No właśnie, że zrobiłem tagowany bo byłem pewien, że na tym to polega wydzielenie portu i nie ma innej możliwości aby to zrobić inaczej. Ten wydzielony port to LAN1. Aktualnie wyglda to jak widać.

Jeśli podepnę się pod WAN to nie mam możliwości dostania się do panelu po kablu.

Dzieki, faktycznie to rozwiazało problem. Nie bawiłem się wcześniej VLAN-ami więc myślałem, że aby izolować port musi być ustawiony na tagged. Teraz podpinając nowy router pod WAN jest połączenie z internetem. Zarówno w interfejsie jak i na w nowym routerze mam włączone DHCP.

Jest szansa abym jednostronnie miał wejście do tej podsieci z poziomu swojej sieci? Teraz chcąc dostać się do tego routera muszę wychodzić na zewnątrz aby złapać Wi-Fi Ewentualnie mógłbym jeszcze przekierować port i wbijać po zewnętrzym IP ale nie wiem czy to dobry pomysł. Gdzieś słyszałem, że komunikacja między dwiema sieciami wymaga dodatkowego routera, który spina obie. Możesz potwierdzić?

Właśnie poszedłem podłączyć się ze smartfonem do podsieci aby sprawdzić czy na pewno wszytsko działa i okazuje się, że..mam wejście na serwer FTP, który znajduje się w mojej głównej sieci czyli w praktyce wychodzi na to, że separacja z poziomu podsieci nie działa.

AP, którego konfigurację podałem w poprzenim poście tak naprawdę był routerem testowym, który mam spięty kablem z głównym routerem. Tam wszystko wydawało się działać i nie widziałem urządzeń z mojej głównej sieci. Docelowo jednak tą podsieć potrzebuje uruchomić na routerze, który pracuje w trbie client - odbiera syganał po radiu z AP w domu i przekazuje na kabel.

Skonfigurowałem tam wszystko analogicznie tak jak wcześniej na routerze testowym ale początkowo internet nie działał. Ruszyło dopiero gdy w interfejsie "REPEATER_BRIDGE" dodałem nowo utworzony interfejs "Guest" - wtedy internet zadziałał no ale teraz okazuje się, że podsieć nie ma separacji sieci. Co ciekawe gdy próbuję łączyć się z głównej sieci do podsieci wejścia na router 192.168.1.1 brak. Da się to jakoś obejść?

A nie forwardg lan < > Guest? Wcześniej testowaem to na AP (192.168.0.2) na którym nie korzystam z WAN-u. WAN-u używam tylko w routerze tworzącym podsiec 192.168.1.1 (no i oczywiście głównym). Wrzucam dokładny schemat mojej sieci.

Jeśli wywalę Guest z interfejsu "REPEATER_BRIDGE" to internet w podsieci nie działa.

Skanując otoczenie w podsieci co prawda nie wyświetla żadnych urządzeń z głownej sieci ale wbijajac bezpośrednio adres serwera FTP czy po smb łączy się bezporoblemowo. Tak samo jak np. z głównym routerem 192.168.0.1 to jest normalne?

W jaki sposób modyfukuje się te strefy w GUI? W interfejsie Guest od VLANu chce zostawić tylko lan + Guest. W polu --custom-- wpisuje te nazwy po przecinku ale nie przyjmuje tych ustawień.

Nie. Wcześniej testowałem to na AP 192.168.0.2 - tam kabel mam wpięty w port LAN. DHCP wyłączone, więc jak "router za routerem" ?

Ten 192.168.0.1 to router główny z włączonym DHCP, który jest wpięty do modemu i ma wyjście na świat. Jest on spięty przez LAN z 192.168.0.2, kóry robi za AP.

192.168.0.3 do tej pory pracował w trybie client. To osobny budynek i jakby drugi segment mojej sieci. Nie mam możliwości spięcia tej cześci sieci kablem. Radio na 192.168.0.3 tylko odbiera sygnał i przekazuje na kabel.
W LAN mam/miałem tam do tej pory wpięte jedno urządzenie. Teraz dodatkowo wydzieliłem jeden port dla VLAN. Na drugim końcu kabla mam router wpięty od strony WAN, który tworzy osobną podsieć (a raczej głównie udostepnia internet).

Testując wczoraj w domu na AP 192.168.0.2 firewall miałem właśnie skonfigurowany tak jak chce to zrobić teraz na 192.168.0.3 czyli interfejs Lan+Guest. Izolacja sieci przy takiej konfiguracji działała poprawnie.

W jaki sposób mogę edytować ten firewall-zone w interfejsach? Wolałbym to zrobić w luci bo nie jestem aż tak zaawansowny Ale nawet chcąc edydować to bezpośrednio w etc/config to nie widzę nigdzie tych ustawień w pliku network ani firewall. Mam to wyklikać w Firewall - Zone ? Mam trochę obawy eksperymentować z ustawieniami przy tym AP bo już nie raz zdarzało się, że traciłem połączenie przez jakieś zmiany w konfuguracji i później chcąc je odzyskać musiałem specjalnie przynościć go do domu i popdpinać kabelem bo nie było innego sposobu aby się do niego dostać (Stąd najpierw robiłem konfigurację na testowym AP).

I w taki sam spoób mam podłączone teraz. Spójrz na post "3" gdzie wrzuciłem screen - z jednej strony był wpięty do LAN1 (wydzielonym przez VLAN) a z drugiej pod WAN. W routerze tworzącym podsieć w ogóle nic nie grzebałem. Jedyne co zmieniłem to wykonałem analogiczną konfigurację ale tym razem na AP 192.168.0.3 Tutaj cała różnica polega na tym, że on działa w trybie client ale myślałem, że to będzie bez różnicy.

Router z podsieci dostaje takie ustawienia na WAN-ie ale internet nie działa. Próbowałem kilkuktornie restartując oba.

Jeśli natomiast w interfejsie REPEATER_BRIDGE na 192.168.0.3 w "Relay between network" dodam "Guest", internet działa:

A działa dlatego, że jak zauważyłem WAN w podsieci dostaje wówczas adresację z mojej głównej sieci. Nic więc dziwnego, że jednocześnie mam wejście na serwer FTP itp.

VLAN tym razem skonfigurowany pod LAN3

Firewall na tym cliencie wygląda tak

- masz głowny router z 192.168.0.1 na lanie
tak (dokładnie to jest brama wpięta do modemu. Działa też DHCP)

- masz głupiego AP z 192.168.0.2 na lanie podłączonego kablem lan-lan do .0.1
tak

- masz bezprzewodowego klienta z 192.168.1.1 na lanie i chcesz żeby on łączył się do .0.2 (czy .0.1?) i robił oddzielną sieć, nie mając jednocześnie dostępu do podsieci 192.168.0.x.
nie

Mam bezprzewodowego klienta z 192.168.0.3 na lanie. Ma od 4 porty LAN. LAN 3 wydzieliłem i wpiąłem router 192.168.1.1
Z drugiej strony 192.168.1.1 jest wpięty od WAN-u (czyli lan3-wan). Po podłączeniu 192.168.1.1 uzyskuje na WAN-ie:

Adress: 172.16.0.138
Netmask: 255.240.0.0
Gateway: 172.16.0.1

Czyli to co mam mam ustawione w VLAN-ie ale internet w 192.168.1.1 nie działa.

Jestem pewien, że ten bezprzewodowy klient coś musi blokować bo tak jak mówiłem gdy wcześniej testowałem na 192.168.0.2 internet działał i jednocześnie była izolazcja a nic nie zmieniałem w tym 192.168.1.1

Ten klient w ogóle zachowuje się trochę dziwnie. Konfigurowałem go kiedyś wg. poniższej instrukcji i tak sobie działa, tyle, że jeśli np. skanuje swoją sieć to skaner jak gdyby nie widzi adresów mac za nim i wyświetla mi wszytsko pod adresem mac D-Linka. To co zaznaczyłem na screenie to tak naprawdę ten client z jednym urządzeniem wpiętym w LAN (teraz dodatkowo wpiety jest ten  nowy router tworzący podcieć) ale jak widać mac jest zduplikowany i wyświetla się jako D-Link. Luci tego AP mam dostepnie zarówno pod 192.168.0.3 jak i teraz 192.168.0.112

https://openwrt.org/docs/guide-user/net … figuration

Wszytskie interfesy w tym cliencie wyglądają tak:

Nie wiem czy przypadkiem ten "option gateway" w interfejsie Guest nie powoduje probemów..
Na VLAN-ie powinien być adres głównej bramy?

To jak to możliwe, że wcześniej testując na 192.168.0.2 używałem tej samej klasy i działało? Poza tym interfejs Guest od VLANu używa przecież innej klasy (172.16.0.1) niż sieć główna. Myślę, że gdyby był jakiś konflikt z adresacją to DHCP na 192.168.1.1 nie przypisywałoby adresu na WAN-ie a dostaje:

Przyznam, że sposób samej adresacji to dla mnie czarna magia..Mam na myśli głównie to, że dla danej adresacji musi być ustawiona odpowiednia maska i nie bardzo wiem w jaki sposób jedno jest powiązane z drugim. Do tej pory korzystałem wszędzie ze schematu 192.168.0.1 + maski 255.255.255.0 i wystarczyło.

Jeśl masz sugestię którą adresację powinienem zmienić na jaką to mogę spróbować.

PS: Pomyślałem jeszcze, że przyczyną może być to, że nie zatrzymałem interfejsu Guest na tym testowym routerze 192.168.0.2, który korzystał z interfejsu o tym samym adresie VLAN (172.16.0.1). Przed chwilą zatrzymałem ale niczego to nie zmieniło. Internetu w podsieci 192.168.1.1 nadal brak.

Czyli co musiałbym fzycznie wstawić jeszcze jeden router za repeater-em żeby na dobre odseparować?

Jeśli zmiana adresacji i tak nie rozwiąże problemu to nie będę zmieniał bo działa tak od ponad roku i nie zauważyłem żadnych problemów. Dla mnie po prostu taka adresacja jest bardziej przejrzysta. Koncówka "1" w adresie routera oznacza główny router i później kolejno od tego który jest najbliżej głównego do tego który jest najdalej. Jesli teraz zmienie całą adresację to znowu nie będe wiedział co jest co

W tej chwili skonfiguraowałem podsieć tak, że gateway wskazuje interfejs VLAN-u 172.16.0.1 Internet w podsieci działa ale oczywiście musi być zaznaczone Guest w REPEATER_BRIDGE no i można z podsieci wbijać na urządzenia z mojej sieci.

Zakładając, że ktoś nie zna konfiguracji mojej sieci i adresów poszczegółnych urządzeń to jaka jest szansa ich wykrycia z poziomu takiej niby "izolowanej sieci"?

Tak właśnie chciałem zrobić ale znowu nie jestem w stanie poprawnie skonfigurować sieci gościnnej WiFi na AP Skonfigurowałem wszystko wg. poradnika z poniższego linku. DHCP działa, podłączając się klientem do wydzielonej sieci, łączy się i przypisuje lokalne IP ale internet za nic nie działa.

Główna różnica jest taka, że poradnik zakłada, że główna sieć działa z adresacją: 192.168.1.xxx a ja używam 192.168.0.1 (Tutaj próbowałem różnych adresacji jak np. 192.168.1.0, 192.168.1.1 z maską 255.255.255.0).

Kolejna mniej istota różnica to konfiguracja reguł firewalla (punkt 4). Poradnik pokazuje aby "Source MAC address" ustawić na "any" - u mnie prawdopodobnie ze względu na różnice w wersjach oprogramowania nie ma takiej możliwości. Mogę tylko wybrać adres MAC z listy więc tutaj nie zmieniam nic.

Próbowałem też w ogóle z pominięciem tych regół aby dojść co powoduje problem ale i tak nie działa.

https://openwrt.org/docs/guide-user/net … ifi_dumbap

To nie działa. Jeśli ręcznie edytuje pliki dodając na końcu wpisy, które zaznaczyłeś pogrubioną czcionką w tej instrukcji to później LuCi (21.02.0) krzyczy, że jest błąd w konfiguracji i zmienia mi konfigurację network jak poniżej.

dom_gościnna jest widoczna dla urządzeń ale internet oczywiście nie działa i za nic nie mogę uzyskać poprawnej konfiruracji.
Próbowałem też tego ale efekt ten sam czyli brak internetu w sieci gościnnej.
https://openwrt.org/docs/guide-user/net … ifi_dumbap

Jako, że temat zakładałem dość dawno i mam już drugi repeater krótko przypomnę co chce uzyskać:

1. Mam główny router z fabrycznym oprogramowaniem.
2. Mam głupi AP z OpenWrt spięty kablem z głównym routerem na którym potrzebuję zrobić gościnną sieć Wi-Fi na do której podepnę repeater (pierwotnie plan był taki, aby zrobić to bezpośrednio na repeaterze poprzez wydzielenie portu VLANem).

