1 Temat przez pongpingchan (edytowany przez pongpingchan 2020-07-04 13:35:21)

  • Zarejestrowany: 2015-09-22
  • Posty: 31

Temat: Brak odpowiedzi hostów w różnych podsieciach.

Oto następujący scenariusz:

OpenWrt 19.07
Sprzęt  x86  bez  WiFi
GATEWAY
ethernet
IP: 192.168.11.111/24

^
||
v

OpenWrt 19.07
Kolejny sprzęt..
AP
ethernet
IP 192.168.11.1/24

Drugi wirtualny wireless (guest)
IP 192.168.22.1/24

^
||
v

Klient  WiFi
(smartphone)
Drugi wirtualny wireless (guest)
IP 192.168.22.101/24


====
Pytanie:

W jaki sposób skonfigurować OpenWrt 19.07, aby możliwa była komunikacja pomiędzy hostami w różnych podsieciach:

eth IP: 192.168.11.111/24   <==>  wifi IP 192.168.22.101/24

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,066

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Zezwól na routing pomiędzy sieciami?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez Majaque

  • Zarejestrowany: 2020-04-05
  • Posty: 22

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Zastanawiam się - jaki był cel tworzenia sieci gościnnej, skoro chcesz umożliwić komunikację z klientami wewnątrz?

4 Odpowiedź przez pongpingchan

  • Zarejestrowany: 2015-09-22
  • Posty: 31

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Majaque napisał/a:

Zastanawiam się - jaki był cel tworzenia sieci gościnnej, skoro chcesz umożliwić komunikację z klientami wewnątrz?

Moim celem jest aby klienci AP podsieci "guest" [IP 192.168.22.x/24] mieli dostęp do INTERNET-u przez gateway-a na innym sprzęcie "IP: 192.168.11.111".

W podsieci "lan" [IP 192.168.11.x/24] działa tak jak oczekuję.


Cezary napisał/a:

Zezwól na routing pomiędzy sieciami?

Na AP w sekcji firewall jest:

####    ####
config forwarding
        option src 'guest'
        option dest 'lan'

config forwarding
        option src 'lan'
        option dest 'guest'
####    ####

I klienci podsieci  "guest" [IP 192.168.22.x/24] nie mają dostępu do bramki "IP: 192.168.11.111".

Chciałbym aby "goście" byli odizolowani od reszty sieci, ale jednocześnie mieli dostęp do Internetu.

5 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,066

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Pokaż konfigi jak ty to zrobiłeś. Bo jeżeli zrobiłeś sieć gościnną na AP to albo tak: https://eko.one.pl/?p=openwrt-vlan#siew … ednymkablu albo zezwolenie na routing i włączenie maskarady na lanie w ap.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

6 Odpowiedź przez pongpingchan

  • Zarejestrowany: 2015-09-22
  • Posty: 31

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Sieć "guest" jest na AP (interface "VAP").

Natomiast GATEWAY jest na sprzęcie x86_64 z jednym interfejsem RJ45 bez WiFi.

OpenWrt 19.07

lspci -k

03:00.0 Ethernet controller: Broadcom Inc. and subsidiaries NetLink BCM57781 Gigabit Ethernet PCIe (rev 10)
    Subsystem: Hewlett-Packard Company Device 17e2
    Kernel driver in use: tg3

WAN to modem usb.

Czy w takim scenariuszu możliwa jest "magia" z VLAN typu .. ??

Sieć gościnna (tzn. jej interfejs na VAP) "łączy się" z bramką poprzez VLAN, którego meta jest na sprzęcie x86_64 z jednym interfejsem RJ45.
I będąc na miejscu "rutujemy" z interfejsu VLAN do WAN.

Czy w ogóle "BCM57781" na OpenWrt 19.07 przyjmuję ramki VLAN ?

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,066

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Sieciówki tak, potrafią. Zrób sobie na x86 drugą sieć na np. eth0.4, na ap też to zrób (o ile potrafi - bo nie wszystkie switche tak mogą, jak nie potrafi to robisz oba tagowane).

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez pongpingchan

  • Zarejestrowany: 2015-09-22
  • Posty: 31

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Każdy opis o VLAN na OpenWrt wspomina o switch'u.
Natomiast typowy hardware x86 nie posiada switch'a.

Jak się do tego odnieść ?

x86

FIREWALL

config zone                    
        option name 'lan2'     
        list network 'lan2'    
        option input 'ACCEPT'  
        option output 'ACCEPT' 
        option forward 'ACCEPT'


NETWORK

config interface 'lan2'               
        option ifname 'eth0.44'      
        option type 'bridge'   
        option proto 'static'  
        option ipaddr '192.168.44.1'
        option netmask '255.255.255.0'



AP

FIREWALL

config zone                    
        option name 'lan2'     
        list network 'lan2'    
        option input 'ACCEPT'  
        option output 'ACCEPT' 
        option forward 'ACCEPT'


NETWORK

config interface 'lan2'               
        option ifname 'eth0.44'      
        option type 'bridge'   
        option proto 'static'  
        option ipaddr '192.168.44.2'
        option netmask '255.255.255.0'

Nie odpowiadają wzajemnie na ping.

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,066

Odp: Brak odpowiedzi hostów w różnych podsieciach.

eth0.44 samo utworzy vlan tagowny o numerze 44. I masz to w poradniku który podałem.
Jezeli AP ma switcha (a pewnie ma nawet jak ma jeden port) to na switchu to musisz zrobić a nie po prostu eth0.44.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez pongpingchan

  • Zarejestrowany: 2015-09-22
  • Posty: 31

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Posiadam:

"TP-Link TL-MR3420 v1"

I po edycji pliku NETWORK nie widać zmian tutaj:

# swconfig dev switch0 show


Global attributes:
    enable_vlan: 1
    mirror_monitor_port: 15
Port 0:
    enable_mirror_rx: 0
    enable_mirror_tx: 0
    pvid: 1
    link: port:0 link:up speed:1000baseT full-duplex txflow rxflow 
Port 1:
    enable_mirror_rx: 0
    enable_mirror_tx: 0
    pvid: 1
    link: port:1 link:up speed:100baseT full-duplex auto
Port 2:
    enable_mirror_rx: 0
    enable_mirror_tx: 0
    pvid: 1
    link: port:2 link:down
Port 3:
    enable_mirror_rx: 0
    enable_mirror_tx: 0
    pvid: 1
    link: port:3 link:down
Port 4:
    enable_mirror_rx: 0
    enable_mirror_tx: 0
    pvid: 1
    link: port:4 link:down
VLAN 1:
    vid: 1
    ports: 0 1 2 3 4

Czy ten model jest kompatybilny z "swconfig" ?

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,066

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Zrestartuj router lub sieć. Tak, jest obsługiwany przez swconfig.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez pongpingchan

  • Zarejestrowany: 2015-09-22
  • Posty: 31

Odp: Brak odpowiedzi hostów w różnych podsieciach.

O

"/etc/init.d/network   restart"

to ja wiem bo to oczywista oczywistość.

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,066

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Pokaż więc wyniki poleceń

uci show network
swconfig dev switch0 help

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

14 Odpowiedź przez pongpingchan (edytowany przez pongpingchan 2020-07-08 17:51:21)

  • Zarejestrowany: 2015-09-22
  • Posty: 31

Odp: Brak odpowiedzi hostów w różnych podsieciach.

#uci show network


network.loopback=interface
network.loopback.ifname='lo'
network.loopback.proto='static'
network.loopback.ipaddr='127.0.0.1'
network.loopback.netmask='255.0.0.0'
network.globals=globals
network.globals.ula_prefix='fd52:a644:3153::/48'
network.lan=interface
network.lan.type='bridge'
network.lan.ifname='eth0'
network.lan.proto='static'
network.lan.netmask='255.255.255.0'
network.lan.ipaddr='192.168.11.1'
network.lan.gateway='192.168.11.111'
network.guest=interface
network.guest.ifname='eth0.44'
network.guest.type='bridge'
network.guest.proto='static'
network.guest.ipaddr='192.168.44.2'
network.guest.netmask='255.255.255.0'
network.@switch[0]=switch
network.@switch[0].name='switch0'
network.@switch[0].reset='1'
network.@switch[0].enable_vlan='1'
network.@switch_vlan[0]=switch_vlan
network.@switch_vlan[0].device='switch0'
network.@switch_vlan[0].vlan='44'
network.@switch_vlan[0].ports='1t 0t'

#swconfig dev switch0 help


switch0: eth0(AR7240/AR9330 built-in switch), ports: 5 (cpu @ 0), vlans: 16
     --switch
    Attribute 1 (int): enable_vlan (Enable VLAN mode)
    Attribute 2 (int): mirror_monitor_port (Mirror monitor port)
    Attribute 3 (none): apply (Activate changes in the hardware)
    Attribute 4 (none): reset (Reset the switch)
     --vlan
    Attribute 1 (int): vid (VLAN ID)
    Attribute 2 (ports): ports (VLAN port mapping)
     --port
    Attribute 1 (int): enable_mirror_rx (Enable mirroring of RX packets)
    Attribute 2 (int): enable_mirror_tx (Enable mirroring of TX packets)
    Attribute 3 (int): pvid (Primary VLAN ID)
    Attribute 4 (unknown): link (Get port link information)

Co 30 minut cron cofa modyfikację pliku NETWORK abym mógł dostać się do routera.

15 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,066

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Przecież nie zrobiłeś jeszcze żadnych zmian w switchu....

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

16 Odpowiedź przez pongpingchan

  • Zarejestrowany: 2015-09-22
  • Posty: 31

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Poprawiłem bo co 30 minut cron cofa modyfikację pliku NETWORK abym mógł dostać się do routera.

17 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,066

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Po co? Włącz sobie wifi to przez wifi sie dostaniesz.

Jest obsługiwane tylko 16 vlanów, więc musisz musisz zrobić

network.lan.ifname='eth0.1'

network.@switch_vlan[0]=switch_vlan
network.@switch_vlan[0].device='switch0'
network.@switch_vlan[0].vlan='1'
network.@switch_vlan[0].ports='1 2 3 4 0t'

network.@switch_vlan[1]=switch_vlan
network.@switch_vlan[1].device='switch0'
network.@switch_vlan[1].vlan='2'
network.@switch_vlan[1].vid='44'
network.@switch_vlan[1].ports='1t 0t'

Jeżeli upierasz się 44. Później zrób swconfig dev switch0 show i zobacz. Czy jest. Jeżeli okaże się że na porcie 1 nie ma zwykłego i tagowanego to oba zrób tagowane i później na x86 tak samo.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

18 Odpowiedź przez pongpingchan

  • Zarejestrowany: 2015-09-22
  • Posty: 31

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Cron jest dla bezpieczeństwa gdy uwalę konfigurację podczas testów a wtedy raczej wifi nie pomoże.
A chciałbym uniknąć factory reset-u.

19 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,066

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Failsafe masz w razie czego że się dostać i poprawić.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

20 Odpowiedź przez pongpingchan

  • Zarejestrowany: 2015-09-22
  • Posty: 31

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Ale czy podczas trybu "Failsafe" działa wifi z obecnym  SSID  i  bezpiecznym hasłem (nie domyślnym) ??

21 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,066

Odp: Brak odpowiedzi hostów w różnych podsieciach.

W failsafe nic nie działa oprócz ssh, tym bardziej wifi nie jest uruchomione.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

22 Odpowiedź przez pongpingchan

  • Zarejestrowany: 2015-09-22
  • Posty: 31

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Dlatego cron jest lepszym wyjściem bo musiałbym korzystać z dość długiej skrętki.

23 Odpowiedź przez pongpingchan

  • Zarejestrowany: 2015-09-22
  • Posty: 31

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Cezary napisał/a:

Jest obsługiwane tylko 16 vlanów

Cezary,
Dzięki obniżyłem numerację VLAN i to pomogło.

Na pierwszym porcie "żółtej" części switch'a śmigają tagowane ramki.

Mam kolejny problem..

Chcę zablokować ruch z podsieci "guest" do podsieci "lan".

Edytuję plik:

/etc/firewall.user

Następująco:

/usr/sbin/iptables -I INPUT -s 192.168.guest.0/255.255.255.0 -d 192.168.lan.0/255.255.255.0 -j DROP ;

/usr/sbin/iptables -I FORWARD -s 192.168.guest.0/255.255.255.0 -d 192.168.lan.0/255.255.255.0 -j DROP ;

Oczywiście w miejscach:  "guest"  oraz  "lan"  są  wprowadzone  odpowiednie  oktety.

Wbijam..

/etc/init.d/firewall  restart

I nadal pinguję z podsieci "guest" do podsieci "lan".

Konfigurację zastosowałem na OpenWrt 19.07 (router:  TP-Link TL-MR3420 v1).

Cezary,
Czy twój build firmware'u OpenWrt 19.07 (nie MiFi) na router:  TP-Link TL-MR3420 v1  zawiera  obcięty  "IPTABLES"  ?

Może ja robię coś nie tak ?

24 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,066

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Nie ma czegoś takiego jak "obcięty iptables".

Gdzie wstawiasz reguły? Na x86? Łapią się pakiety na licznikach?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

25 Odpowiedź przez pongpingchan

  • Zarejestrowany: 2015-09-22
  • Posty: 31

Odp: Brak odpowiedzi hostów w różnych podsieciach.

Reguły "siedzą" na TP-Link TL-MR3420 v1.


Każdy grep iptables wygląda tak:

#iptables -nvL | grep -i '192.168.guest.0/24' 

 0     0 DROP       all  --  *      *       192.168.guest.0/24     192.168.lan.0/24