Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → TL-WR1043ND - dwie sieci WiFi
Strony Poprzednia 1 2
Zaloguj się lub zarejestruj by napisać odpowiedź
Nie jest wporządku. Jak wywaliłeś
#config forwarding
# option src lan
# option dest wan
to nie ma prawa działać dostęp do internetu z lanu. Weź to wyczyść wszystko w pień, zrób firstboota. zrób podział lan/wlan wg opisu i musi działać tak jak chcesz.
Hmmmm, zrobiłem tak
1. Firstboot (zalogowałem się przez telnet, mount_root, firsboot)
2. Zgodnie z http://eko.one.pl/?p=openwrt-konfiguracjasieci ustawiłem #/etc/config/network
root@Gargoyle:~$ vi /etc/config/network
config 'interface' 'loopback'
option 'ifname' 'lo'
option 'proto' 'static'
option 'ipaddr' '127.0.0.1'
option 'netmask' '255.0.0.0'
config 'interface' 'lan'
option 'ifname' 'eth0.1'
option 'type' 'bridge'
option 'proto' 'static'
option 'ipaddr' '192.168.0.1'
option 'netmask' '255.255.255.0'
config 'interface' 'wan'
option 'ifname' 'eth0.2'
option 'proto' 'dhcp'
config 'interface' 'wlan'
option 'ifname' 'wlan1'
option 'type' 'bridge'
option 'proto' 'static'
option 'ipaddr' '192.168.2.1'
option 'netmask' '255.255.255.0'
config 'switch'
option 'name' 'rtl8366rb'
option 'reset' '1'
option 'enable_vlan' '1'
config 'switch_vlan'
option 'device' 'rtl8366rb'
option 'vlan' '1'
option 'ports' '1 2 3 4 5t'
config 'switch_vlan'
option 'device' 'rtl8366rb'
option 'vlan' '2'
option 'ports' '0 5t'2. Zgodnie z http://eko.one.pl/?p=openwrt-ath9k ustawiłem #/etc/config/wireless
root@Gargoyle:~$ vi /etc/config/wireless
config wifi-device radio0
option type mac80211
option channel 8
option macaddr 54:e6:fc:fb:9a:0c
option hwmode 11ng
option htmode HT20
list ht_capab SHORT-GI-40
list ht_capab DSSS_CCK-40
# REMOVE THIS LINE TO ENABLE WIFI:
option disabled 0
config wifi-iface
option device radio0
option network lan
option mode ap
option ssid Ukryta
option encryption psk2
option key 1234567890
config wifi-iface
option device radio0
option network wlan
option mode ap
option ssid widoczna
option encryption psk2
option key 0987654321Ponadto ustawiłem firewall
root@Gargoyle:~$ cat /etc/config/firewall
config defaults
option syn_flood 1
option input ACCEPT
option output ACCEPT
option forward REJECT
# Uncomment this line to disable ipv6 rules
# option disable_ipv6 1
config zone
option name lan
option input ACCEPT
option output ACCEPT
option forward REJECT
config zone
option name wan
option input REJECT
option output ACCEPT
option forward REJECT
option masq 1
option mtu_fix 1
config zone
option name wlan
option network wlan
option input ACCEPT
option output ACCEPT
option forward REJECT
config forwarding
option src wlan
option dest wan
config forwarding
option src lan
option dest wan
# We need to accept udp packets on port 68,
# see https://dev.openwrt.org/ticket/4108
config rule
option src wan
option proto udp
option dest_port 68
option target ACCEPT
option family ipv4
#Allow ping
config rule
option src wan
option proto icmp
option icmp_type echo-request
option target ACCEPT
# include a file with users custom iptables rules
config include
option path /etc/firewall.user
### EXAMPLE CONFIG SECTIONS
# do not allow a specific ip to access wan
#config rule
# option src lan
# option src_ip 192.168.45.2
# option dest wan
# option proto tcp
# option target REJECT
# block a specific mac on wan
#config rule
# option dest wan
# option src_mac 00:11:22:33:44:66
# option target REJECT
# block incoming ICMP traffic on a zone
#config rule
# option src lan
# option proto ICMP
# option target DROP
# port redirect port coming in on wan to lan
#config redirect
# option src wan
# option src_dport 80
# option dest lan
# option dest_ip 192.168.16.235
# option dest_port 80
# option proto tcp
### FULL CONFIG SECTIONS
#config rule
# option src lan
# option src_ip 192.168.45.2
# option src_mac 00:11:22:33:44:55
# option src_port 80
# option dest wan
# option dest_ip 194.25.2.129
# option dest_port 120
# option proto tcp
# option target REJECT
#config redirect
# option src lan
# option src_ip 192.168.45.2
# option src_mac 00:11:22:33:44:55
# option src_port 1024
# option src_dport 80
# option dest_ip 194.25.2.129
# option dest_port 120
# option proto tcp
config include
option path /usr/lib/gargoyle_firewall_util/gargoyle_additions.firewall3. Dhcp wzorcowo zgodnie z przykładem
config dhcp lan
option interface lan
option start 100
option limit 150
option leasetime 12h
config dhcp wlan
option interface wlan
option start 100
option limit 50
option leasetime 12h4. Podłączam się do sieci wifi (jednej czy drugiej) i ciągle to samo, wszystko chodzi pięknie poza adresami bramek, które mogę spingować, mogę wejść na ftp na oba adresy i zapuścić SSH.
