• Zarejestrowany: 2014-06-03
  • Posty: 81

Temat: Archer C2: VLANy i bridge

Cześć,

Moja aktualna konfiguracja sieci wygląda tak:

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd32:1c75:99df::/48'

config interface 'lan'
        option type 'bridge'
        option proto 'dhcp'
        option ifname 'eth0.1'

config device 'lan_eth0_1_dev'
        option name 'eth0.1'
        option macaddr 'e8:94:f6:e0:b5:bf'

config device 'wan_eth0_2_dev'
        option name 'eth0.2'
        option macaddr 'e8:94:f6:e0:b5:c0'

config switch
        option name 'switch1'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch1'
        option vlan '1'
        option ports '1 2 3 4 6t'

config switch_vlan
        option device 'switch1'
        option vlan '2'
        option ports '0 6t'

Działa to jako "Dumb AP" i ogólnie jest ok, ale chciałbym jeszcze użyć portu WAN w ramach switcha. No niby proste. Da się wyklikać w LuCI albo zmienić podany plik i po zatwierdzeniu zwykle działa, ale po kilku(nastu) minutach router przestaje odpowiadać na pinga sad

Opcja 1:

config interface 'lan'
        option type 'bridge'
        option proto 'dhcp'
        option ifname 'eth0.1 eth0.2'

Opcja 2:

config switch_vlan
        option device 'switch1'
        option vlan '1'
        option ports '0 1 2 3 4 6t'

i vlan '2' do usunięcia.

Nie wiem dlaczego tracę kontakt, ale to co przychodzi mi do głowy (może zupełnie błędnie) to, że po zmostkowaniu urządzenie zgłasza mi się czasami z MACiem e8:94:f6:e0:b5:bf a innym razem z e8:94:f6:e0:b5:c0 i w tablicy ARP mam jakieś bzdury i nie mogę nawiązać kontaktu. Jeżeli nie to jest problemem, to nie wiem o co chodzi sad

BTW: Skąd w konfiguracji są linie:

config device 'lan_eth0_1_dev'
        option name 'eth0.1'
        option macaddr 'e8:94:f6:e0:b5:bf'

config device 'wan_eth0_2_dev'
        option name 'eth0.2'
        option macaddr 'e8:94:f6:e0:b5:c0'

Pytam z dwóch powodów:

1) Jak kopiowałem sobie konfigurację (przez LuCI) pomiędzy dwoma C2, to kopiowało mi też te MACi. Jak przywrócić oryginalne? Skasować te wpisy i reboot?

2) W temacie opisanego na początku problemu, czego mogę się spodziewać, jeżeli wpiszę do konfiguracji:

config device 'wan_eth0_2_dev'
        option name 'eth0.2'
        option macaddr 'e8:94:f6:e0:b5:bf'

czyli wpisując do eth0.2 taki sam MAC jak w eth0.1...

Pozdrawiam,
Marcin

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,895

Odp: Archer C2: VLANy i bridge

1. System wie skąd z flash pobrać mac adres i robi te wpisy podczas uruchomienia. W /etc/board.json są, ustaw ręcznie mac adres taki jak był lub przywróć ustawienia domyślne to sam to zrobi (i rezulat będzie taki jak byś ręcznie to ustawił).
2. Nic, po prostu będziesz miał dwa interfejsy o takim samym adresie mac. Pewnie będzie działac, przynajmniej póki są w tym samym bridge.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez gegu

  • gegu
  • Użytkownik
  • Nieaktywny
  • Skąd: Ruda Śląska
  • Zarejestrowany: 2016-12-04
  • Posty: 261

Odp: Archer C2: VLANy i bridge

Ja dodam tylko, że zgodnie z https://openwrt.org/toh/tp-link/archer_c2_ac750, masz tam wspólny switch chip dla wszystkich portów eth. Nie bridge'uj portów, tylko od razu ustaw odpowiedni vlan. Wyczyść te mac adresy i będzie działać. Coś tam jeszcze jest zepsute w konfigu, bo bridge powinien ustawić swój mac adres dla ruchu wychodzącego (chyba, że przepuszcza ruch między portami, to wtedy nie dotyka ramek).

rt-ac56u tomato, 2x wdr3600@16MB/u-boot pepe2k/lede, 2x wt3020f@16MB/e3372s/gargoyle/lede, 3x wr841n@16MB/64MB/u-boot pepe2k/lede, rt-n18u tomato, 2x rb750gr2 ROS, 3x rb750gr3 ROS, Unifi ap ac lr

4 Odpowiedź przez marcinkk

  • Zarejestrowany: 2014-06-03
  • Posty: 81

Odp: Archer C2: VLANy i bridge

Cezary napisał/a:

1. System wie skąd z flash pobrać mac adres i robi te wpisy podczas uruchomienia. W /etc/board.json są, ustaw ręcznie mac adres taki jak był lub przywróć ustawienia domyślne to sam to zrobi (i rezulat będzie taki jak byś ręcznie to ustawił).

Pomysł przywrócenia ustawień domyślnych miałem ... ale już mi się nie chciało hmm Przeczytałem z obudowy, a dokładniej skopiowałem z WLANów, ale teraz już wiem gdzie szukać smile

Zrobiłem tak:

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd32:1c75:99df::/48'

config interface 'lan'
        option type 'bridge'
        option proto 'dhcp'
        option ifname 'eth0.1'

config device 'lan_eth0_1_dev'
        option name 'eth0.1'
        option macaddr 'e8:94:f6:e0:b5:bf'

config device 'wan_eth0_2_dev'
        option name 'eth0.2'
        option macaddr 'e8:94:f6:e0:b5:bf'

config switch
        option name 'switch1'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch1'
        option vlan '1'
        option ports '0 1 2 3 4 6t'

Czyli dodałem "0" do "vlan 1" oraz zmieniłem MAC dla eth0.2 i wygląda, że już działa poprawnie. Bez tej drugiej zmiany były problemy.

gegu napisał/a:

Nie bridge'uj portów, tylko od razu ustaw odpowiedni vlan. Wyczyść te mac adresy i będzie działać. Coś tam jeszcze jest zepsute w konfigu, bo bridge powinien ustawić swój mac adres dla ruchu wychodzącego (chyba, że przepuszcza ruch między portami, to wtedy nie dotyka ramek).

Nie wiem dokładnie co się dzieje ... powinienem Wiresharka odpalić i zobaczyć ... ale bez ruszania tych linii "option macaddr" przez chwilę działało, a po chwili była klapa. Zwykle po restarcie, ale też tak po prostu po "kilku chwilach".

Dzięki Panowie za rady smile

5 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Archer C2: VLANy i bridge

gegu napisał/a:

Ja dodam tylko, że zgodnie z https://openwrt.org/toh/tp-link/archer_c2_ac750, masz tam wspólny switch chip dla wszystkich portów eth. Nie bridge'uj portów, tylko od razu ustaw odpowiedni vlan. Wyczyść te mac adresy i będzie działać. Coś tam jeszcze jest zepsute w konfigu, bo bridge powinien ustawić swój mac adres dla ruchu wychodzącego (chyba, że przepuszcza ruch między portami, to wtedy nie dotyka ramek).

Jeśli chodzi o tą część zdania w nawiasie to.. napisałeś zbyt ogólnie i warto doprecyzować.
AccessPoint z Openwrt nie dotyka ramek, jeżeli ramki przechodzą między portami switcha ale jednocześnie między klientami w tej samej sieci LAN.
Ale wystarczy, że inny klient np. komp z Windowsem ustawi sobie gateway i DNS na tego AccessPointa i już ten biedaczek musi żonglować adresami w ramkach, czyli dotyka ramek.

Ja też czytając różne rzeczy w Internetach, przyjąłem do wiadomości, że wszystko co jest na switchu to leci sobie przez niego bezkarnie, ale jak się okazało... jednak nie wszystko.
Światło rzucił @c#Hunter - https://eko.one.pl/forum/viewtopic.php? … 30#p246330

I w ten sposób bez wiedzy administratora sieci, zwykły klient może zmusić AP do używania jego firewalla oraz zaprzęgnąć do pracy w podmianę MAC-ów w pakietach wychodzących big_smile

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,895

Odp: Archer C2: VLANy i bridge

Znów precyzując - obsługuje bo pakiet jest do niego skierowany. Jawnie i "świadomie". I tylko dlatego, nie że sam  z siebie to robi.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Archer C2: VLANy i bridge

Cezary, napisałeś odpowiedź jakbym miał pretensje do Openwrt albo do Ciebie smile
...ustawi sobie... to wiadomo, że nie zostało mu podane za pośrednictwem AP-ka. Tylko klient sam sobie ustawił ŚWIADOMIE I Z PREMEDYTACJĄ big_smile

mar_w napisał/a:

...
Ale wystarczy, że inny klient np. komp z Windowsem ustawi sobie gateway i DNS na tego AccessPointa i już ten biedaczek musi żonglować adresami w ramkach, czyli dotyka ramek.

...może zmusić... to oznacza, że AP normalnie nie chce tego robić ale został ZMUSZONY, więc pokornie robi...

mar_w napisał/a:

...
I w ten sposób bez wiedzy administratora sieci, zwykły klient może zmusić AP do używania jego firewalla oraz zaprzęgnąć do pracy w podmianę MAC-ów w pakietach wychodzących big_smile

Ale na szczęście taki AP-ek może w takim przypadku pokazać środkowy palec klientowi i odciąć go od Internetu, a to boli najbardziej smile

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

8 Odpowiedź przez gegu

  • gegu
  • Użytkownik
  • Nieaktywny
  • Skąd: Ruda Śląska
  • Zarejestrowany: 2016-12-04
  • Posty: 261

Odp: Archer C2: VLANy i bridge

Dokładnie tak, jak pisze Cezary, jeśli kierujesz ruch przez ip APka (warstwa 3.), to korzystasz z  jego reguł routingu/firewalla/czy co tam jeszcze jest ustawione, pytanie tylko po co ww tym przypadku? Możesz to zablokować na AP używając ebtables albo iptables, usuwając ip z bridge'a albo usuwając bramę domyślną na nim (wtedy dalej ruchu nie pośle, bo nie nie będzie wiedział co z nim zrobić). W przypadku autora tego tematu nie było potrzeby dotykać routingu, bo AP miał się zachowywać jak głupi switch (warstwa 2.). Nie pamiętam jak to jest w openwrt, ale wygląda na to, że bridge jest u autora niepotrzebny, (bo dodaje do niego tylko jeden interfejs), chyba, że potrzebuje wpiąć do niego wlana, bo ip do zarządzania tym apkiem może przypiąć do interfejsu eth0.1 zamiast do bridge. Dodatkowo, nie widzę też gdzie w powyżej zacytowanym (pogrubionym) kawałku mojej wypowiedzi napisałem nieprawdę.

rt-ac56u tomato, 2x wdr3600@16MB/u-boot pepe2k/lede, 2x wt3020f@16MB/e3372s/gargoyle/lede, 3x wr841n@16MB/64MB/u-boot pepe2k/lede, rt-n18u tomato, 2x rb750gr2 ROS, 3x rb750gr3 ROS, Unifi ap ac lr

9 Odpowiedź przez mar_w (edytowany przez mar_w 2021-01-04 00:20:23)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Archer C2: VLANy i bridge

gegu napisał/a:

Dokładnie tak, jak pisze Cezary, ....

Dokładnie tak jak pisze Cezary. AP to AP a klient to klient. Kropka.

gegu napisał/a:

...
W przypadku autora tego tematu nie było potrzeby dotykać routingu, bo AP miał się zachowywać jak głupi switch (warstwa 2.)....

To, że miał się zachowywać tak a nie inaczej, to nie znaczy, że pracował w takim stylu do jakiego został zaprogramowany.
Ja też się tego nie spodziewałem, co może zrobić klient, bo nigdy nie robiłem takich akcji, że może lekko przestawić pracę AP-ka, bez zmiany jego konfiguracji big_smile

mar_w napisał/a:
gegu napisał/a:

(chyba, że przepuszcza ruch między portami, to wtedy nie dotyka ramek).

Jeśli chodzi o tą część zdania w nawiasie to.. napisałeś zbyt ogólnie i warto doprecyzować.

gegu napisał/a:

...Dodatkowo, nie widzę też gdzie w powyżej zacytowanym (pogrubionym) kawałku mojej wypowiedzi napisałem nieprawdę.

A ja nie widzę w swojej odpowiedzi, że posądzam Ciebie o pisanie nieprawdy. "Zbyt ogólnie" nie jest równoznaczne z "kłamstwem".
Samo przepuszczanie ramek przez switcha zależy jeszcze od tego, jak są adresowane przez innego KLIENTA. I AP-ek nic z tym nie zrobi, chyba że odetnie "intruza", albo grzecznie będzie żonglował adresami MAC co jest równoznaczne z "dotykaniem ramek" między portami.
Autor opisał tylko AP-ka i nie pokazał nic z innych urządzeń. A miał taką chęć... smile

marcinkk napisał/a:

