Temat: VLAN na tym samym porcie co reszta sieci
Cześć,
Mój router to Lenovo Newifi D2 (czy tam D-Team Newifi, czarny z 4 antenami) z OpenWRT 24. Jest to czysta instalacja z obrazu Cezarego, bo i tak aktualizowałem całe oprogramowanie, na routerze jest wyłączone Wifi - od tego mam oddzielne AP.
Chciałem zrobić oddzielny VLAN dla urządzeń IOT (tylko po kablu, nie mam nic z iot łączącego się do wifi).
W sieci mam także switch zarządzalny Netgear GS724T.
VLAN ma działać na tych samych portach co normalna sieć - nie chcę dzielić switcha w routerze.
Skonfigurowałem sieć na podstawie poradnika z tworzeniem sieci gościnnej oraz tematów poruszanych tutaj na forum, ale wynik jest taki, że urządzenie końcowe (jakim jest w tej chwili komputer z debianem) nie łączy się w ogóle do sieci - nie jest w stanie pobrać adresu IP z DHCP, a przy stałym IP nawet nie pinguję routera.
VLAN dla iot to 33, vlan domyślny to 1.
Na swtichu mam ustawione tak:
- Dla VLAN 1 - wszystkie porty są untagged z wyjątkiem tego, który jest wykorzystywany przez urządzenie końcowe (ten jest wykluczony)
- Dla VLAN 33 - tutaj uzywam tylko portu, który przychodzi od routera (jest Tagged) oraz Untagged dla portu z urządzeniem końcowym.
network:
config interface 'loopback'
option device 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config globals 'globals'
option ula_prefix 'fd5d:1d1e:9279::/48'
option packet_steering '1'
config device
option name 'br-lan'
option type 'bridge'
list ports 'lan1'
list ports 'lan2'
list ports 'lan3'
list ports 'lan4'
config interface 'lan'
option device 'br-lan'
option proto 'static'
option ipaddr '10.21.92.1'
option netmask '255.255.255.0'
option ip6assign '60'
config interface 'wan'
option device 'wan'
option proto 'dhcp'
config interface 'wan6'
option device 'wan'
option proto 'dhcpv6'
config interface 'iot'
option device 'br-iot'
option proto 'static'
option ipaddr '10.11.92.1'
option netmask '255.255.255.0'
config device
option name 'br-iot'
option type 'bridge'
list ports 'lan1.33'
list ports 'lan2.33'
list ports 'lan3.33'firewall:
config defaults
option syn_flood '1'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
list network 'lan'
config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
list network 'wan'
list network 'wan6'
config forwarding
option src 'lan'
option dest 'wan'
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-IPSec-ESP'
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'
config rule
option name 'Allow-ISAKMP'
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'
config zone
option name 'iot'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
list network 'iot'
config forwarding
option src 'iot'
option dest 'wan'
config forwarding
option src 'lan'
option dest 'iot'Nie mam pojęcia co jest tutaj nie tak.