Temat: WR740N - konfiguracja 2 bridge na 1 WAN'ie

Witam,

na początku tego roku pisałem podobny post, ale wtedy niestety nic z tego nie wyszło, natomiast ostatnio wróciłem do tematu i moje pytanie wygląda następująco - jak dostać się do konwentera ZTE?

Moja sieć wygląda następująco:

test

A tak wygląda plik network:

config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fdec:c29d:ab07::/48'

config interface 'lan'
    option type 'bridge'
    option ifname 'eth0.1'
    option proto 'static'
    option ipaddr '192.168.1.1'
    option netmask '255.255.255.0'
    option ip6assign '60'

config interface 'wan'
    option ifname 'eth1'
    option proto 'none'
    option auto '1'
    option force_link '1'

#config interface 'wan6'
    #option ifname 'eth1'
    #option proto 'dhcpv6'
    #option auto '0'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option vid '1'
    option ports '0t 1 2 3 4'

config interface 'ZTE_LAN'
    option type 'bridge'
    option proto 'static'
    option ifname 'eth0 eth1'
   
    option ipaddr '192.168.0.2'
    option netmask '255.255.255.0'
    option gateway '192.168.0.1'
    #option broadcast '192.168.0.255'
    #option dns '192.168.0.1'

    option stp '0'
    option igmp_snooping '0'
    option auto '1'
    option force_link '0'

config interface 'INTERSAT_NAT'
    option type 'bridge'
    option proto 'pppoe'
    option ifname 'eth0 eth1'
    option username 'xx'
    option password 'xx'
   
    #option ipv6 'auto'
    option stp '0'
    option igmp_snooping '0'
    option auto '1'
    option force_link '1'

Pomijam sam fakt, że w luci nie mogłem ustawić bridge na protokole poe, poradziłem sobie jak widać configiem. Teoretycznie wszystko powinno działać - internet jest, natomiast mam trudności dostania się do konwentera POE ZTE F601. Dodam, że jeśli wyłączę na chwilę połączenie POE i zrestartuje 2 bridge (ZTE) dostaje następujący komunikat - "Network device is not present".

Niestety, tutaj kończy się moje pomysły, a raczej wątpię, że pomoże tu zmiana ustawień typu:
    option stp '0'
    option igmp_snooping '0'
    option auto '1'
    option force_link '0'

Dodam, że oby dwa bridge, oraz sam port WAN są dodane 'do tej wspólnej strefy firewalla'.

2

Odp: WR740N - konfiguracja 2 bridge na 1 WAN'ie

Tu masz: https://openwrt.org/docs/guide-user/net … hrough.nat

I trochę namieszałeś - zrobiłeś eth0 w bridgu jak ten interfejs w ogóle nie powinien być używany, bo switch jest na nim i używa vlana...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: WR740N - konfiguracja 2 bridge na 1 WAN'ie

Cezary napisał/a:

Tu masz: https://openwrt.org/docs/guide-user/net … hrough.nat

I trochę namieszałeś - zrobiłeś eth0 w bridgu jak ten interfejs w ogóle nie powinien być używany, bo switch jest na nim i używa vlana...


Trochę mnie wcięło, więc:

Poprawiłem te mostki i zrobiłem konfiguracje wedle poradnika, z sekcji 'WAN by PPPoE...'

Wynik jest następujący:

Jeśli ppoe jest wyłączone, mogę dostać się do konwentera
Jeśli włączę ppoe, nie mogę dostać się do konwentera, ale odpowiada mi 192.168.0.2 (adres statyczny, nadany routerowi w sieci konwentera)
Jeśli zrestartuje interfejs, który leci do konwentera, to cały ruch z sieci chce lecieć do 192.168.0.1, ale 192.168.0.2 odpowiada, że host jest nie osiągalny, a sam konwenter (192.168.0.1) nie wchodzi (muszę wyłączyć ppoe)

Aktualny config:
config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fdec:c29d:ab07::/48'

config interface 'lan'
    option type 'bridge'
    option ifname 'eth0.1'
    option proto 'static'
    option ipaddr '192.168.1.1'
    option netmask '255.255.255.0'
    option ip6assign '60'

config interface 'wan'
    option ifname 'eth1'
    option proto 'none'
    option auto '1'
    option force_link '1'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option vid '1'
    option ports '0t 1 2 3 4'

config interface 'INTERSAT_NAT'
    option type 'bridge'
    option proto 'pppoe'
    option ifname 'eth1'
    option username 'login'
    option password 'haslo'
    option stp '0'
    option igmp_snooping '0'
    option force_link '1'
    option ipv6 'auto'

config interface 'kurka'
    option proto 'static'
    option ifname 'eth1'
    option delegate '0'
    option force_link '0'
    option ipaddr '192.168.0.2'
    option netmask '255.255.255.0'
    option gateway '192.168.0.1'
    option broadcast '192.168.0.255'