Pomijam fakt, że sieci wifi nie mają wszystkich żądanych atrybutów i że teraz druga sieć to 192.168.2.0.
Jedyne pliki które po firsboocie zmieniłem to:
/etc/config/network
/etc/config/wireless
/etc/config/dhcp
/etc/config/firewall
Jeśli u Ciebie chodzi dobrze, jutro wgram od nowa ROM (nawet go ściągnę ze strony, żeby nie było) 
Tzn podłączając się do widocznej sieci do czego możesz się dostać a nie powinieneś?
Podłączając się do widocznej sieci "widzę" internet, bramkę pod adresem 192.168.2.1 oraz to czego nie powinien tj adres bramki sieci ukrytej 192.168.0.1. Włączona izolacja (w konfiguracji tego nie ma, ale testowałem wcześniej) działa poprawnie, tj nie widzę w widocznej sieci innych komputerów.
Czyli widzę internet i dwie braki, swoją i sieci ukrytej. A nie chcę widzieć tej z sieci ukrytej.
To samo z punktu widzenia sieci ukrytej, widzę z niej bramkę sieci widocznej.
Na podstawie tego co mi podesłałeś i tego co wyczytałem być może przyczyna leży w pliku /etc/config/network i sekcjach "switch" (choć wg mojej wiedzy switch chodzi na poziomie 2 modelu ISO, więc IP olewa bo to na poziomie 3-cim, po samych MAC'ach patrzy, ale to tylko dywagacje). Muszę wczytać się w temat, ale na dzień dzisiejszy innego pomysłu nie mam.
Jedyne z czym nie mogę się uporać, to widoczność drugiej bramki sieci ukrytej (na której będą uruchomione usługi samba/ftp, printeswer i wszystko będzie na full dostęp). Skoro ktoś widzi adres tamtej braki (czyli de faco urządzenia 1043ND ze wszystkimi usługami) to i widzi udostępnione zasoby. Najgorsze w tym wszystkim jest to, że nie mogę po prostu wyciąć w firewall'u dostęp do drugiej bramki, a z właściwej usunąć dostęp do konfiguracji (SSH/TELNET/WWW).
Także tutaj coś jest nie tak z firewallem. Jeszcze raz spróbuję dodać regułę wycinającą dostęp do 192.168.0.1 z punktu widzenia sieci 192.168.2.0, ale to już jutro....
Dobra, zrobiłem 
Co prawda w ostatnim pokazanym przez mnie pliku #/etc/config/wireless w sekcji wlan1 i wlan0 było na odwrót przypisana sieć lan i wlan, ale nie wpłynęło to znacząco ma mój problem.