...Nie wiem dokładnie co się dzieje ... powinienem Wiresharka odpalić i zobaczyć

Jak chcesz to się dowiedz u kogoś "mocniejszego", bo ja odrobiłem tą lekcję ale tylko tcpdumpem więc to się nie liczy smile
Szkoda, że muszę tłumaczyć się ze zdań, które nie powiedziałem/napisałem/.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

10 Odpowiedź przez marcinkk (edytowany przez marcinkk 2021-01-04 18:52:43)

  • Zarejestrowany: 2014-06-03
  • Posty: 81

Odp: Archer C2: VLANy i bridge

mar_w napisał/a:
marcinkk napisał/a:

...Nie wiem dokładnie co się dzieje ... powinienem Wiresharka odpalić i zobaczyć

Jak chcesz to się dowiedz u kogoś "mocniejszego", bo ja odrobiłem tą lekcję ale tylko tcpdumpem więc to się nie liczy smile
Szkoda, że muszę tłumaczyć się ze zdań, które nie powiedziałem/napisałem/.

No troszkę inaczej tcpdump wygląda wink

Mam most pomiędzy eth0.1 oraz wlan0 i wlan1 - działa.

Próbując dodać do tego "zestawu" eth0.2 to wiecznie coś mi wywalało, niezależnie od tego, czy robiłem to modyfikując switcha, czy dodając do mostu (takie dwie metody opisuje Cezary tutaj: https://eko.one.pl/?p=openwrt-vlan w sekcji "Rezygnacja z WAN". Niezależnie od tego, czy LANa miałem w trybie DHCP czy statycznie, to po chwili traciłem kontakt z routerem (ani LuCI ani SSH) ... ale most/switch zdaje się jednak działał, bo klienci po wifi się chyba łączyli (zdaje się i chyba ... bo nie zwracałem na to uwagi, ale w pewnym momencie skorzystałem z wifi i było ok ... tak mi się wydaje).

Od wczoraj, kiedy zrobiłem modyfikację VLANów na switchu ORAZ ustawiłem taki sam adres MAC dla eth0.2 jak dla eth0.1 wszystko działa poprawnie.

11 Odpowiedź przez marcinkk

  • Zarejestrowany: 2014-06-03
  • Posty: 81

Odp: Archer C2: VLANy i bridge

PS. A tak swoją drogą, czy mógłbym kompletnie zrezygnować z eth0.1 i eth0.2 i po prostu używać eth0? W sumie już jest ok i nie potrzebuję tego, ale pytam z ciekawości, czy tak można i jak powinna wyglądać konfiguracja dla takiego przypadku.

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,895

Odp: Archer C2: VLANy i bridge

Sprawdź, czasami działa, ale czy będzie dla tego modelu tego nie wiem.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez marcinkk

  • Zarejestrowany: 2014-06-03
  • Posty: 81

Odp: Archer C2: VLANy i bridge

Zostało mi w /etc/config/network coś takiego:

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fda6:3a7f:d96f::/48'

config interface 'lan'
        option type 'bridge'
        option proto 'dhcp'
        option ifname 'eth0'

config switch
        option name 'switch1'
        option reset '1'
        option enable_vlan '0'

i wydawało się, że jest ok. Ale po kilkunastu minutach użytkownika okazało się, że działa tylko jako AP z jednym portem LAN. Kiedy podłączałem coś do innego portu switcha to albo padała komunikacja wifi, albo komunikacja pomiędzy urządzeniami na kablu.

Ciekawe było to, że pod wifi urządzenie się autoryzowało, wysyłało zapytanie do sewera DHCP, ale nie dostawało odpowiedzi.

14 Odpowiedź przez gegu (edytowany przez gegu 2021-01-11 21:08:09)

  • gegu
  • Użytkownik
  • Nieaktywny
  • Skąd: Ruda Śląska
  • Zarejestrowany: 2016-12-04
  • Posty: 261

Odp: Archer C2: VLANy i bridge

Masz tam dedykowany switch chip i jak usuniesz vlana/y z portów, to właśnie tak się to zachowuje.
Zobacz sekcję switch https://openwrt.org/toh/tp-link/archer_c2_ac750

rt-ac56u tomato, 2x wdr3600@16MB/u-boot pepe2k/lede, 2x wt3020f@16MB/e3372s/gargoyle/lede, 3x wr841n@16MB/64MB/u-boot pepe2k/lede, rt-n18u tomato, 2x rb750gr2 ROS, 3x rb750gr3 ROS, Unifi ap ac lr