#tutaj próbowałem coś z trasą, ale niestety niezbyt działa hmm

config route
    option gateway '192.168.1.1'
    option target '192.168.1.1'
    option interface 'lan'

config route
    option target '192.168.0.1'
    option gateway '192.168.0.1'
    option interface 'lan'

4

Odp: WR740N - konfiguracja 2 bridge na 1 WAN'ie

Firewall:
(z tego co widzę, to są tam dopisane 2 poprzednie interfejsy, które usunąłem z samego pliku interfaces, czyli syf niestety pozostał hmm)


config defaults
    option input 'ACCEPT'
    option output 'ACCEPT'
    option drop_invalid '1'
    option syn_flood '1'
    option forward 'REJECT'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan'

config zone
    option name 'wan'
    option output 'ACCEPT'
    option mtu_fix '1'
    option input 'ACCEPT'
    option masq '1'
    option forward 'REJECT'
    option network 'ZTE_LAN INTERSAT_NAT kurka VPN'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'REJECT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config include
    option path '/etc/firewall.user'

config include 'miniupnpd'
    option type 'script'
    option path '/usr/share/miniupnpd/firewall.include'
    option family 'any'
    option reload '1'

5

Odp: WR740N - konfiguracja 2 bridge na 1 WAN'ie

Zrób dokładnie tak jak jest w linku. teraz masz kilka  interfejsów ZTE_LAN, wan, INTERSAT_NAT kurka które są całkowicie zbędne. Masz mieć tylko dwa - wan z pppoe i ten do modemu.

Sposób zawarty w poradniku działa, więc nie mieszaj po swojemu tylko zrób dokładnie to co jest tam napisane, łącznie z nazwami.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

6

Odp: WR740N - konfiguracja 2 bridge na 1 WAN'ie

dziwne, że nie chciało działać w bridge - wcześniej miałem WAN unmanagment i do tego robiłem kolejne interfejsy - w każdym razie mam wana (ustawionego z unmanagment na ppoe), 2 interfejs do zte oraz vpna.

aby nie tworzyć nowego wątku, zadam to pytanie tutaj - jak działa tworzenie trasy?
jeśli wybiorę np interfejs vpn i ustawie tam, że jeśli zapytanie będzie lecieć na sieć 188.88.88.0/24, to openwrt ma to pokierować do danej bramy np. 172.xx.xxx.xx (której szuka na danym interfejsie?)

i ostatnie pytanie - zrobiłem serwer vpn pptp / l2tp na mikrotiku, ale prędkość oscylowała w okolicach 1MB/s (kiedy mikrotik był na VM'ce) a fizycznie ok. 25Mb/s - wiesz może gdzie szukać przyczyny?

Pozdrawiam!

7

Odp: WR740N - konfiguracja 2 bridge na 1 WAN'ie

Słaba wydajność obliczeniowa maszyny witualnej.

Co do tras - tak, w dużym skrócie tak to działa. Kernel wie gdzie są interfejsy, jaką mają adresację itd.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

8

Odp: WR740N - konfiguracja 2 bridge na 1 WAN'ie

Okej, a jeśli mam bez ustawionego routingu i odziwo pakiety się nie gubią to mogę tak zostawić, czy jednak lepiej wklepać?
Aktualnie mam odznaczone przy vpnie korzystanie z bramy domyślnej, żebym miał ten swój 'niepubliczny adres' od dostawcy za natem, a przez vpna lecą do mnie wszystkie zapytania, które przekierowuje portami lokalnie. Jeśli chodzi o vlany, to da się np. ustawić, aby podpinając się pod dany port w routerze, dostawało się tylko ten adres z vpna? (może inaczej, żeby ten vpn był tylko załączony dla danego portu, i w zasadzie cały ruch może być wydzielony, właśnie na dany port)

Okej, sprawdzę tą wydajność VM'ki - czyli jeśli rozchodzi się tu o wydajność, więcej na tym mikrotiku (750 GL) nie da rady wycisnąć?

Pozdrawiam!

9

Odp: WR740N - konfiguracja 2 bridge na 1 WAN'ie

Tak, port możesz wydobyć ze switcha i spiąć go w bridge z tun0 z vpna.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

10

Odp: WR740N - konfiguracja 2 bridge na 1 WAN'ie

Okej, będę kombinował - odnośnie tego mikrotika na vmce dałem mu 4 rdzenie, noo w sumie wedle wytycznych tego gościa - https://forum.mikrotik.com/viewtopic.php?t=150063 - i to dalej nie jest to, kurde, będę musiał kombinować, dzięki big_smile