• Zarejestrowany: 2017-08-22
  • Posty: 64

Temat: Problemy z mostkowanym VLANem

Witam wszystkich forumowiczów!
Posiadam osiedlowy internet i telewizję od tego samego ISP. Konfiguracja wygląda w ten sposób:

root@OpenWrt:~# cat /etc/config/network

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'

config interface 'lan'
        option type 'bridge'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option delegate '0'
        option ifname 'eth0.1'

config interface 'wan'
        option proto 'static'
        option delegate '0'
        option ifname 'eth0.60'
        option force_link '0'
        option ipaddr '172.16.x.x'
        option netmask '255.255.255.x'
        option gateway '172.16.x.x'
        option broadcast '172.16.x.x'
        option dns '1.1.1.1'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '4'
        option vid '1'
        option ports '0t 1 2 3'

config switch_vlan
        option device 'switch0'
        option vlan '5'
        option vid '21'
        option ports '0t 4t'

config switch_vlan
        option device 'switch0'
        option vlan '6'
        option ports '0t 4t'
        option vid '60'

config interface 'IPTV'
        option type 'bridge'
        option proto 'none'
        option delegate '0'
        option ifname 'eth0.21 eth1'
root@OpenWrt:~# swconfig dev switch0 show
Global attributes:
        enable_vlan: 1
        mirror_monitor_port: 15
Port 0:
        enable_mirror_rx: 0
        enable_mirror_tx: 0
        pvid: 0
        link: port:0 link:up speed:1000baseT full-duplex txflow rxflow
Port 1:
        enable_mirror_rx: 0
        enable_mirror_tx: 0
        pvid: 4
        link: port:1 link:down
Port 2:
        enable_mirror_rx: 0
        enable_mirror_tx: 0
        pvid: 4
        link: port:2 link:down
Port 3:
        enable_mirror_rx: 0
        enable_mirror_tx: 0
        pvid: 4
        link: port:3 link:down
Port 4:
        enable_mirror_rx: 0
        enable_mirror_tx: 0
        pvid: 0
        link: port:4 link:up speed:100baseT full-duplex auto
VLAN 0:
        vid: 0
        ports: 0t 4t
VLAN 4:
        vid: 1
        ports: 0t 1 2 3
VLAN 5:
        vid: 21
        ports: 0t 4t
VLAN 6:
        vid: 60
        ports: 0t 4t
root@OpenWrt:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.16.x.x     0.0.0.0         UG    0      0        0 eth0.60
172.16.x.x     0.0.0.0         255.255.255.x U     0      0        0 eth0.60
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan

Z internetem problemów nie ma. Z dekoderem natomiast są. Jeżeli podłączę go nie do niebieskiego wanu, a do jednego z lanów i przełączę go z VLAN 1 untag na VLAN 21 untag i port 0 (CPU) ustawię na off albo wyłączę interfejs IPTV, to zaczyna działać. Aby wyeliminować możliwość uszkodzenia interfejsu eth1 próbowałem dla testu utworzyć oddzielny VLAN 22, podpiąć do niego port untag, do którego podpięty jest dekoder i połączyć mostkiem eth0.21 i eth0.22, co nie przynosi rezultatu, występują te same problemy. Czy ktoś byłby w stanie mi podpowiedzieć jak poprawnie nastawić te vlany i mostki?

Dziękuję i życzę wszystkim wesołych Świąt!

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,109

Odp: Problemy z mostkowanym VLANem

1. Jaki to router?
2. Nie napisałeś jak to działa. Na tym samym kablu masz internet na vlan60 i tv na vlanie 21?
3. Chcesz używać routera z natem jak rozumiem?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez MrCiek4wski (edytowany przez MrCiek4wski 2019-04-20 10:08:06)

  • Zarejestrowany: 2017-08-22
  • Posty: 64

Odp: Problemy z mostkowanym VLANem

Ach, rzeczywiście, zapomniałem podać część podstawowych informacji... Przepraszam, była późna godzina :$

W każdym razie, myślę, że całe połączenie najłatwiej przedstawić w sposób graficzny:
https://www.dropbox.com/s/autrk8ajsusp1g2/netconfig.png?dl=1

Config firewalla:

root@OpenWrt:~# cat /etc/config/firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option drop_invalid '1'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option network 'lan'
        option forward 'DROP'

config zone
        option name 'wan'
        option output 'ACCEPT'
        option masq '1'
        option mtu_fix '1'
        option family 'ipv4'
        option network 'wan wan6'
        option input 'DROP'
        option forward 'DROP'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'
        option enabled '0'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'
        option enabled '0'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'
        option enabled '0'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fc00::/6'
        option dest_ip 'fc00::/6'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'
        option enabled '0'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'
        option enabled '0'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'
        option enabled '0'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'
        option enabled '0'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'
        option enabled '0'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'
        option enabled '0'

config include
        option path '/etc/firewall.user'

config forwarding
        option dest 'wan'
        option src 'lan'

Powyłączałem wszystkie domyślne zasady, gdyż chciałbym, by router od strony ISP był jak najmniej widoczny. Przez cały dzień dostawałem SYN do wszystkich możliwych portów i próbę podłączenia do SSH za sprawą odpowiedzi na ping do jakiegoś chińskiego IP. Dodam, że jestem za NATem ISP i IP mam przydzielone wewnętrzne, więc jakiś router musiał już być skompromitowany(?).

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,109

Odp: Problemy z mostkowanym VLANem

To zrób tak jak pisałeś w pierszym poście - dekoder podłącz do jednego  lanów a wan/eth1 włącz do bridge lanowego.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez MrCiek4wski

  • Zarejestrowany: 2017-08-22
  • Posty: 64

Odp: Problemy z mostkowanym VLANem

Dzięki za radę, na pewno tak zrobię, jeżeli nie będzie można poprawnie nastawić przedstawionej konfiguracji na rysunku. Moim pytaniem jest: dlaczego ta konfiguracja nie działa? Wydaje mi się, że w teorii nie ma żadnego błędu, a jednak nadal są problemy. Czy ktoś jest wstanie powiedzieć co jest ich przyczyną?

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,109

Odp: Problemy z mostkowanym VLANem

Ja bym strzelał że to znów problem braku czegoś w sterowniku. Jak masz to sprawdź identyczną konfigurację na czymś z gigabitem, np. 1043, wdr3600 czy wdr4300.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona