1 (edytowany przez encholex 2020-12-31 00:48:00)

Temat: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Witam ponownie,

Niestety nie mam czasu. Wiem, że to typowe zagranie, ale już tyle przeszedłem stron i dalej mi nie wychodzi.
Mam Xiaomi R3G z OpenWrt 18.06.4 r7808-ef686b7292 i potrzebuję zrobić tak, żeby WAN'em brało ze switcha 2 vlany (trunk na tplinku) i rozsiewało je na 2 różne SSID bez możliwości widzenia się nawzajem klientów. 2 istniejące w tym routerze porty LAN żeby były wyłączone. SSID bez dhcp czyli zwykłe AP, bo wszystko jest podłączone do switcha tplink - taki dumb AP.
Ze switcha idzie sobie kabelek z vlanami: 2 i 3 i chciałbym analogicznie SSID: 2 i 3.
Czyli:
1: 2 SSID (2 i 3) z 2 vlanów 2 i 3 idących tplinka trunk jednym przewodem i podłączonym do WAN, bez dhcp - dump AP
2: Odesparowanie czyli firewall rule
3: wyłączenie fizycznych gniazd LAN 1 i 2

Na tą chwilę zresetowałem do zera R3G i startuję od nowa. Chciałbym to zrobić dzisiaj. Jest szansa na czyjąś pomoc ?

DHCP

config dnsmasq
    option domainneeded '1'
    option boguspriv '1'
    option filterwin2k '0'
    option localise_queries '1'
    option rebind_protection '1'
    option rebind_localhost '1'
    option local '/lan/'
    option domain 'lan'
    option expandhosts '1'
    option nonegcache '0'
    option authoritative '1'
    option readethers '1'
    option leasefile '/tmp/dhcp.leases'
    option resolvfile '/tmp/resolv.conf.auto'
    option nonwildcard '1'
    option localservice '1'

config dhcp 'lan'
    option interface 'lan'
    option start '100'
    option limit '150'
    option leasetime '12h'
    option dhcpv6 'server'
    option ra 'server'

config dhcp 'wan'
    option interface 'wan'
    option ignore '1'

config odhcpd 'odhcpd'
    option maindhcp '0'
    option leasefile '/tmp/hosts/odhcpd'
    option leasetrigger '/usr/sbin/odhcpd-update'
    option loglevel '4'

FIREWALL:

config defaults
    option syn_flood    1
    option input        ACCEPT
    option output        ACCEPT
    option forward        REJECT
# Uncomment this line to disable ipv6 rules
#    option disable_ipv6    1

config zone
    option name        lan
    list   network        'lan'
    option input        ACCEPT
    option output        ACCEPT
    option forward        ACCEPT

config zone
    option name        wan
    list   network        'wan'
    list   network        'wan6'
    option input        REJECT
    option output        ACCEPT
    option forward        REJECT
    option masq        1
    option mtu_fix        1

config forwarding
    option src        lan
    option dest        wan

# We need to accept udp packets on port 68,
# see [url]https://dev.openwrt.org/ticket/4108[/url]
config rule
    option name        Allow-DHCP-Renew
    option src        wan
    option proto        udp
    option dest_port    68
    option target        ACCEPT
    option family        ipv4

# Allow IPv4 ping
config rule
    option name        Allow-Ping
    option src        wan
    option proto        icmp
    option icmp_type    echo-request
    option family        ipv4
    option target        ACCEPT

config rule
    option name        Allow-IGMP
    option src        wan
    option proto        igmp
    option family        ipv4
    option target        ACCEPT

# Allow DHCPv6 replies
# see [url]https://dev.openwrt.org/ticket/10381[/url]
config rule
    option name        Allow-DHCPv6
    option src        wan
    option proto        udp
    option src_ip        fc00::/6
    option dest_ip        fc00::/6
    option dest_port    546
    option family        ipv6
    option target        ACCEPT

config rule
    option name        Allow-MLD
    option src        wan
    option proto        icmp
    option src_ip        fe80::/10
    list icmp_type        '130/0'
    list icmp_type        '131/0'
    list icmp_type        '132/0'
    list icmp_type        '143/0'
    option family        ipv6
    option target        ACCEPT

# Allow essential incoming IPv6 ICMP traffic
config rule
    option name        Allow-ICMPv6-Input
    option src        wan
    option proto    icmp
    list icmp_type        echo-request
    list icmp_type        echo-reply
    list icmp_type        destination-unreachable
    list icmp_type        packet-too-big
    list icmp_type        time-exceeded
    list icmp_type        bad-header
    list icmp_type        unknown-header-type
    list icmp_type        router-solicitation
    list icmp_type        neighbour-solicitation
    list icmp_type        router-advertisement
    list icmp_type        neighbour-advertisement
    option limit        1000/sec
    option family        ipv6
    option target        ACCEPT

# Allow essential forwarded IPv6 ICMP traffic
config rule
    option name        Allow-ICMPv6-Forward
    option src        wan
    option dest        *
    option proto        icmp
    list icmp_type        echo-request
    list icmp_type        echo-reply
    list icmp_type        destination-unreachable
    list icmp_type        packet-too-big
    list icmp_type        time-exceeded
    list icmp_type        bad-header
    list icmp_type        unknown-header-type
    option limit        1000/sec
    option family        ipv6
    option target        ACCEPT

config rule
    option name        Allow-IPSec-ESP
    option src        wan
    option dest        lan
    option proto        esp
    option target        ACCEPT

config rule
    option name        Allow-ISAKMP
    option src        wan
    option dest        lan
    option dest_port    500
    option proto        udp
    option target        ACCEPT

# include a file with users custom iptables rules
config include
    option path /etc/firewall.user


### EXAMPLE CONFIG SECTIONS
# do not allow a specific ip to access wan
#config rule
#    option src        lan
#    option src_ip    192.168.45.2
#    option dest        wan
#    option proto    tcp
#    option target    REJECT

# block a specific mac on wan
#config rule
#    option dest        wan
#    option src_mac    
#    option target    REJECT

# block incoming ICMP traffic on a zone
#config rule
#    option src        lan
#    option proto    ICMP
#    option target    DROP

# port redirect port coming in on wan to lan
#config redirect
#    option src            wan
#    option src_dport    80
#    option dest            lan
#    option dest_ip        192.168.16.235
#    option dest_port    80
#    option proto        tcp

# port redirect of remapped ssh port (22001) on wan
#config redirect
#    option src        wan
#    option src_dport    22001
#    option dest        lan
#    option dest_port    22
#    option proto        tcp

### FULL CONFIG SECTIONS
#config rule
#    option src        lan
#    option src_ip    192.168.45.2
#    option src_mac    
#    option src_port    80
#    option dest        wan
#    option dest_ip    194.25.2.129
#    option dest_port    120
#    option proto    tcp
#    option target    REJECT

#config redirect
#    option src        lan
#    option src_ip    192.168.45.2
#    option src_mac    
#    option src_port        1024
#    option src_dport    80
#    option dest_ip    194.25.2.129
#    option dest_port    120
#    option proto    tcp

NETWORK:

config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fd89:0230:0afb::/48'

config interface 'lan'
    option type 'bridge'
    option ifname 'eth0.1'
    option proto 'static'
    option ipaddr '192.168.1.1'
    option netmask '255.255.255.0'
    option ip6assign '60'

config device 'lan_dev'
    option name 'eth0.1'
    option macaddr 

config interface 'wan'
    option ifname 'eth0.2'
    option proto 'dhcp'

config interface 'wan6'
    option ifname 'eth0.2'
    option proto 'dhcpv6'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '2 3 6t'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '1 6t'

WIRELESS:

config wifi-device 'radio0'
    option type 'mac80211'
    option channel '11'
    option hwmode '11g'
    option path 'pci0000:00/0000:00:00.0/0000:01:00.0'
    option htmode 'HT20'
    option disabled '1'

config wifi-iface 'default_radio0'
    option device 'radio0'
    option network 'lan'
    option mode 'ap'
    option ssid 'OpenWrt'
    option encryption 'none'

config wifi-device 'radio1'
    option type 'mac80211'
    option channel '36'
    option hwmode '11a'
    option path 'pci0000:00/0000:00:01.0/0000:02:00.0'
    option htmode 'VHT80'
    option disabled '1'

config wifi-iface 'default_radio1'
    option device 'radio1'
    option network 'lan'
    option mode 'ap'
    option ssid 'OpenWrt'
    option encryption 'none'

2

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Network pokaż, bo pokazałeś firewall. W którym momencie masz problem?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Cezary napisał/a:

Network pokaż, bo pokazałeś firewall. W którym momencie masz problem?