config interface 'loopback'
    option device 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fde3:fbaa:58a7::/48'

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'eth0.1'

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option netmask '255.255.255.0'
    option ip6assign '60'
    option gateway '192.168.0.1'
    list dns '8.8.8.8'
    option ipaddr '192.168.0.2'

config interface 'wan'
    option device 'eth0.2'
    option proto 'dhcp'

config interface 'wan6'
    option device 'eth0.2'
    option proto 'dhcpv6'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option vid '1'
    option ports '6t 0'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option vid '2'
    option ports '6t 4'

config switch_vlan
    option device 'switch0'
    option vlan '3'
    option vid '3'
    option description 'guest'
    option ports '6t 1'

config device
    option name 'br-vpn'
    option type 'bridge'
    list ports 'tun0'

config interface 'wifi2'
    option proto 'static'
    option ipaddr '172.16.0.2'
    option netmask '255.240.0.0'
    option device 'br-wifi2'

config device
    option name 'br-wifi2'
    option type 'bridge'
    list ports 'eth0.7'

config wifi-device 'radio0'
    option type 'mac80211'
    option hwmode '11a'
    option path 'pci0000:00/0000:00:00.0/0000:01:00.0'
    option cell_density '0'
    option htmode 'HT40'
    option channel 'auto'

config wifi-device 'radio1'
    option type 'mac80211'
    option hwmode '11g'
    option path 'platform/10180000.wmac'
    option htmode 'HT40'
    option cell_density '0'
    option channel '8'

config wifi-iface 'default_radio1'
    option device 'radio1'
    option mode 'ap'
    option key '12345ABc'
    option ssid 'INEA 41'
    option encryption 'psk2'
    option network 'lan'

config wifi-iface
    option device 'radio1'
    option network 'wifi2'
    option mode 'ap'
    option ssid 'dom_goscinna'
    option encryption 'none'

config dnsmasq
    option domainneeded '1'
    option boguspriv '1'
    option filterwin2k '0'
    option localise_queries '1'
    option rebind_protection '1'
    option rebind_localhost '1'
    option local '/lan/'
    option domain 'lan'
    option expandhosts '1'
    option nonegcache '0'
    option authoritative '1'
    option readethers '1'
    option leasefile '/tmp/dhcp.leases'
    option resolvfile '/tmp/resolv.conf.d/resolv.conf.auto'
    option nonwildcard '1'
    option localservice '1'
    option ednspacket_max '1232'

config dhcp 'lan'
    option interface 'lan'
    option start '100'
    option limit '150'
    option leasetime '12h'
    option dhcpv4 'server'
    option dhcpv6 'server'
    option ra 'server'
    list ra_flags 'managed-config'
    list ra_flags 'other-config'
    option ignore '1'

config dhcp 'wan'
    option interface 'wan'
    list ra_flags 'none'

config odhcpd 'odhcpd'
    option maindhcp '0'
    option leasefile '/tmp/hosts/odhcpd'
    option leasetrigger '/usr/sbin/odhcpd-update'
    option loglevel '4'

config dhcp 'guest'
    option interface 'guest'
    option start '100'
    option limit '150'
    option leasetime '12h'
    list ra_flags 'none'

config dhcp 'workshop'
    option interface 'workshop'
    option start '100'
    option limit '150'
    option leasetime '12h'
    list ra_flags 'none'

config dhcp 'Guest'
    option interface 'Guest'
    option start '100'
    option limit '150'
    option leasetime '12h'
    list ra_flags 'none'

config dhcp 'LAN_2'
    option interface 'LAN_2'
    option start '100'
    option limit '150'
    option leasetime '12h'
    list ra_flags 'none'

config dhcp 'wifi2'
    option interface 'wifi2'
    option start '100'
    option limit '150'
    option leasetime '12h'
    list ra_flags 'none'

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list network 'lan'

config zone
    option name 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    list network 'wan'
    list network 'wan6'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config rule
    option name 'Support-UDP-Traceroute'
    option src 'wan'
    option dest_port '33434:33689'
    option proto 'udp'
    option family 'ipv4'
    option target 'REJECT'
    option enabled 'false'

config include
    option path '/etc/firewall.user'

config zone
    option name 'vpn'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option masq '1'

config forwarding
    option src 'lan'
    option dest 'vpn'

config zone
    option name 'vpn'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option masq '1'

config forwarding
    option src 'vpn'
    option dest 'lan'

config zone
    option name 'wifi2'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'