Po firsboocie dodałem jeszcze raz reguły i o dziwo zadziało. Cały plik firewall poniżej. Nie wiem czemu adres 192.168.0.1 oraz 192.168.2.1 były (i w zasadzie są) ze sobą powiązane, ale udało wyciąć mi się to za pomocą firewalla. Nie mniej sprawa jest bardzo dziwna.
config defaults
option syn_flood 1
option input ACCEPT
option output ACCEPT
option forward REJECT
# Uncomment this line to disable ipv6 rules
# option disable_ipv6 1
config zone
option name lan
option input ACCEPT
option output ACCEPT
option forward REJECT
config zone
option name wan
option input REJECT
option output ACCEPT
option forward REJECT
option masq 1
option mtu_fix 1
config zone
option name wlan
option network wlan
option input ACCEPT
option output ACCEPT
option forward REJECT
config forwarding
option src wlan
option dest wan
config forwarding
option src lan
option dest wan
# We need to accept udp packets on port 68,
# see https://dev.openwrt.org/ticket/4108
config rule
option src wan
option proto udp
option dest_port 68
option target ACCEPT
option family ipv4
config rule
option src wlan
option dest_ip 192.168.0.1
option proto all
option target DROP
config rule
option src wlan
option dest lan
option proto all
option target DROP
config rule
option src wlan
option dest_ip 192.168.2.1
option dest_port 20-23
option terget DROP
config rule
option src wlan
option dest_ip 192.168.2.1
option dest_port 80
option target DROP
config rule
option src wlan
option dest_ip 192.168.2.1
option dest_port 137-139
option proto tcpudp
option target DROP
config rule
option src wlan
option dest_ip 192.168.2.1
option dest_port 80
option proto tcp
option target DROP
config rule
option src wlan
option dest_ip 192.168.2.1
option dest_port 445
option proto tcp
option target DROP
config rule
option src wlan
option dest_ip 192.168.2.1
option dest_port 443
option proto tcp
option target DROP
config rule
option src wlan
option dest_ip 192.168.2.1
option dest_port 67
option proto tcp
option target DROP
config rule
option src wlan
option dest_ip 192.168.2.1
option dest_port 111
option proto tcp
option target DROP
#Allow ping
config rule
option src wan
option proto icmp
option icmp_type echo-request
option target ACCEPT
# include a file with users custom iptables rules
config include
option path /etc/firewall.user
### EXAMPLE CONFIG SECTIONS
# do not allow a specific ip to access wan
#config rule
# option src lan
# option src_ip 192.168.45.2
# option dest wan
# option proto tcp
# option target REJECT
# block a specific mac on wan
#config rule
# option dest wan
# option src_mac 00:11:22:33:44:66
# option target REJECT
# block incoming ICMP traffic on a zone
#config rule
# option src lan
# option proto ICMP
# option target DROP
# port redirect port coming in on wan to lan
#config redirect
# option src wan
# option src_dport 80
# option dest lan
# option dest_ip 192.168.16.235
# option dest_port 80
# option proto tcp
### FULL CONFIG SECTIONS
#config rule
# option src lan
# option src_ip 192.168.45.2
# option src_mac 00:11:22:33:44:55
# option src_port 80
# option dest wan
# option dest_ip 194.25.2.129
# option dest_port 120
# option proto tcp
# option target REJECT
#config redirect
# option src lan
# option src_ip 192.168.45.2
# option src_mac 00:11:22:33:44:55
# option src_port 1024
# option src_dport 80
# option dest_ip 194.25.2.129
# option dest_port 120
# option proto tcp
config include
option path /usr/lib/gargoyle_firewall_util/gargoyle_additions.firewallWielkie dzięki za udzieloną mi pomoc.
