• Zarejestrowany: 2021-11-19
  • Posty: 1,013

Temat: VLAN-y, po raz kolejny....

Hej.

W VLANy się nie bawiłem do tej pory.
Mam na probę na r6220 ustawione 4 VLANy (Camera, Guest, IoT, LAN) odseparowałem wszytkie od LAN (nie mają dostępu), ale chcę mieć dostęp z LAN - więc zaznaczyłem w GUI Luci, że mój LAN ma dostęp do np IoT i Camera.
Camera ma dostęp do WAN (zrobiłem regułę w Firewall jak dla sieci gościnnej - czyli DHCP i DNS).
Teraz co mnie zastanawia. moja sieć dla Camery ma Vlan 90, oraz IP z zakresu x.x.90.1 ( na tym adresie mam ustawiony AP z openwrt), ale jak wpisuję w przeglądarkę to dostaje GUI z r6220, dopiero jak przepnę się kablem, to mam GUI od AP dla Cam.
Poza portem 1 pozostałe są nietagowane ( pierwszy tagowany, bo ma podawać do kolejnego AP wszystkie sieci)...
Port 1 - do Dumb AP - tagowany
Port 2 - pod switch (niezarządzalny) -nietagowany
Port 3 - AP z Wifi Camery -nietagowany
Port 4 - zapasowy - nietagowany

Firewall:

root@OpenWrt:~# cat /etc/config/firewall

config defaults
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option synflood_protect '1'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        list network 'lan'
        option masq '1'

config zone
        option name 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'wan'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config zone
        option name 'Guest'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        list network 'Guest'

config forwarding
        option src 'Guest'
        option dest 'wan'

config zone
        option name 'IoT'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        list network 'IoT'

config forwarding
        option src 'IoT'
        option dest 'wan'

config rule
        option name 'Guest DHCP and DNS'
        option src 'Guest'
        option dest_port '53 67 68'
        option target 'ACCEPT'

config zone
        option name 'Camera'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        list network 'Camera'

config forwarding
        option src 'Camera'
        option dest 'wan'

config forwarding
        option src 'lan'
        option dest 'Camera'

config forwarding
        option src 'lan'
        option dest 'IoT'

config rule
        option name 'Camera DHCP and DNS'
        option src 'Camera'
        option dest_port '53 67 68'
        option target 'ACCEPT'

Network:

root@OpenWrt:~# cat /etc/config/network

config interface 'loopback'
        option device 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd9a:d745:8ead::/48'
        option packet_steering '1'

config device
        option name 'br-lan'
        option type 'bridge'
        list ports 'lan1'
        list ports 'lan2'
        list ports 'lan3'
        list ports 'lan4'

config interface 'lan'
        option device 'br-lan.99'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '60'

config interface 'wan'
        option device 'wan'
        option proto 'dhcp'

config bridge-vlan
        option device 'br-lan'
        option vlan '3'
        list ports 'lan1:t'

config bridge-vlan
        option device 'br-lan'
        option vlan '4'
        list ports 'lan1:t'
        list ports 'lan2'

config bridge-vlan
        option device 'br-lan'
        option vlan '90'
        list ports 'lan3'

config bridge-vlan
        option device 'br-lan'
        option vlan '99'
        list ports 'lan1:t'
        list ports 'lan4:u*'

config interface 'IoT'
        option proto 'static'
        option device 'br-lan.3'
        option ipaddr '192.168.3.1'
        option netmask '255.255.255.0'

config interface 'Guest'
        option proto 'static'
        option device 'br-lan.4'
        option ipaddr '192.168.4.1'
        option netmask '255.255.255.0'

config interface 'Camera'
        option proto 'static'
        option device 'br-lan.90'
        option ipaddr '192.168.90.1'
        option netmask '255.255.255.0'

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,068

Odp: VLAN-y, po raz kolejny....

lexmark3200 napisał/a:

ale jak wpisuję w przeglądarkę to dostaje GUI z r6220, dopiero jak przepnę się kablem, to mam GUI od AP dla Cam.

Tzn gdzie się wpinasz, w router? Nie możesz bo tam kabel od kamery jest. Więc gdzie i jak i co wpisujesz i w którym momencie?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez lexmark3200 (edytowany przez lexmark3200 2024-09-07 10:15:00)

  • Zarejestrowany: 2021-11-19
  • Posty: 1,013

Odp: VLAN-y, po raz kolejny....

Mam wpięty już kabel co leci do AP od kamery w router - port 3, a ja wpinam się w port 4 routera. I teraz wpisuje adres 192.168.1.1 mam GUI Netgear r6220 ( tak być powinno), ale wpisuje teraz w kolejnej zakładce 192.168.99.2 ( bo taki adres ustawiłem na AP kamery) i też otwiera mi GUI r6220.
Chciałem mieć dostęp z poziomu LAN do AP. Dlatego w regułach firewall dałem że LAN ma dostęp do iot i camera.
Chyba, że źle to rozumuje ????

Żeby mieć GUI tego AP od Kamery, muszę odpiąć od routera jej kabel i wpiąć w laptopa, wtedy na sztywno adres IP w laptopie i mam GUI.

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,068

Odp: VLAN-y, po raz kolejny....

Żaden z adresów nie masz 192.168.99.x, więc idzie wanem. Chyba że się pomyliłeś i chciałeś napisać 192.168.90.2, wtedy jest problem bo luci też nie słucha na takim adresie, więc gdzieś masz jakieś przekierowanie?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez lexmark3200

  • Zarejestrowany: 2021-11-19
  • Posty: 1,013

Odp: VLAN-y, po raz kolejny....

Hej. Tak błąd, miał być 192.168.90.2

6 Odpowiedź przez lexmark3200

  • Zarejestrowany: 2021-11-19
  • Posty: 1,013

Odp: VLAN-y, po raz kolejny....

Coś na docelowym routerze, źle ustawiam, bo za nic nie chce mi odpalić na AP wifi - widzi sieć ale nie może pobrać IP..... ;-(


Oto konfig z docelowego Routera:

Network

root@Router:~# cat /etc/config/network

config interface 'loopback'
        option device 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd82:46de:2f54::/48'
        option packet_steering '1'

config device
        option name 'br-lan'
        option type 'bridge'
        list ports 'lan1'
        list ports 'lan2'
        list ports 'lan3'
        list ports 'lan4'

config interface 'lan'
        option device 'br-lan.99'
        option proto 'static'
        option ipaddr '192.168.99.1'
        option netmask '255.255.255.0'
        list dns '192.168.99.99'

config interface 'wan'
        option device 'wan'
        option proto 'dhcp'
        option hostname '*'
        option peerdns '0'
        list dns '8.8.8.8'
        list dns '8.8.4.4'

config bridge-vlan
        option device 'br-lan'
        option vlan '30'
        list ports 'lan2:t'

config bridge-vlan
        option device 'br-lan'
        option vlan '40'
        list ports 'lan2:t'

config bridge-vlan
        option device 'br-lan'
        option vlan '90'
        list ports 'lan2:t'
        list ports 'lan3'

config bridge-vlan
        option device 'br-lan'
        option vlan '99'
        list ports 'lan1'
        list ports 'lan2:t'
        list ports 'lan4'

config interface 'IoT'
        option proto 'static'
        option device 'br-lan.30'
        option ipaddr '192.168.30.2'
        option netmask '255.255.255.0'

config interface 'Guest'
        option proto 'static'
        option device 'br-lan.40'
        option ipaddr '192.168.40.2'
        option netmask '255.255.255.0'

config interface 'Camera'
        option proto 'static'
        option device 'br-lan.90'
        option ipaddr '192.168.90.1'
        option netmask '255.255.255.0'
        option gateway '192.168.99.1'

Firewall:

root@Router:~# cat /etc/config/firewall

config defaults
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option synflood_protect '1'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option masq '1'
        list network 'lan'

config zone
        option name 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'wan'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config zone
        option name 'Camera'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        list network 'Camera'

config forwarding
        option src 'Camera'
        option dest 'wan'

config zone
        option name 'Guest'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        list network 'Guest'

config forwarding
        option src 'Guest'
        option dest 'wan'

config zone
        option name 'IoT'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        list network 'IoT'

config forwarding
        option src 'IoT'
        option dest 'wan'

config rule
        option name 'Guest DHCP DNS'
        option src 'Guest'
        option dest_port '53 67 68'
        option target 'ACCEPT'

config rule
        option name 'IoT DHCP DNS'
        option src 'IoT'
        option dest_port '53 67 68'
        option target 'ACCEPT'

Tutaj Dumb AP:

root@AP_Comfast:~# cat /etc/config/network

config interface 'loopback'
        option device 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fdf9:b09a:a9ba::/48'

config device
        option name 'br-lan'
        option type 'bridge'
        list ports 'eth0'

config interface 'lan'
        option device 'br-lan.90'
        option proto 'static'
        option ipaddr '192.168.90.2'
        option netmask '255.255.255.0'
        option gateway '192.168.99.1'

config bridge-vlan
        option device 'br-lan'
        option vlan '90'
        list ports 'eth0'

Firewall na AP:

root@AP_Comfast:~# cat /etc/config/firewall

config defaults
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option synflood_protect '1'

config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

root@AP_Comfast:~#

7 Odpowiedź przez lexmark3200

  • Zarejestrowany: 2021-11-19
  • Posty: 1,013

Odp: VLAN-y, po raz kolejny....

Dobra, ogarnąłem.

Usunąłem domyślną regułę firewall z AP. Dałem dodatkowo jak dla gościnnej sieci regułę w firewall dla DNS i DHCP. Nie wiem czy tj prawidłowe, czy nie. Ale w końcu zaczęło działać.