Już poprawione...
No nie mam już konfiguracji którą miałem, po prostu się na tym nie znam.
Doszedłem tylko do tego, że nie umiałem odseparować w interfaces vlanow.
Jeśli to nie problem i szanując Twój czas, wskaż mi proszę właściwy tutorial, zacznę go robić i będę się odzywać przy problemach.
Idąc tym tutorialem: http://eko.one.pl/?p=openwrt-vlan#siewi … ednymkablu
natrafiam na eth0 gdzie nie ma tutaj takiego w tym routerze.
Idealnym rozwiązaniem dla mnie byłoby żebyś mi podrzucił coś, rzucił okiem że jest tam dużo z tego co chcę i że jest to ok...zacznę robić i coś może się udać na ten moment, bo z tych co patrzyłem to ludzie zwracają się z konkretną sprawą, a niewielu zamieszcza finalną pełną konfigurację. Ja zamieszczę.

4

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Wireless jest proste, dodaj:

config wifi-iface 'default_vlan2_2'
    option device 'radio0'
    option network 'vlan2'
    option mode 'ap'
    option ssid 'OpenWrt'
    option encryption 'none'

config wifi-iface 'default_vlan2_5'
    option device 'radio1'
    option network 'vlan2'
    option mode 'ap'
    option ssid 'OpenWrt'
    option encryption 'none'

config wifi-iface 'default_vlan3_2'
    option device 'radio0'
    option network 'vlan3'
    option mode 'ap'
    option ssid 'OpenWrt'
    option encryption 'none'

config wifi-iface 'default_vlan3_5'
    option device 'radio1'
    option network 'vlan3'
    option mode 'ap'
    option ssid 'OpenWrt'
    option encryption 'none'

Firewall: dodaj

config zone
        option name vlan2
        list network vlan2
        option input ACCEPT
        option output ACCEPT
        option forward ACCEPT

config zone
        option name vlan3
        list network vlan3
        option input ACCEPT
        option output ACCEPT
        option forward ACCEPT

Do dhcp dodaj:

    config dhcp 'vlan2'
        option interface 'vlan2'
        option ignore '1'

    config dhcp 'vlan3'
        option interface 'vlan3'
        option ignore '1'

Do network zmień/dodaj:

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '1t 6t'

config switch_vlan
    option device 'switch0'
    option vlan '3'
    option ports '1t 6t'

    config interface 'vlan2'
        option type 'bridge'
        option ifname 'eth0.2'
        option proto 'static'
        option ipaddr '192.168.2.2'
        option netmask '255.255.255.0'

    config interface 'vlan3'
        option type 'bridge'
        option ifname 'eth0.3'
        option proto 'static'
        option ipaddr '192.168.3.2'
        option netmask '255.255.255.0'

Sekcję wan wywal, sekcję lan raczej zostaw sobie z tymi dwoma portami lan żebyś miał w razie czego dostęp. Jeżeli na pewno nie chcesz to wywal  option ifname z sekcji lan.

Czy działa - nie sprawdzałem, pisałem to z głowy, więc sobie sprawdź. Generalnie masz dwie sieci o nazwach vlan2 i vlan3, obie mają bridge na który składają się dwa  interfejsy radiowe z sieci 2.4GHz i 5GHz oraz tagowany vlan2 (lub vlan3 dla drugiej) który ma być na porcie 1 (czyli fizyczny port wan).

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5 (edytowany przez encholex 2019-10-06 22:28:44)

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Działa wszystko... Bardzo Ci dziękuję za pomoc. Wkleiłem to co napisałeś, część pozamieniałem pod swoje, ale to wszystko co napisałeś jest ok.