Pozdrawiam, Krzysiek
Witam,
W trakcie użytkowania wyszła pewna niedogodność, ale najpierw konfiguracja
root@root:~$ kto_wifi
Station 00:14:a4:6d:29:79 (on wlan1)
inactive time: 70 ms
rx bytes: 90271
rx packets: 1314
tx bytes: 86759
tx packets: 318
signal: -45 dBm
tx bitrate: 54.0 MBit/s
root@root:~$ cat /etc/config/wireless
config 'wifi-device' 'radio0'
option 'type' 'mac80211'
option 'channel' '8'
option 'macaddr' '54:e6:fc:fb:9a:0c'
option 'hwmode' '11ng'
option 'htmode' 'HT20'
list 'ht_capab' 'SHORT-GI-40'
list 'ht_capab' 'DSSS_CCK-40'
config 'wifi-iface' 'wlan1'
option 'device' 'radio0'
option 'mode' 'ap'
option 'network' 'wlan'
option 'ssid' 'Widoczna'
option 'macfilter' 'deny'
option 'maclist' '00:11:0A:81:21:FF 00:1A:6B:96:F3:F8 00:14:A5:65:55:7E 00:14:A4:6D:29:79'
option 'isolate' '1'
option 'encryption' 'psk2'
option 'key' 'haslo'
config 'wifi-iface' 'wlan0'
option 'device' 'radio0'
option 'mode' 'ap'
option 'network' 'lan'
option 'ssid' 'UKRYTA'
option 'hidden' '1'
option 'encryption' 'psk2'
option 'key' '1234567890'
option 'macfilter' 'allow'
option 'maclist' '00:11:0A:81:21:FF 00:1A:6B:96:F3:F8 00:14:A5:65:55:7E 00:14:A4:6D:29:79'
root@root:~$Są dwie sieci wi-fi, ale na powyższym widać, że mimo zablokowania dostępu do WLAN1, a odblokowania WLAN0 do adresu mac `00:14:a4:6d:29:79` łączy do WLAN1.
Pytanie, co zrobić (oczywiście od strony routera), aby wskazane MACki włączyły się do WLAN0, a nie do WLAN1
Zależy czego użyłeś do tego macfilter. Bo to co jest standardowo w backfire jest "per device" , a na liście dev.openwrt.org znajdziesz też per interfejs, czyli to co chcesz.
Dzięki za odpowiedź, ale nie czaje za bardzo 
Mam wrzucony firmware "openwrt-ar71xx-tl-wr1043nd-v1-squashfs-factory.bin", ale czy ta informacja coś da?
PS. Interesuje mnie jeszcze parametr "txpower" (może jeszcze jeszcze rxpower, ale na liście nie ma). Chcę dostosować moc sygnału do otoczenia (zwiększyć/zmniejszyć), ale boję się spalić urządzenie. Wartość podaje się w dBm, ale w jakich granicach mogę operować - nie wiem.
Do 20. Więcej radio nie potrafi chyba.
Chodzi o to że jak używasz standardowego backfire (ode czy openwrt.org) to macfilter działa ta dla całego układu radiowego, nie indywidualnie dla wirtualnego ap jak ustawiłeś. Musisz skrypty zmienić, a odpowiednie łatki znajdziesz na dev.openwrt.org
hmmm, wszedłem na podaną przez Ciebie stronę, dałem search, wpisałem `maclist mac80211` i z tego co wyczytałem muszę przekompilować źródło.
Problem jest taki, że nie mam linuxa, nie znam go za bardzo, tym bardziej nie umiej patchować ani kompilować. Czy gdzieś w sieci istnieje gotowy moduł (??) odpowiednio przekompilowan?
Nic nie musisz kompilować. To tylko modyfikacja skryptu.
Dzięki, znalazłem
Jakby kogoś interesowało to rozwiązanie jest pod adresem:
http://rpc.one.pl/index.php/lista-artyk … -z-openwrt
Jest jeszcze jedna pierdoła. Zgodnie z
http://eko.one.pl/?p=openwrt-skrypty#li … lientwdoap
mogę zobaczyć kto siedzi na wi-fi. Niestety dla niego wlan1 oraz wlan0 to jest to samo tj:
iw dev wlan0 station dump
iw dev wlan1 station dumpwywala mnie w sieci wlan1, mimo, że podłączony jestem do wlan0 (wlan0 nie daje odpowiedzi, co znaczy, że nikt tam nie siedzi, gdy tymczasem jestem właśnie podłączony do wlan0)....,
Powiem tak ciągle mi coś nie działa.
Chodzi o to aby mieć drugą sieć WiFi bez szyfrowania ale tylko dla wybranych MAC i ciągle coś mi nie chodzi jakieś podpowiedzi ?
Moja wersja to : OpenWrt Backfire 10.03.1-RC5
Jak nie masz szyfrowania to nie masz filtracji mac adresów bo hostapd to robi.
Przez iptables sobie ruch po mac'ach ogranicz.
Strony Poprzednia 1 2
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → TL-WR1043ND - dwie sieci WiFi
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc