26 Odpowiedź przez gonzales (edytowany przez gonzales 2020-08-22 12:55:03)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Wejście do sieci podrzędnej w LAN

OK. Dzięki.

EDIT:
Teraz już mam niby wszystko co potrzebne do VPN PBR zainstalowane a nie widzę tego w webinterface.
Gdzie tego szukać - która zakładka?

root@OpenWrt:~# opkg list_installed
adblock - 4.0.4-4
base-files - 204.2-r11050-a8c92e9eda
block-mount - 2020-05-06-eec16e2f-1
busybox - 1.30.1-5
ca-bundle - 20190110-2
cgi-io - 19
chat - 2.4.7.git-2019-05-25-3
comgt - 0.32-32
comgt-directip - 0.32-32
comgt-ncm - 0.32-32
coreutils - 8.30-2
coreutils-sort - 8.30-2
ddns-scripts - 2.7.8-13
dnsmasq-full - 2.80-16.1
dropbear - 2019.78-2
e2fsprogs - 1.44.5-2
ekooneplstat - 20150706
etherwake - 1.09-4
firewall - 2019-11-22-8174814a-1
fstools - 2020-05-06-eec16e2f-1
fwtool - 2
getrandom - 2019-06-16-4df34a4d-3
hostapd-common - 2019-08-08-ca8c2bd2-3
ip-full - 5.0.0-2.1
ip-tiny - 5.0.0-2.1
ip6tables - 1.8.3-1
ipset - 7.3-1
iptables - 1.8.3-1
iw - 5.0.1-1
iwinfo - 2019-10-16-07315b6f-1
jshn - 2020-02-27-7da66430-1
jsonfilter - 2018-02-04-c7e938d6-1
kernel - 4.14.179-1-7cdbc918417bde44bb393defe77751d7
kmod-cfg80211 - 4.14.179+4.19.120-1-1
kmod-crypto-crc32c - 4.14.179-1
kmod-crypto-hash - 4.14.179-1
kmod-fs-ext4 - 4.14.179-1
kmod-fs-vfat - 4.14.179-1
kmod-fuse - 4.14.179-1
kmod-gpio-button-hotplug - 4.14.179-3
kmod-ip6tables - 4.14.179-1
kmod-ipt-conntrack - 4.14.179-1
kmod-ipt-core - 4.14.179-1
kmod-ipt-ipset - 4.14.179-1
kmod-ipt-nat - 4.14.179-1
kmod-ipt-offload - 4.14.179-1
kmod-ipt-raw - 4.14.179-1
kmod-leds-gpio - 4.14.179-1
kmod-lib-crc-ccitt - 4.14.179-1
kmod-lib-crc16 - 4.14.179-1
kmod-lib-textsearch - 4.14.179-1
kmod-mac80211 - 4.14.179+4.19.120-1-1
kmod-mii - 4.14.179-1
kmod-mt76-core - 4.14.179+2020-03-10-08054d5a-1
kmod-mt7603 - 4.14.179+2020-03-10-08054d5a-1
kmod-mt76x02-common - 4.14.179+2020-03-10-08054d5a-1
kmod-mt76x2 - 4.14.179+2020-03-10-08054d5a-1
kmod-mt76x2-common - 4.14.179+2020-03-10-08054d5a-1
kmod-nf-conntrack - 4.14.179-1
kmod-nf-conntrack-netlink - 4.14.179-1
kmod-nf-conntrack6 - 4.14.179-1
kmod-nf-flow - 4.14.179-1
kmod-nf-ipt - 4.14.179-1
kmod-nf-ipt6 - 4.14.179-1
kmod-nf-nat - 4.14.179-1
kmod-nf-nathelper-extra - 4.14.179-1
kmod-nf-reject - 4.14.179-1
kmod-nf-reject6 - 4.14.179-1
kmod-nfnetlink - 4.14.179-1
kmod-nls-base - 4.14.179-1
kmod-nls-cp437 - 4.14.179-1
kmod-nls-iso8859-1 - 4.14.179-1
kmod-nls-utf8 - 4.14.179-1
kmod-ppp - 4.14.179-1
kmod-pppoe - 4.14.179-1
kmod-pppox - 4.14.179-1
kmod-scsi-core - 4.14.179-1
kmod-slhc - 4.14.179-1
kmod-tun - 4.14.179-1
kmod-udptunnel4 - 4.14.179-1
kmod-udptunnel6 - 4.14.179-1
kmod-usb-acm - 4.14.179-1
kmod-usb-core - 4.14.179-1
kmod-usb-ehci - 4.14.179-1
kmod-usb-ledtrig-usbport - 4.14.179-1
kmod-usb-net - 4.14.179-1
kmod-usb-net-cdc-ether - 4.14.179-1
kmod-usb-net-cdc-mbim - 4.14.179-1
kmod-usb-net-cdc-ncm - 4.14.179-1
kmod-usb-net-huawei-cdc-ncm - 4.14.179-1
kmod-usb-net-qmi-wwan - 4.14.179-1
kmod-usb-net-rndis - 4.14.179-1
kmod-usb-net-sierrawireless - 4.14.179-1
kmod-usb-printer - 4.14.179-1
kmod-usb-serial - 4.14.179-1
kmod-usb-serial-option - 4.14.179-1
kmod-usb-serial-qualcomm - 4.14.179-1
kmod-usb-serial-sierrawireless - 4.14.179-1
kmod-usb-serial-wwan - 4.14.179-1
kmod-usb-storage - 4.14.179-1
kmod-usb-storage-uas - 4.14.179-1
kmod-usb-wdm - 4.14.179-1
kmod-usb2 - 4.14.179-1
kmod-usb3 - 4.14.179-1
kmod-wireguard - 4.14.179+1.0.20200506-1
libblkid1 - 2.34-1
libblobmsg-json - 2020-02-27-7da66430-1
libc - 1.1.24-2
libcap - 2.27-1
libcomerr0 - 1.44.5-2
libelf1 - 0.177-1
libext2fs2 - 1.44.5-2
libgcc1 - 7.5.0-2
libgmp10 - 6.1.2-2
libip4tc2 - 1.8.3-1
libip6tc2 - 1.8.3-1
libipset13 - 7.3-1
libiwinfo-lua - 2019-10-16-07315b6f-1
libiwinfo20181126 - 2019-10-16-07315b6f-1
libjson-c2 - 0.12.1-3
libjson-script - 2020-02-27-7da66430-1
liblua5.1.5 - 5.1.5-3
liblucihttp-lua - 2019-07-05-a34a17d5-1
liblucihttp0 - 2019-07-05-a34a17d5-1
liblzo2 - 2.10-2
libmnl0 - 1.0.4-2
libnetfilter-conntrack3 - 2018-05-01-3ccae9f5-2
libnettle7 - 3.5.1-1
libnfnetlink0 - 1.0.1-3
libnl-tiny - 0.1-5
libopenssl-conf - 1.1.1g-1
libopenssl1.1 - 1.1.1g-1
libpthread - 1.1.24-2
librt - 1.1.24-2
libss2 - 1.44.5-2
libubox20191228 - 2020-02-27-7da66430-1
libubus-lua - 2019-12-27-041c9d1c-1
libubus20191227 - 2019-12-27-041c9d1c-1
libuci20130104 - 2019-09-01-415f9e48-3
libuclient20160123 - 2019-05-30-3b3e368d-1
libusb-1.0-0 - 1.0.22-2
libustream-openssl20150806 - 2020-03-13-40b563b1-1
libuuid1 - 2.34-1
libxtables12 - 1.8.3-1
logd - 2019-06-16-4df34a4d-3
lua - 5.1.5-3
luci - git-20.128.71839-5366acb-1
luci-app-adblock - git-20.128.71839-5366acb-1
luci-app-commands - git-20.128.71839-5366acb-1
luci-app-ddns - 2.4.9-7
luci-app-ekooneplstat - 20190629
luci-app-firewall - git-20.128.71839-5366acb-1
luci-app-openvpn - git-20.128.71839-5366acb-1
luci-app-opkg - git-20.128.71839-5366acb-1
luci-app-p910nd - git-20.128.71839-5366acb-1
luci-app-samba - git-20.128.71839-5366acb-1
luci-app-vpn-policy-routing - git-20.234.16293-a82f67e-73
luci-app-vpnbypass - git-20.128.71839-5366acb-19
luci-app-wifischedule - git-20.128.71839-5366acb-1
luci-app-wireguard - git-20.128.71839-5366acb-1
luci-app-wol - git-20.128.71839-5366acb-1
luci-base - git-20.128.71839-5366acb-1
luci-compat - git-20.128.71839-5366acb-1
luci-i18n-adblock-en - git-20.128.71839-5366acb-1
luci-i18n-adblock-pl - git-20.128.71839-5366acb-1
luci-i18n-base-en - git-20.128.71839-5366acb-1
luci-i18n-base-pl - git-20.128.71839-5366acb-1
luci-i18n-commands-en - git-20.128.71839-5366acb-1
luci-i18n-commands-pl - git-20.128.71839-5366acb-1
luci-i18n-ddns-en - 2.4.9-7
luci-i18n-ddns-pl - 2.4.9-7
luci-i18n-firewall-en - git-20.128.71839-5366acb-1
luci-i18n-firewall-pl - git-20.128.71839-5366acb-1
luci-i18n-openvpn-en - git-20.128.71839-5366acb-1
luci-i18n-openvpn-pl - git-20.128.71839-5366acb-1
luci-i18n-opkg-en - git-20.128.71839-5366acb-1
luci-i18n-opkg-pl - git-20.128.71839-5366acb-1
luci-i18n-p910nd-en - git-20.128.71839-5366acb-1
luci-i18n-p910nd-pl - git-20.128.71839-5366acb-1
luci-i18n-samba-en - git-20.128.71839-5366acb-1
luci-i18n-samba-pl - git-20.128.71839-5366acb-1
luci-i18n-vpnbypass-en - git-20.128.71839-5366acb-19
luci-i18n-vpnbypass-pl - git-20.128.71839-5366acb-19
luci-i18n-wifischedule-en - git-20.128.71839-5366acb-1
luci-i18n-wifischedule-pl - git-20.128.71839-5366acb-1
luci-i18n-wireguard-en - git-20.128.71839-5366acb-1
luci-i18n-wireguard-pl - git-20.128.71839-5366acb-1
luci-i18n-wol-en - git-20.128.71839-5366acb-1
luci-i18n-wol-pl - git-20.128.71839-5366acb-1
luci-lib-ip - git-20.128.71839-5366acb-1
luci-lib-ipkg - git-20.128.71839-5366acb-1
luci-lib-jsonc - git-20.128.71839-5366acb-1
luci-lib-nixio - git-20.128.71839-5366acb-1
luci-mod-admin-full - git-20.128.71839-5366acb-1
luci-mod-network - git-20.128.71839-5366acb-1
luci-mod-status - git-20.128.71839-5366acb-1
luci-mod-system - git-20.128.71839-5366acb-1
luci-proto-3g - git-20.128.71839-5366acb-1
luci-proto-ipv6 - git-20.128.71839-5366acb-1
luci-proto-ncm - git-20.128.71839-5366acb-1
luci-proto-ppp - git-20.128.71839-5366acb-1
luci-proto-qmi - git-20.128.71839-5366acb-1
luci-proto-relay - git-20.128.71839-5366acb-1
luci-proto-wireguard - git-20.128.71839-5366acb-1
luci-ssl-openssl - git-20.128.71839-5366acb-1
luci-theme-bootstrap - git-20.128.71839-5366acb-1
mtd - 24
netifd - 2019-08-05-5e02f944-1
ntfs-3g - 2017.3.23-2-fuseint
odhcp6c - 2019-01-11-e199804b-16
odhcpd-ipv6only - 2020-05-03-49e4949c-3
openssl-util - 1.1.1g-1
openvpn-easy-rsa - 3.0.4-1
openvpn-openssl - 2.4.7-2
openwrt-keyring - 2019-07-25-8080ef34-1
opkg - 2020-05-07-f2166a89-1
p910nd - 0.97-8
ppp - 2.4.7.git-2019-05-25-3
ppp-mod-pppoe - 2.4.7.git-2019-05-25-3
procd - 2020-03-07-09b9bd82-1
relayd - 2020-04-25-f4d759be-1
resolveip - 2
rpcd - 2019-12-10-aaa08366-2
rpcd-mod-file - 2019-12-10-aaa08366-2
rpcd-mod-iwinfo - 2019-12-10-aaa08366-2
rpcd-mod-luci - 20191114
rpcd-mod-rrdns - 20170710
samba36-server - 3.6.25-14
swconfig - 12
sysinfo - 20200403
ubi-utils - 2.1.1-1
ubox - 2019-06-16-4df34a4d-3
ubus - 2019-12-27-041c9d1c-1
ubusd - 2019-12-27-041c9d1c-1
uci - 2019-09-01-415f9e48-3
uclient-fetch - 2019-05-30-3b3e368d-1
uhttpd - 2020-03-13-975dce23-1
umbim - 2019-03-11-24f9dc71-1
uqmi - 2019-06-27-1965c713-7
urandom-seed - 1.0-1
urngd - 2020-01-21-c7f7b6b6-1
usb-modeswitch - 2017-12-19-f40f84c2-2
usign - 2019-08-06-5a52b379-1
vpn-policy-routing - 0.2.1-13
vpnbypass - 1.3.1-7
wifischedule - 1-2
wireguard-tools - 1.0.20191226-1
wireless-regdb - 2019.06.03-1
wpad-basic - 2019-08-08-ca8c2bd2-3
wwan - 2014-07-17-1
zlib - 1.2.11-3

27 Odpowiedź przez szymek

  • szymek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-11-03
  • Posty: 220

Odp: Wejście do sieci podrzędnej w LAN

garysek napisał/a:

Tak, wan jest całkowicie odblokowany, ale w niczym to mi nie przeszkadza, bo tylko z mojej sieci można tak dostać się. A czemu tak a nie inaczej? Na przestrzeni czasu były różne konfiguracje, a ta mi najbardziej spodobała po prostu. Wejście do niektórych urządzeń w tej podsieci muszę mieć, a tak jest wygodniej niż odblokowywać i przekierowywać poszczególne porty, a że funkcjonalnie to w sumie odrębna sieć, więc uznałem, że tak będzie optymalnie. Podsieć też ma swój serwer DNS bez adblocka jaki funkcjonuje na głównej.

A ja mam jeszcze takie pytanie, robiąc wg wskazań kolegi @garysek mogę wbić się w urządzenia podpięte w adresacji w routerze podrzędnym poprzez przeglądarkę www wpisując IP danego urządzenia, mogę wejść poprzez winSCP, ale nie mogę zmapować dysku czy odszukać ich w otoczeniu sieciowym działając w adresacji routera nadrzędnego. Jest jakiś sposób na dostęp z poziomu otoczenia sieciowego do tych urządzeń które będą posiadały taką wolę dostępu?

28 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,927

Odp: Wejście do sieci podrzędnej w LAN

Jawnie mapuj podając adres ip urządzenia.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

29 Odpowiedź przez szymek

  • szymek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-11-03
  • Posty: 220

Odp: Wejście do sieci podrzędnej w LAN

Próbuje //192.168.1.20 i kończy się niepowodzeniem, dodatkowo jeśli dodam ....1.20/HDD jako udział też bez efektu i wołania o login czy hasło sad

30 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,927

Odp: Wejście do sieci podrzędnej w LAN

To znaczy że działa skoro woła o hasło.

Generalnie - przez vpn raczej nie licz że będziesz widział otoczeni sieciowe czy dlna. Jesteś w innej sieci, nie przechodzą wszelkie rozgłoszenia po broadcastach itp.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

31 Odpowiedź przez maslako

  • Zarejestrowany: 2016-10-29
  • Posty: 106

Odp: Wejście do sieci podrzędnej w LAN

Jeżeli korzystasz z Windows to: Uruchom>file://192.168.1.20 i powinien wyświetlić udostępniany udział, a wtedy można mapować.

32 Odpowiedź przez szymek

  • szymek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-11-03
  • Posty: 220

Odp: Wejście do sieci podrzędnej w LAN

@Cezary, system windows nie może uzyskać dostępu do \\192.168.1.20
@maslako "pracujemy nad tym..." bez końca sad

wejście poprzez np ftp działa, winscp także, www też,.
problem z otoczeniem sieciowym.

33 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,927

Odp: Wejście do sieci podrzędnej w LAN

Jak działa www/ftp itd to samba też musi działać. Sprawdź firewalle w windowsie. VPN nie ma nic wspólnego już z dostępnem lub nie do  jakiegoś protokołu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

34 Odpowiedź przez gonzales (edytowany przez gonzales 2020-08-23 13:26:57)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Wejście do sieci podrzędnej w LAN

gonzales napisał/a:

Teraz już mam niby wszystko co potrzebne do VPN PBR zainstalowane a nie widzę tego w webinterface.
Gdzie tego szukać - która zakładka?

Ponawiam pytanie, bo widzę, że na drugim routerze gdzie jeszcze nie grzebałem jest zakładka VPN z zainstalowanym już domyślnie vpnbypass natomiast na routerze gdzie zaistalowałem VPN PBR nie wyświetla mi tej zakładki VPN w webgui.
Czy mogę coś zrobić, żeby mieć widoczną tą zakładkę?
może pakiet:
luci-app-vpn-policy-routing - git-20.234.16293-a82f67e-73
tak mi "pomógł" że teraz nie mam tego widocznego?
Jak widać vpnbypass też jest zainstalowany ale on był domylślnie w systemie.
luci-app-vpnbypass - git-20.128.71839-5366acb-19
Nie ukrywam, że wolałbym wyklikać sobie to obejście VPN przez przeglądarkę wink

35 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,927

Odp: Wejście do sieci podrzędnej w LAN

Jeżeli masz starą wersję systemu i luci to zrób aktualizację. Swego czasu tak było nie pojawiło się menu vpn bo przechodzi na inny system tworzenia tego menu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

36 Odpowiedź przez gonzales (edytowany przez gonzales 2020-08-23 13:43:59)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Wejście do sieci podrzędnej w LAN

OK. Tylko teraz pytanie czy mogę zrobić aktualizację z zachowaniem ustawień, czy zrobić kopię i potem wgrać backup (głównie mam tutaj konfigurację wireguard - nie chcę popsuć tego co już mam ustawione).
Obecnie jest wersja z maja:
OpenWrt 19.07-SNAPSHOT, r11050-a8c92e9eda na R6220.

37 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,927

Odp: Wejście do sieci podrzędnej w LAN

Prawdopodobnie możesz zrobić z zachowaniem konfiguracji. Nie pamiętam żeby być coś zmienione tak bardzo żeby przeszkadzało w konfigach.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

38 Odpowiedź przez gonzales

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Wejście do sieci podrzędnej w LAN

Aktualizacja zrobiona. Mam możliwość konfiguracji poprzez przeglądarkę ale prawdę powiedziawszy nie wiem z czego powinienem skorzystać.W sensie czy użyć vpnbypass czy vpn-policy-routing.im
Muszę chyba jeszcze sporo poczytać o jednym i drugim rozwiązaniu;)

A tak na marginesie z tego co wypluł router po opkg list_installed to vpn-policy-routing miałem niby zainstalowane a po aktualizacji i tak musiałem od nowa go instalować.
I z tego co widzę to aktualizacja openwrt to jedno a pakiety są w tak zwanym międzyczasie aktualizowane swoim rytmem? Pytam bo widzę,  że sporo pakietów mimo aktualizacji systemu ma swoje aktualizacje.

39 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,927

Odp: Wejście do sieci podrzędnej w LAN

Bo to się zmienia cały czas. Nawet jak zbuduję obrazy to za godzinę potrafi już cały luci być nowe.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

40 Odpowiedź przez gonzales (edytowany przez gonzales 2020-08-23 16:36:48)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Wejście do sieci podrzędnej w LAN

Odchodząc nieco od tematu wątku sieci podrzędnej LAN mam takie pytanie.
allowed ips: 10.9.0.2/32, 192.168.8.0/24,
wpisane w konfiguracji jednego z routerów z wireguard umożliwia mi pingowanie i dostęp do routera o ip wymienionych powyżej ale ten adres vpn-a 10.9.0.2/32 nie jest niezbędny jeżeli to to samo urządzenie o ip 192.168.8.0/24?
Jeżeli dodałbym tutaj jeszcze 0.0.0.0/0 to wtedy cały ruch z routera będzie szedł przez łącze internetowe serwerw wg i jeżeli tego nie chcę to nie wpisuje tego?
Mimo to ruch po VPN będzie działał normalnie, pytam bo zaczynam się gubić?

41 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,927

Odp: Wejście do sieci podrzędnej w LAN

Jak już zauważyłeś - tam wpisuje się dozwolone adresy/klasy adresowe. Co wpiszesz to do tego będziesz miał dostęp).

192.168.8.0/24 to nie adres urządzenia tylko sieć, pewnie w jego lanie. Więc znów - to zależy do czego chcesz mieć dostęp.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

42 Odpowiedź przez szymek

  • szymek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-11-03
  • Posty: 220

Odp: Wejście do sieci podrzędnej w LAN

witam,

działało parę miesięcy i coś się posypało bez uprzedzenia, staram się to przeanalizować wg wskazówek w/w i efektu brak sad

Dwa routery X nadrzędny oraz Y podrzędny, na routerze podrzędnym jest dodatkowo VPN.
Gdybym mógł prosić o ewentualne wskazanie, gdzie wkradł się problem to będę zobowiązany.

Problem to brak transperentności w realacji router nadrzędny wobec podrzędnego.

X nadrzędny network

config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fd8e:a5b7:ba33::/48'

config interface 'lan'
    option type 'bridge'
    option ifname 'eth0.1'
    option proto 'static'
    option netmask '255.255.255.0'
    option ip6assign '60'
    option ipaddr '192.168.5.1'

config interface 'wan'
    option ifname 'eth1.2'
    option proto 'static'
    option netmask '255.255.255.252'
    option ipaddr 'IP_WAN'
    option gateway 'IP_WAN'
    list dns '1.1.1.1'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '0 1 2 3 5t'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '4 6t'

config route
    option target '192.168.1.0'
    option netmask '255.255.255.0'
    option interface 'lan'
    option gateway '192.168.5.30'

Y podrzędny network

config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fd33:a80c:ae4b::/48'

config interface 'lan'
    option type 'bridge'
    option ifname 'eth1.1'
    option proto 'static'
    option ipaddr '192.168.1.1'
    option netmask '255.255.255.0'
    option ip6assign '60'

config interface 'wan'
    option ifname 'eth0.2'
    option proto 'static'
    option netmask '255.255.255.0'
    list dns '1.1.1.1'
    option ipaddr '192.168.5.30'
    option gateway '192.168.5.1'


config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '1 2 3 4 0t'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '5 6t'

config interface 'vpn'
    option ifname 'tun0'
    option proto 'none'

X nadrzędny firewall

config defaults
    option output 'ACCEPT'
    option forward 'REJECT'
    option synflood_protect '1'
    option input 'REJECT'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan'
    option masq '1'

config zone
    option name 'wan'
    option input 'REJECT'
    option masq '1'
    option mtu_fix '1'
    option network 'wan'
    option forward 'ACCEPT'
    option output 'ACCEPT'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config include
    option path '/etc/firewall.user'

Y podrzędny firewall

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan'
    option masq '1'

config zone
    option name 'wan'
    option output 'ACCEPT'
    option masq '1'
    option mtu_fix '1'
    option network 'wan'
    option input 'ACCEPT'
    option forward 'ACCEPT'

config forwarding
    option src 'lan'
    option dest 'wan'

config forwarding
    option dest 'lan'
    option src 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config include
    option path '/etc/firewall.user'

config zone
    option name 'vpn'
    option output 'ACCEPT'
    option network 'vpn'
    option masq '1'
    option input 'ACCEPT'
    option forward 'ACCEPT'

config forwarding
    option src 'lan'
    option dest 'vpn'

43 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,927

Odp: Wejście do sieci podrzędnej w LAN

Problem to brak transperentności w realacji router nadrzędny wobec podrzędnego

Tzn co?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

44 Odpowiedź przez szymek

  • szymek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-11-03
  • Posty: 220

Odp: Wejście do sieci podrzędnej w LAN

WAN -> LAN 192.168.5.1 -> 192.168.1.1

będąc w ...5.1 nie mogę wejść do ...1.1 mino 

config route
    option target '192.168.1.0'
    option netmask '255.255.255.0'
    option interface 'lan'
    option gateway '192.168.5.30'

45 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,927

Odp: Wejście do sieci podrzędnej w LAN

No pewnie że nie możesz, przecież masz drugi router z natem. Musisz sobie odblokować określone porty na wanie jeżeli chcesz się dostać do usług na routerze lub zrobić przekierowania portów jeżeli chcesz sie dostać do urządzeń w lanie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

46 Odpowiedź przez szymek

  • szymek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-11-03
  • Posty: 220

Odp: Wejście do sieci podrzędnej w LAN

Cezary, wg tego działało, aż miło i przestało sad
https://eko.one.pl/forum/viewtopic.php? … 31#p242031

47 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,927

Odp: Wejście do sieci podrzędnej w LAN

Czary, nie?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

48 Odpowiedź przez szymek

  • szymek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-11-03
  • Posty: 220

Odp: Wejście do sieci podrzędnej w LAN

Cezary napisał/a:

Czary, nie?

pomożesz uzdrowić sprzęt?

49 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,927

Odp: Wejście do sieci podrzędnej w LAN

Konfigi masz takie same więc problem jest w czymś innym. Zainstalowałeś dodatkowy soft? vpn robi inne trasy?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

50 Odpowiedź przez szymek

  • szymek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-11-03
  • Posty: 220

Odp: Wejście do sieci podrzędnej w LAN

Cezary napisał/a:

Konfigi masz takie same więc problem jest w czymś innym. Zainstalowałeś dodatkowy soft? vpn robi inne trasy?

No właśnie nic nie robiłem, prócz może restartu w wyniku wyłączonego prądu.
Logując się na router podrzędny jest internet, działa VPN, jak również jest widoczność sieci nadrzędnej.

Do szczęścia brakuje tylko możliwości wejścia z IP nadrzędnego w podrzędny mimo

config route
    option target '192.168.1.0'
    option netmask '255.255.255.0'
    option interface 'lan'
    option gateway '192.168.5.30'