Idąc za Twoją poradą, nie usunąłem jeszcze LAN'a. Poczekam z tym jeszcze chwilę.
Mam pytanie odnośnie adresów IP.
Pewnie to złe rozwiązanie, ale w obu vlan'ach mam tą samą pulę adresową i chcę właśnie tego AP mieć pod tym samym adresem. Czy mogę wtedy ustawić na obu vlanach w network na ten sam adres, tak żeby mieć możliwość dostępu już od strony sieci a nie przez LAN ??
Bo ustawiłem na 10.20.0.2 wszędzie na lan, vlan2 i vlan3   no i działało chyba tylko z lanu....jak dałem tylko vlany 2 i 3, to mogę się zalogować tylko z vlanu2...dziwne zachowanie...
Tak czy owak to co napisałeś w zupełności wystarczyło i od razu wszystko działa jak należy.
Jeszcze raz dziękuję i pozdrawiam

6

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Nie możesz mieć tej samej adresacji bo się nie połapie z routingiem.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

7 (edytowany przez encholex 2020-01-06 23:44:01)

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Witam ponownie,

Ostatnio jak mi pomagałeś przy tym AP miałem drugiego R3G zrobionego według tutoriala z NordVPN w innej lokalizacji i ma on też jedno SSID podpięte do VPN'a. To do niego szedł jeden VLAN z tego tematu...
Ale ostatnio naszła mnie myśl...
Czy ten R3G na którym mam zrobiony tunel do NordVPN jest w stanie pociągnąć 2 takie VPN'y oraz jedno połączenie do ISP bez VPN'a ale z uruchomionym dhcp? 
Czyli że ma interfejsy:
1- NordVPN 1 z dhcp
2- NordVPN 2 z dhcp
3- ISP z dhcp
no i przy okazji czy można na tym R3G puścić łącznie 3 SSID do tych trzech interfejsów?
Czy jest taka możliwość w OpenWRT  no i czy ten sprzęt to pociągnie ?

Pozdrawiam !

8

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Możesz zrobić ile chcesz tuneli vpn, byłe by to oczywiście nie kolidowało z adresami ze sobą. Pociągnąć pociągnie, ale sam oopenvpn nie jest wydajny więc nie spodziewaj się nie wiadomo czego.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

9 (edytowany przez encholex 2020-12-31 00:48:46)

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Witam ponownie,

Po kilku próbach muszę znów zawrócić głowę z dodatkowym rozwiązaniem.
Na Mi3G jest taka konfiguracja jak wyżej..
Ale dodatkowo na obu wolnych obecnie gniazdach LAN potrzebuję puścić tagowanym obydwa vlany..czyli niejako to co wchodzi mi wan'em do routera, puścić też na te obydwa wolne gniazda żeby poszło sobie dalej powerlinem.
Obecna konfiguracja:
network - konfiguracja z już nachrzanioną sekcją lan, bo coś se próbowałem, działało po zastosowaniu wszystko pięknie, ale po restarcie zniknął internet na wszystkich wifi puszczonych tutaj i router przestawał być widoczny z wan'u. Teraz nie pamiętam jak było...

config interface 'lan'
    option proto 'static'
    option ipaddr '192.168.1.1'
    option netmask '255.255.255.0'
    option ip6assign '60'
    option ifname 'br-lan'

config interface 'vlan2'
    option type 'bridge'
    option ifname 'eth0.2'
    option proto 'static'
    option ipaddr '10.20.0.2'
    option netmask '255.255.255.0'

config interface 'vlan3'
    option type 'bridge'
    option ifname 'eth0.3'
    option proto 'static'
    option ipaddr '10.10.0.2'
    option netmask '255.255.255.0'

config device 'lan_eth0_1_dev'
    option name 'eth0.1'
    option macaddr

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '6t 3t 2t 1t'
    option vid '2'

config switch_vlan
    option device 'switch0'
    option vlan '3'
    option ports '6t 3t 2t 1t'
    option vid '3'

sekcja firewall jak wyżej..
Mam pytanie jeszcze odnośnie firewalla, bo gdzieś tam mam podejrzenie że vlan'y się widzą. Owszem nie są dostępne, ale skaner sieci już urządzenia w drugim vlanie widzi...czy w tym urządzeniu może być problem ? Ogólnie to chciałbym zrozumieć co oznacza każda reguła w tych zapisach

config zone
        option name vlan2
        list network vlan2
        option input ACCEPT
        option output ACCEPT
        option forward ACCEPT

config zone
        option name vlan3
        list network vlan3
        option input ACCEPT
        option output ACCEPT
        option forward ACCEPT

Gdzieś tam też korci mnie zapytać o vpn'a który ma w obsłudze coś szybszego niż openvpn...moze wireguard...jeżeli tak,  to na jakim najtańszym sprzęcie da się to mieć, bo mam norda, ale nie ma on jako tako wireguarda dla openwrt...

10

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

option ifname 'br-lan' w sekcji lan jest źle. Nie ma czegoś takiego. To nazwa bridge który dopiero powstaje z sekcji jeżeli jest bridgem.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

11 (edytowany przez encholex 2020-09-02 17:12:26)

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Cezary napisał/a:

option ifname 'br-lan' w sekcji lan jest źle. Nie ma czegoś takiego. To nazwa bridge który dopiero powstaje z sekcji jeżeli jest bridgem.

Podziałało...i rzeczywiście gdzieś podczas błądzenia z ustawieniami w którymś momencie był bridge..ale czemu pozostała ta część tego nie wiem.

Wracam do wcześniejszego pytania:

encholex napisał/a:

Witam ponownie,

Ostatnio jak mi pomagałeś przy tym AP miałem drugiego R3G zrobionego według tutoriala z NordVPN w innej lokalizacji i ma on też jedno SSID podpięte do VPN'a. To do niego szedł jeden VLAN z tego tematu...
Ale ostatnio naszła mnie myśl...
Czy ten R3G na którym mam zrobiony tunel do NordVPN jest w stanie pociągnąć 2 takie VPN'y oraz jedno połączenie do ISP bez VPN'a ale z uruchomionym dhcp? 
Czyli że ma interfejsy:
1- NordVPN 1 z dhcp
2- NordVPN 2 z dhcp
3- ISP z dhcp
no i przy okazji czy można na tym R3G puścić łącznie 3 SSID do tych trzech interfejsów?
Czy jest taka możliwość w OpenWRT  no i czy ten sprzęt to pociągnie ?

Pozdrawiam !

Teraz byłby to archer c7 v2, ale zanim zacznę się przymierzać, to mam pytanie. Czy idzie zrobić tak, że wejście dla dwóch vpn'ow z norda i czyste ISP może wchodzić jednym gniazdem WAN i rozchodzić się w openwrt ? Jeżeli nie, to czy można to zrobić też jednym wan'em ale tagowanym z 3 vlanami ?  w środku już 3xDHCP +3xSSID na te 3 sieci.
Nadal chcę zrobić na jednym urządzeniu 2xVPN z norda i czysty ISP wraz z 3xSSID do tych trzech sieci+wyprowadzenie jednym tagowanym lan'em na inne urządzenie z openwrt gdzie będzie 3xSSID i również wyjście tagowanym lanem z vlanami. Jest to do zrobienia ?

12

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Jak zrobisz tam będziesz miał. Tuneli vpn możesz zrobić ile chcesz, później tylko musisz zrobić odpowiedni routing żeby to rozdzielić tak jak chcesz. Śmiało.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

13

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Witam ponownie,

Chwilami mam chwilę, także chciałbym zrobić to o czym wcześniej pisałem, czyli:
na jednym Mi3G 4 vlany od razu z 4 ssid nich, a w vlanach: 2 odseparowane tunele vpn na openvpn z osobnymi dhcp + 2 normalne sieci ale odseparowane od siebie. Wszystko wychodzi na świat jednym wanem do isp, a jednym lanem wychodzą wszystkie cztery vlany trunkiem do drugiego urządzenia z konfiguracją powyżej...
Czy da się to zrobić ?
do robienia vpnow są tutoriale, ale ja zielony z sieci i jasne że to zrobiłem, ale ciekawi mnie co się stanie jak dołożę drugiego vpna...tun mam już zajęte...jak to zrobić żeby wszystkie 4 vlany wychodziły nie trunkowanym wanem do isp ? pewnie nic nie wybuchnie, ale jak to zrobić ?

14

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Po prostu będzie drugi vpn. Możesz zrobić ile chcesz byle by ci zasobów routera starczyło.
vlany robisz na lanie, na wanie wyjdzie to już normalnie. Tak po prostu, nic nie ruszaj po stronie wanu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

15 (edytowany przez encholex 2020-12-21 12:59:49)

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

z tymi vpnami to chodziło mi czy oba do tun0?  ja w sumie nie wiem co to ten tun0 tak samo jak eth wink
to teraz pierwszy strzał na szybko nabaźgrany. Beznadzieja, ale wyjdzie tu poziom wiedzy na szczęście wink   czerwony pisak w rękę i do dzieła.

config interface 'lan'
    option type 'bridge'
    option ifname 'eth1.1'
    option proto 'static'
    option netmask '255.255.255.0'
    option ip6assign '60'
    option ipaddr '10.0.0.1'

config interface 'wan'
    option ifname 'eth0.2'
        option force_link '1'
        option proto 'dhcp'
        option peerdns '0'
        list dns '8.8.4.4'
        list dns '103.86.99.100' 

config interface 'vlan1'
    option type 'bridge'
    option ifname 'eth0.2'
    option proto 'static'
    option ipaddr '10.10.0.1'
    option netmask '255.255.255.0'

config interface 'vlan1'
    option type 'bridge'
    option ifname 'eth0.3'
    option proto 'static'
    option ipaddr '10.20.0.1'
    option netmask '255.255.255.0'

config interface 'vlan3'
    option type 'bridge'
    option ifname 'eth0.4'
    option proto 'static'
    option ipaddr '10.30.0.1'
    option netmask '255.255.255.0'

config interface 'vlan4'
    option type 'bridge'
    option ifname 'eth0.5'
    option proto 'static'
    option ipaddr '10.40.0.1'
    option netmask '255.255.255.0'


config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '2 3 4 5 0t'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '1 6t'

config interface 'nord_1_tun'
        option proto 'none'
        option ifname 'tun0'

config interface 'nord_2_tun'
        option proto 'none'
        option ifname 'tun1'

na pewno o czymś zapomniałem, ale wykorzystuję obecność...

16 (edytowany przez Cezary 2020-12-21 13:14:43)

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Nie, drugi na tun1, robisz po prostu dwie instancje vpn, o różnych interfejsach, różnej adresacji, itd.

Nie robisz vlanów - masz eth0.3 ale go nie zrobiłeś.

Zanim cokolwiek zaczniesz - nie rób wszystkiego na raz. Po kolei, osobno vpn, osobno podział sieci itd.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

17 (edytowany przez encholex 2020-12-24 00:02:48)

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Po zastosowaniu nagle nigdzie nie ma neta i za nic nie mogę się dostać do routera...błędów pewnie mnóstwo, ale już nie wiem gdzie szukać... Wszystko jest ok póki nie skonfiguruję i uruchomię choćby jednego OpenVPN..
Mógłbyś to przejrzeć ?

NETWORK

config interface 'lan'
    option type 'bridge'
    option ifname 'eth0.1'
    option proto 'static'
    option netmask '255.255.255.0'
    option ip6assign '60'
    option ipaddr '10.0.0.1'

config interface 'wan'
    option ifname 'eth0.2'
    option proto 'dhcp'
        option force_link '1'
        option peerdns '0'
        list dns '8.8.4.4'
        list dns '8.8.8.8' 

config interface 'LAN2'
    option proto 'static'
    option ifname 'eth0.3'
    option type 'bridge'
    option netmask '255.255.255.0'
    option ipaddr '10.10.0.1'

config interface 'VPN_1'
    option proto 'static'
    option ifname 'eth0.4'
    option type 'bridge'
    option netmask '255.255.255.0'
    option ipaddr '10.20.0.1'

config interface 'VPN_2'
    option proto 'static'
    option ifname 'eth0.5'
    option type 'bridge'
    option netmask '255.255.255.0'
    option ipaddr '10.30.0.1'

config interface 'nord_1_tun'
        option proto 'none'
        option ifname 'tun0'

config interface 'nord_2_tun'
        option proto 'none'
        option ifname 'tun1'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option vid '1'
    option ports '6t 2'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option vid '2'
    option ports '6t 1'

config switch_vlan
    option device 'switch0'
    option vlan '3'
    option vid '3'
    option ports '6t 3'

config switch_vlan
    option device 'switch0'
    option vlan '4'
    option vid '4'
    option ports '6t'

config switch_vlan
    option device 'switch0'
    option vlan '5'
    option vid '5'
    option ports '6t'

DHCP

config dnsmasq
    option domainneeded '1'
    option boguspriv '1'
    option filterwin2k '0'
    option localise_queries '1'
    option rebind_protection '1'
    option rebind_localhost '1'
    option local '/lan/'
    option domain 'lan'
    option expandhosts '1'
    option nonegcache '0'
    option authoritative '1'
    option readethers '1'
    option leasefile '/tmp/dhcp.leases'
    option resolvfile '/tmp/resolv.conf.auto'
    option nonwildcard '1'
    option localservice '1'
    list rebind_domain 'free.aero2.net.pl'

config dhcp 'lan'
    option interface 'lan'
    option leasetime '12h'
    option dhcpv6 'server'
    option ra 'server'
    option ra_management '1'
    option start '10'
    option limit '20'

config dhcp 'wan'
    option interface 'wan'
    option ignore '1'

config odhcpd 'odhcpd'
    option maindhcp '0'
    option leasefile '/tmp/hosts/odhcpd'
    option leasetrigger '/usr/sbin/odhcpd-update'
    option loglevel '4'

config dhcp 'LAN2'
    option start '100'
    option leasetime '12h'
    option limit '150'
    option interface 'LAN2'

config dhcp 'VPN_1'
    option start '100'
    option leasetime '12h'
    option limit '150'
    option interface 'VPN_1'

config dhcp 'VPN_2'
    option start '100'
    option leasetime '12h'
    option limit '150'
    option interface 'VPN_2'

FIREWALL

config defaults
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option synflood_protect '1'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan'

config zone
    option name 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    option network 'wan'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config include
    option path '/etc/firewall.user'

config zone
    option name 'LAN2'
    option input 'ACCEPT'
    option forward 'REJECT'
    option network 'LAN2'
    option output 'ACCEPT'

config forwarding
    option dest 'wan'
    option src 'LAN2'

config zone
    option name 'VPN1'
    option input 'ACCEPT'
    option forward 'REJECT'
    option network 'VPN_1'
    option output 'ACCEPT'

config forwarding
    option dest 'wan'
    option src 'VPN1'

config zone
    option name 'VPN2'
    option input 'ACCEPT'
    option forward 'REJECT'
    option network 'VPN_2'
    option output 'ACCEPT'

config forwarding
    option dest 'wan'
    option src 'VPN2'

config zone
        option name 'vpnfirewall_1'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'nord_1_tun'
config forwarding
        option src 'VPN_1'
        option dest 'vpnfirewall_1'

config zone
        option name 'vpnfirewall_2'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'nord_2_tun'
config forwarding
        option src 'VPN_2'
        option dest 'vpnfirewall_2'

Trochę wyklikane, trochę wklepane ręcznie. Mam jeszcze pytanie odnośnie firewalla, czy tak jak jest, gwarantuje mi żeby sieci się nie widziały ?

18 (edytowany przez encholex 2020-12-24 11:47:48)

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

poddaję się..
dopóki nie dodam tun 0 i 1 jest wszystko ok. Mam 4 sieci z różną adresacją, po wifi też jest ok, ale jak dodam tun0 i 1 do vpn_1 i vpn_2 to nic nie działa...nie mogę się dostać do routera, nie przydziela adresów jak i sztywno też głucho...nawet wifi przestaje rozglaszac

19

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Cezary napisał/a:

Nie, drugi na tun1, robisz po prostu dwie instancje vpn, o różnych interfejsach, różnej adresacji, itd.

Nie robisz vlanów - masz eth0.3 ale go nie zrobiłeś.

Zanim cokolwiek zaczniesz - nie rób wszystkiego na raz. Po kolei, osobno vpn, osobno podział sieci itd.

Ale vlany potrzebuję żeby puścić je dalej do switcha...
Skoro nie tu, to gdzie mam je zrobić skoro wszystkie 4 "sieci" chcę puścić jednym rj45?

20

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Tzn docelowo masz je zrobić. Tylko że wtedy nie pokazałeś ich w konfigu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

21 (edytowany przez encholex 2020-12-25 16:10:10)

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

To co teraz zrobić z tej konfiguracji w poście 17...bo jak tylko dodałem tun0 i tun1 to dętka...bez tun 0 i tun 1 wszystko działa...podejrzewam że pewnie w firewallu coś nie tak, a jego to nie kumam...
post 17 i 18
Jakaś wskazówka ?

22

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Gdzie dodajesz tun0 i tun1? Masz przeciez już je w konfigu to gdzie dodajesz?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

23 (edytowany przez encholex 2020-12-26 10:47:49)

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Cezary napisał/a:

Gdzie dodajesz tun0 i tun1? Masz przeciez już je w konfigu to gdzie dodajesz?

Ten wyżej to jest konfig który właśnie nie działa...
Po dodaniu właśnie wszystkiego co związane z vpn'ami:

NETWORK

config interface 'nord_1_tun'
        option proto 'none'
        option ifname 'tun0'

config interface 'nord_2_tun'
        option proto 'none'
        option ifname 'tun1'

FIREWALL

config zone
        option name 'vpnfirewall_1'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'nord_1_tun'
config forwarding
        option src 'VPN_1'
        option dest 'vpnfirewall_1'

config zone
        option name 'vpnfirewall_2'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'nord_2_tun'
config forwarding
        option src 'VPN_2'
        option dest 'vpnfirewall_2'

oraz plików do /etc/openvpn  i wszystkiego według tutoriala z norda....
router startuje...dioda jest na niebiesko, ale ani nie nadaje wifi, ani nie da się do niego dostać, nie przydziela z dhcp ani na sztywno z obu gniazd LAN)...dodanie tych wpisów burzy wszystko.

bez tych tutaj wpisów, wszystko jest ok. Są 4 podsieci, na wszystkich działa net i wifi...tylko nie ma vpn'ów

24

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

encholex napisał/a:
Cezary napisał/a:

Gdzie dodajesz tun0 i tun1? Masz przeciez już je w konfigu to gdzie dodajesz?

Ten wyżej to jest konfig który właśnie nie działa...
Po dodaniu właśnie wszystkiego co związane z vpn'ami:

NETWORK

config interface 'nord_1_tun'
        option proto 'none'
        option ifname 'tun0'

config interface 'nord_2_tun'
        option proto 'none'
        option ifname 'tun1'

FIREWALL

config zone
        option name 'vpnfirewall_1'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'nord_1_tun'
config forwarding
        option src 'VPN_1'
        option dest 'vpnfirewall_1'

config zone
        option name 'vpnfirewall_2'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'nord_2_tun'
config forwarding
        option src 'VPN_2'
        option dest 'vpnfirewall_2'

oraz plików do /etc/openvpn  i wszystkiego według tutoriala z norda....
router startuje...dioda jest na niebiesko, ale ani nie nadaje wifi, ani nie da się do niego dostać, nie przydziela z dhcp ani na sztywno z obu gniazd LAN)...dodanie tych wpisów burzy wszystko.

bez tych tutaj wpisów, wszystko jest ok. Są 4 podsieci, na wszystkich działa net i wifi...tylko nie ma vpn'ów

Pewnie dla Ciebie to coś oczywistego...no ale wskazówka jakaś...cokolwiek

25

Odp: Xiaomi R3G z OpenWRT - VLAN'y + SSID

Podłącz kabel szeregowy to się dowiesz co się dzieje z systemem. Niestety inaczej nie jesteś w stanie dowiedzieć się dlaczego system umiera po włączeniu vpn bo tego po prostu nie widzisz.

Przywróć konfigurację domyślą i zrób tyko jeden vpn i zobacz czy to będzie działać.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.