1 Temat przez slawekw (edytowany przez slawekw 2020-11-22 23:01:54)

  • Zarejestrowany: 2015-11-18
  • Posty: 87

Temat: Sieć dla gościa na kablu

Na ruterze Archer C7 mam obecnie jedną sieć domową (używana po wifi i po kablu)

Potrzebuję zrobić oddzielną podsieć dla gościa który podepnie się po kablu do niezarządzanego switcha, który z kolei jest podpięty do LAN portu w C7 (na tym niezarządzalnym switchu mam podpięte też inne urządzenia które pracują w moim domowym LANie)

W skrócie - chciałbym, aby po podpięciu kablem komputera gościa do tego switcha, dostał on IP z sieci gościa z dostępem do internetu a moje inne urządzenia na niezarządanym switchu dalej dostawały IP domowe z DHCP.

Próbowałem zacząć z tą instrukcją (nie robiłem tylko guest ap)
https://eko.one.pl/?p=openwrt-guestnetwork

Na końcu pliku /etc/config/dhcp zaraz po skonfigurowanym:

config dhcp 'guest'
        option start '100'
        option limit '150'
        option leasetime '2h'
        option interface 'guest'

dodałem:

config host
        option ip '172.16.0.2'
        option mac '08:9f:0f:17:1e:a1'
        option name 'guest1'

jednak po podpięciu kablem komputera z tym MAC adresem dostaję on IP z mojej domowej sieci

Co należy jeszcze ustawić aby komputer dostawał IP z podsieci dla gości? Oczywiście zależy mi na separacji sieci LAN od GUEST.

pozdrawiam

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,924

Odp: Sieć dla gościa na kablu

Porty ethernetowe masz przecież przypięte do lanu a nie do sieci gościnnej. Wyjmij sobie jeden z portów i dodaj go go sieci gościnnej: https://eko.one.pl/?p=openwrt-vlan#wydz … innejsieci Tylko przeczytaj najpierw całość, bo to silnie jest uzależnione od modelu routera

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez gegu

  • gegu
  • Użytkownik
  • Nieaktywny
  • Skąd: Ruda Śląska
  • Zarejestrowany: 2016-12-04
  • Posty: 261

Odp: Sieć dla gościa na kablu

Przy twojej topologii, na jednym wspólnym kablu, nie osiągniesz separacji sieci gościa od domowej. Możesz nadawać adresy z innej podsieci poszczególnych hostom (np. wszystkim nowym adresom mac), ale gość będzie mógł podsłuchać ruch i ustawić sobie adres ip jaki będzie chciał. Jeżeli twoje urządzenia rozumieją vlany, to możesz ruch do nich tagować, do gościa nietagować, ale znowu gość będzie w stanie ruch podsłuchać i ustawić odpowiedni vlan tag u siebie. Albo wydzielisz port w routerze dla sieci gościa (tak jak proponuje Cezary) i pociągniesz osobny kabel, albo użyjesz switcha zarządzalnego zamiast niezarządzalnego i port dla sieci gościa będzie w trybie access w innym vlanie niż sieć domowa.

rt-ac56u tomato, 2x wdr3600@16MB/u-boot pepe2k/lede, 2x wt3020f@16MB/e3372s/gargoyle/lede, 3x wr841n@16MB/64MB/u-boot pepe2k/lede, rt-n18u tomato, 2x rb750gr2 ROS, 3x rb750gr3 ROS, Unifi ap ac lr

4 Odpowiedź przez slawekw

  • Zarejestrowany: 2015-11-18
  • Posty: 87

Odp: Sieć dla gościa na kablu

dziękuję za obie odpowiedzi

zanotuję jak to poszło:

Stan przed utworzeniem VLAN-u dla gościa:

# swconfig dev switch0 help | grep switch0
switch0: mdio-bus.0(Atheros AR8327), ports: 7 (cpu @ 0), vlans: 4096
# swconfig dev switch0 show | grep link:
        link: port:0 link:up speed:1000baseT full-duplex txflow rxflow
        link: port:1 link:up speed:1000baseT full-duplex auto
        link: port:2 link:up speed:1000baseT full-duplex eee100 eee1000 auto
        link: port:3 link:down
        link: port:4 link:up speed:100baseT full-duplex txflow rxflow auto
        link: port:5 link:up speed:100baseT full-duplex txflow rxflow auto
        link: port:6 link:up speed:1000baseT full-duplex txflow rxflow

/etc/config/network:

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '2 3 4 5 0t'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '1 6t'

Po zmianie mam:

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '2 4 5 0t'

config switch_vlan
        option device 'switch0'
        option vlan '3'
        option ports '3 0t'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '1 6t'

Oraz nowy interfejs w vlan3 (rozumiem pakiety sa na nim tagowane z id 3)

config interface 'guest'
        option type 'bridge'
        option ifname 'eth1.3'
        option proto 'static'
        option ipaddr '172.16.0.1'
        option netmask '255.255.255.0'

W /etc/config/dhcp mam tak jak podałem w pierwszym poście.

Po odpaleniu:
/etc/init.d/network restart
/etc/init.d/dnsmasq restart

I podpięciu kabla komputera do portu 3 (ten który był  link: port:3 link:down) dostał on IP z nowej podsieci, internet działa ok.

Czyli teraz mam dedykowany kabel w porcie 3 ("przeciągnięty" przez powerline sieć) - rozumiem że to jest wystarczające odseparowanie obu sieci? Z komputera w sieci gościa poza adresem bramy mojego LAN, nie mogę ping-ować innch adresów z mojej sieci domowej LAN)

5 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,924

Odp: Sieć dla gościa na kablu

Jeżeli tylko specjalnie nie zrobiłeś forwardu pomiędzy guest a lan to jest ok.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona