyjaśnienie.
Na parterze mam AP Netgear WAC540 i on już łączy poszczególne SSID z odpowiednimi VLANami po kablu.

Jeżeli router i AP w nim wbudowany ma pracować w sieci głównej ale muszę dodać VLAN i sieć gościnną na Gargoyle ale po kablu dla tege AP Netgear to dodam taki konfig w Gargoyle WEB albo komendami w konsoli?

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: VLAN dla sieci gościnnej

Tylko w konsoli. W gui tego nie ma. No i licz się z tym że gui może coś nadpisać jak będziesz z gui zapisywał zmiany.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez kacperr

  • Zarejestrowany: 2018-08-13
  • Posty: 216

Odp: VLAN dla sieci gościnnej

Ok, zapomniałem o tym. To muszę zostać z obecnym rozwiązaniem.

10 Odpowiedź przez kacperr

  • Zarejestrowany: 2018-08-13
  • Posty: 216

Odp: VLAN dla sieci gościnnej

Pytanie trochę w temacie więc piszę tu:
Sieć gówna domowa D - router główny RD
Do sieci głównej domowej D podłączę kolejny router RS (salon usługowy) jako klient DHCP.
RS dostanie na swój WAN IP z DHCP routera RD.
RS będzie miał inną pulę adresów (to chyba konieczne by NAT działał) i będzie je przydzielał klientom sieci S.

Pytania:
1. Czy klienci standardowo skonfigurowanego routera RS będą widzieć klientów sieci RD (i ogólnie jej zasoby) czy będą mieć tylko dostęp do internetu?
2. Czy sieć RD jest jakoś zagrożona przez klientów sieci RS?

Pytam bo chcę odejść od VLANów i dać dedykowany router na salon usługowy. Z VLANami sobie nie radzę. W miarę rozwoju Openwrt trzeba je jakoś inaczej ustawiać a to ponad moje siły.

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: VLAN dla sieci gościnnej

1. W sensie czy będziesz mógł się do nich dostać a nie że  "widzieć". Tak
2. Widzą całą sieć, więc o ile nie ograniczysz na firewallu ruchu to każdy klient w RS będzie mógł odwołać się do hosta w RD. Czy to dobrze czy źle to już zależy jak ideologicznie chcesz żeby było.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez kacperr

  • Zarejestrowany: 2018-08-13
  • Posty: 216

Odp: VLAN dla sieci gościnnej

To słabo.
Chcę by klienci sieci S mieli tylko internet i nie mieli dostępu do sieci domowej D.
No i najlepiej jakby to się dało wyklikac na Gargoyle ale jak trzeba to się reguły firrewalll dopisze.

Po prostu chcę nauczyć się jakiejś powtarzalnej prostej konfiguracji takiej sieci bez konieczności robienia Vlan oraz takiej którą będę mógł dostosować do różnych routerów np z oryginalnym softem.

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: VLAN dla sieci gościnnej

Nie słabo przecież tak internet działa - masz dostęp do wszystkiego za wanem o ile jakiś firewall czy vlany cie nie ograniczają.

gargoyle nie ma firewalla na tyle uniwersalnego żebyś mógł to sobie wyklikać. No na pewno nie jesteś w stanie tego zrobić na oryginalnych softach, bo one też nie mają firewalla aż tak rozbudowanego. Co najwyżej mają przekierowanie portów.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

14 Odpowiedź przez kacperr

  • Zarejestrowany: 2018-08-13
  • Posty: 216

Odp: VLAN dla sieci gościnnej

Dzięki za wyjaśnienie.
A czy na czystym Openwrt z Luci ustawię takie reguły firewall przez Luci czy to też grzebanie w plikach.
Robię konfig na tyle rzadko, źe uczenie się tych reguł nie ma sensu.
Jednocześnie chcę mieć aktualne systemy i zabezpieczenia. Np teraz mam Openwrt 21.02 snapshot i już "opkg update" sypie samymi błędami. Nie mogę podnieść wersji bo stracę konfig VLAnów a mam problem z ich odtworzeniem.

Szukam prostej metody na bezpieczne i powtarzalne wydzielenie podsieci dla klientów salonu bym mógł to robić wraz ze zmianą sprzętu.

Masz może jakieś sugestie jak do tego podejść?

15 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: VLAN dla sieci gościnnej

W luci robisz co chcesz. Ale przez luci - masakra.

Dodaj sieć gościnną - poradnik masz na eko.one.pl.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona