• Zarejestrowany: 2012-02-18
  • Posty: 704

Temat: linksys ea8300 - 22.03 - vlan - problem

Potrzebuje jeden z portów lan lub przez wifi (obojętnie) oddać do klienta - > wireguard.

Czy każdy kto się podłączy do np. LAN1 otrzyma połączenie z wireguard (to teraz działa, ale dla całego routera), a chcę sobie wyizolować dla drugiej sieci takie połączenie.

Zrobiłem więc sobie drugą sieć w network i wygląda to tak:

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'eth0'

config interface 'lan'
    option ifname 'eth0.1'
    option device 'br-lan'
    option proto 'static'
    option ipaddr '192.168.1.1'
    option netmask '255.255.255.0'
    option ip6assign '60'

config interface 'lan2'
    option ifname 'eth0.2 wg0'
    option device 'br-lan'
    option proto 'static'
    option ipaddr '192.168.2.1'
    option netmask '255.255.255.0'
    option ip6assign '60'

Rozdzieliłem vlan na 2 sieci w network tak:

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '0t 2 3 4'
   
config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '0t 1'

dhcp wyłączyłem na lan2:

config dhcp 'lan2'
    option interface 'lan2'
    option ignore '1'

w firewall zrobiłem sobie:

config forwarding
    option src        lan2
    option dest        wan

I porty LAN są teraz martwe, można tylko przez wifi się połączyć do routera.

DHCP również nie działa.

Co popsułem i jak poprawić :-)

Zakładam, że albo nie potrzebnie jest 0t albo coś źle nazwałem.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,025

Odp: linksys ea8300 - 22.03 - vlan - problem

config interface 'lan2'
    option ifname 'eth0.2 wg0'
    option device 'br-lan'

To nie jest prawidłowe.

config interface 'lan2'
    option device 'br-lan2'

config device
    option name 'br-lan2'
    option type 'bridge'
    list ports 'eth0.2'
    list ports 'wg0'

I podobnie dla lanu - usuń ifname a dodaj port eth0.1 do odpowiedniej sekcji device wywalając eth0 które tam masz. Nie mieszaj starej składni z nową.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez andrewxxx

  • Zarejestrowany: 2012-02-18
  • Posty: 704

Odp: linksys ea8300 - 22.03 - vlan - problem

Nie hula, ustawiłem tak i nie poszło nadal:

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'eth0.1'

config device
    option name 'br-lan2'
    option type 'bridge'
    list ports 'eth0.2'
    list ports 'wg0'

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option ipaddr '192.168.1.1'
    option netmask '255.255.255.0'
    option ip6assign '60'
    list ports 'eth0.1'

config interface 'lan2'
    option device 'br-lan2'
    option proto 'static'
    option ipaddr '192.168.2.1'
    option netmask '255.255.255.0'
    option ip6assign '60'
    list ports 'eth0.2'
    list ports 'wg0'
   
config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '0t 2 3 4'
   
config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '0t 1'

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,025

Odp: linksys ea8300 - 22.03 - vlan - problem

Wywal ten list ports z sekcji lan i lan2. Ma byc tylko w sekcjach device

Co nie działa? Może jednak switch jest inaczej? Podłącz kabel po port 2 i pokaż swconfig dev switch0 show

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez andrewxxx

  • Zarejestrowany: 2012-02-18
  • Posty: 704

Odp: linksys ea8300 - 22.03 - vlan - problem

Kabel podłączony pod port 2:

root@OpenWrt:~# swconfig dev switch0 show
Global attributes:
        enable_vlan: 1
        enable_mirror_rx: 0
        enable_mirror_tx: 0
        mirror_monitor_port: 0
        mirror_source_port: 0
        linkdown: ???
Port 0:
        mib: Port 0 MIB counters
RxBroad     : 447
RxPause     : 0
RxMulti     : 1469
RxFcsErr    : 0
RxAlignErr  : 0
RxRunt      : 0
RxFragment  : 0
Rx64Byte    : 179
Rx128Byte   : 1010
Rx256Byte   : 287
Rx512Byte   : 246
Rx1024Byte  : 224
Rx1518Byte  : 24
RxMaxByte   : 0
RxTooLong   : 0
RxGoodByte  : 435816
RxBadByte   : 0
RxOverFlow  : 0
Filtered    : 1918
TxBroad     : 490
TxPause     : 0
TxMulti     : 703
TxUnderRun  : 0
Tx64Byte    : 0
Tx128Byte   : 1132
Tx256Byte   : 158
Tx512Byte   : 26
Tx1024Byte  : 113
Tx1518Byte  : 8
TxMaxByte   : 0
TxOverSize  : 0
TxByte      : 222664
TxCollision : 0
TxAbortCol  : 0
TxMultiCol  : 0
TxSingleCol : 0
TxExcDefer  : 0
TxDefer     : 0
TxLateCol   : 0

        pvid: 0
        link: port:0 link:up speed:1000baseT full-duplex txflow rxflow
Port 1:
        mib: Port 1 MIB counters
RxBroad     : 144
RxPause     : 0
RxMulti     : 144
RxFcsErr    : 0
RxAlignErr  : 0
RxRunt      : 0
RxFragment  : 0
Rx64Byte    : 84
Rx128Byte   : 150
Rx256Byte   : 8
Rx512Byte   : 18
Rx1024Byte  : 28
Rx1518Byte  : 0
RxMaxByte   : 0
RxTooLong   : 0
RxGoodByte  : 45900
RxBadByte   : 0
RxOverFlow  : 0
Filtered    : 0
TxBroad     : 43
TxPause     : 0
TxMulti     : 1
TxUnderRun  : 0
Tx64Byte    : 0
Tx128Byte   : 0
Tx256Byte   : 1
Tx512Byte   : 43
Tx1024Byte  : 0
Tx1518Byte  : 0
TxMaxByte   : 0
TxOverSize  : 0
TxByte      : 15046
TxCollision : 0
TxAbortCol  : 0
TxMultiCol  : 0
TxSingleCol : 0
TxExcDefer  : 0
TxDefer     : 0
TxLateCol   : 0

        pvid: 2
        link: port:1 link:down
Port 2:
        mib: Port 2 MIB counters
RxBroad     : 89
RxPause     : 0
RxMulti     : 179
RxFcsErr    : 0
RxAlignErr  : 0
RxRunt      : 0
RxFragment  : 0
Rx64Byte    : 34
Rx128Byte   : 181
Rx256Byte   : 12
Rx512Byte   : 5
Rx1024Byte  : 36
Rx1518Byte  : 0
RxMaxByte   : 0
RxTooLong   : 0
RxGoodByte  : 47328
RxBadByte   : 0
RxOverFlow  : 0
Filtered    : 0
TxBroad     : 0
TxPause     : 0
TxMulti     : 3
TxUnderRun  : 0
Tx64Byte    : 0
Tx128Byte   : 2
Tx256Byte   : 1
Tx512Byte   : 0
Tx1024Byte  : 0
Tx1518Byte  : 0
TxMaxByte   : 0
TxOverSize  : 0
TxByte      : 406
TxCollision : 0
TxAbortCol  : 0
TxMultiCol  : 0
TxSingleCol : 0
TxExcDefer  : 0
TxDefer     : 0
TxLateCol   : 0

        pvid: 1
        link: port:2 link:up speed:100baseT full-duplex auto
Port 3:
        mib: Port 3 MIB counters
RxBroad     : 37
RxPause     : 0
RxMulti     : 59
RxFcsErr    : 0
RxAlignErr  : 0
RxRunt      : 0
RxFragment  : 0
Rx64Byte    : 16
Rx128Byte   : 61
Rx256Byte   : 4
Rx512Byte   : 0
Rx1024Byte  : 15
Rx1518Byte  : 0
RxMaxByte   : 0
RxTooLong   : 0
RxGoodByte  : 17776
RxBadByte   : 0
RxOverFlow  : 0
Filtered    : 0
TxBroad     : 0
TxPause     : 0
TxMulti     : 5
TxUnderRun  : 0
Tx64Byte    : 0
Tx128Byte   : 4
Tx256Byte   : 1
Tx512Byte   : 0
Tx1024Byte  : 0
Tx1518Byte  : 0
TxMaxByte   : 0
TxOverSize  : 0
TxByte      : 634
TxCollision : 0
TxAbortCol  : 0
TxMultiCol  : 0
TxSingleCol : 0
TxExcDefer  : 0
TxDefer     : 0
TxLateCol   : 0

        pvid: 1
        link: port:3 link:down
Port 4:
        mib: Port 4 MIB counters
RxBroad     : 0
RxPause     : 0
RxMulti     : 0
RxFcsErr    : 0
RxAlignErr  : 0
RxRunt      : 0
RxFragment  : 0
Rx64Byte    : 0
Rx128Byte   : 0
Rx256Byte   : 0
Rx512Byte   : 0
Rx1024Byte  : 0
Rx1518Byte  : 0
RxMaxByte   : 0
RxTooLong   : 0
RxGoodByte  : 0
RxBadByte   : 0
RxOverFlow  : 0
Filtered    : 0
TxBroad     : 0
TxPause     : 0
TxMulti     : 0
TxUnderRun  : 0
Tx64Byte    : 0
Tx128Byte   : 0
Tx256Byte   : 0
Tx512Byte   : 0
Tx1024Byte  : 0
Tx1518Byte  : 0
TxMaxByte   : 0
TxOverSize  : 0
TxByte      : 0
TxCollision : 0
TxAbortCol  : 0
TxMultiCol  : 0
TxSingleCol : 0
TxExcDefer  : 0
TxDefer     : 0
TxLateCol   : 0

        pvid: 1
        link: port:4 link:down
Port 5:
        mib: Port 5 MIB counters
RxBroad     : 6715
RxPause     : 0
RxMulti     : 6836
RxFcsErr    : 0
RxAlignErr  : 0
RxRunt      : 0
RxFragment  : 0
Rx64Byte    : 15361
Rx128Byte   : 5008
Rx256Byte   : 2473
Rx512Byte   : 115
Rx1024Byte  : 606
Rx1518Byte  : 108
RxMaxByte   : 0
RxTooLong   : 0
RxGoodByte  : 2505453
RxBadByte   : 0
RxOverFlow  : 0
Filtered    : 22886
TxBroad     : 0
TxPause     : 0
TxMulti     : 0
TxUnderRun  : 0
Tx64Byte    : 0
Tx128Byte   : 0
Tx256Byte   : 0
Tx512Byte   : 0
Tx1024Byte  : 0
Tx1518Byte  : 0
TxMaxByte   : 0
TxOverSize  : 0
TxByte      : 0
TxCollision : 0
TxAbortCol  : 0
TxMultiCol  : 0
TxSingleCol : 0
TxExcDefer  : 0
TxDefer     : 0
TxLateCol   : 0

        pvid: 2
        link: port:5 link:up speed:1000baseT full-duplex auto
VLAN 1:
        vid: 1
        ports: 0t 2 3 4
VLAN 2:
        vid: 2
        ports: 0t 1

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,025

Odp: linksys ea8300 - 22.03 - vlan - problem

EDIT: ty używasz ipq40xx który miał problem z vlanami. Przejdź na 23.05 który ma dsa i po prostu zrób sobie nowy bridge z portami.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez andrewxxx

  • Zarejestrowany: 2012-02-18
  • Posty: 704

Odp: linksys ea8300 - 22.03 - vlan - problem

No dobra to spróbuje, a jestem w stanie to zrobić nie robiąc oddzielnych vlan, aby jeżeli ktoś podepnie się pod lan2 i sieć np. wifi2 to otrzyma dostęp do wireguard? A pozostała sieć wifi i porty lan będą korzystały ze standardowego łącza ?

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,025

Odp: linksys ea8300 - 22.03 - vlan - problem

No i chyba masz rację, bo nie bridge tylko osobno wg i osobno dodatkowa sieć + pbr do tego który skieruje ruch z tej sieci do wg.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez andrewxxx

  • Zarejestrowany: 2012-02-18
  • Posty: 704

Odp: linksys ea8300 - 22.03 - vlan - problem

Cezary czy korzystałeś może kiedyś z tego? Bo wydaje mi się że to się właśnie przyda do zarządzenia.

https://docs.openwrt.melmac.net/vpn-policy-routing/

10 Odpowiedź przez Cezary (edytowany przez Cezary 2023-06-27 21:11:25)

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,025

Odp: linksys ea8300 - 22.03 - vlan - problem

Tak, choć ja tego nie używam bo to duża kobyła jest.

EDIT: klient wiregaurd, jak dołączysz się do portu LAN1 to masz wyjście przez wireguarda, jak do lan2/3/4 to masz normalnie przez wan.
/etc/config/network

config interface 'loopback'
    option device 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fd2b:0646:22c7::/48'

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'lan2'
    list ports 'lan3'
    list ports 'lan4'

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option ipaddr '192.168.11.1'
    option netmask '255.255.255.0'
    option ip6assign '60'

config device
    option name 'br-lan2'
    option type 'bridge'
    list ports 'lan1'

config interface 'lan2'
    option device 'br-lan2'
    option proto 'static'
    option ipaddr '192.168.100.1'
    option netmask '255.255.255.0'

config interface 'wan'
        option proto dhcp
        option device wan
    option dns '1.0.0.1 1.1.1.1'
    option peerdns '0'
    option metric '10'

config interface 'wg0'
    option proto 'wireguard'
    option private_key 'xxx'
    list addresses '10.1.10.3/32'
    option metric '20'

config wireguard_wg0
    option public_key 'xxxx'
    option endpoint_host 'xxxxl'
    option endpoint_port 'xxx'
    option persistent_keepalive '25'
    option route_allowed_ips '1'
    list allowed_ips '0.0.0.0/0'

config route
    option table '100'
    option target '0.0.0.0/0'
    option interface 'wg0'

config rule
    option in 'lan2'
    option lookup '100'

/etc/config/dhcp

config dnsmasq
    option domainneeded '1'
    option boguspriv '1'
    option filterwin2k '0'
    option localise_queries '1'
    option rebind_protection '1'
    option rebind_localhost '1'
    option local '/lan/'
    option domain 'lan'
    option expandhosts '1'
    option nonegcache '0'
    option cachesize '1000'
    option authoritative '1'
    option readethers '1'
    option leasefile '/tmp/dhcp.leases'
    option resolvfile '/tmp/resolv.conf.d/resolv.conf.auto'
    option nonwildcard '1'
    option localservice '1'
    option ednspacket_max '1232'
    option filter_aaaa '0'
    option filter_a '0'
    list rebind_domain 'free.aero2.net.pl'
    option logqueries '0'
    option confdir '/tmp/dnsmasq.d'

config dhcp 'lan'
    option interface 'lan'
    option start '100'
    option limit '150'
    option leasetime '12h'

config dhcp 'wan'
    option interface 'wan'
    option ignore '1'

config dhcp 'lan2'
    option interface 'lan2'
    option start '100'
    option limit '150'
    option leasetime '1h'

/etc/config/firewall

config defaults
    option syn_flood '1'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'lan2'
    list network 'lan2'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config zone 'wg0'
    option name 'wg0'
    list network 'wg0'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config forwarding
    option src 'lan2'
    option dest 'wg0'

/etc/iproute2/rt_tables

#
# reserved values
#
128    prelocal
255    local
254    main
253    default
0    unspec
#
# local
#
#1    inr.ruhep

100    vpn
Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez andrewxxx

  • Zarejestrowany: 2012-02-18
  • Posty: 704

Odp: linksys ea8300 - 22.03 - vlan - problem

Hula jak złoto!!!!

Dwa pytania w zasadzie

1. Co to jest ?

/etc/iproute2/rt_tables
100    vpn

2.Czy dodanie tego dla kolejnych klientów jest wymagane ? np. wg1 = 30 ?
Jaki w naszym przypadku był cel dodania tego?

option metric '20'

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,025

Odp: linksys ea8300 - 22.03 - vlan - problem

1. Oznaczenie tablicy routingów? Nie wiem jak to po polsku napisać.
2. Celem było zepchnięcie wg na pozycję niżej żeby nie był domyślną trasą - ta przez wan ma być "najdomyślniejsza". Jak chcesz następnego to tak, inną metrykę daj, więszą niż 20.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez mvincm (edytowany przez mvincm 2024-09-24 08:00:06)

  • mvincm
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-03-21
  • Posty: 270

Odp: linksys ea8300 - 22.03 - vlan - problem

Witam.

Cezary powiedz proszę może będziesz szybko wiedział co jest. Router (brama domyślna) w sieci domowej LAN z openwrt, jest peer'em do serwera WireGuard. Z routera pingi/komunikacja tak do serwera wg jak i hostów za nim idzie bez problemu zarówno po adresacji wg jak i adresów za serwerem wg. Wszystko idzie bez masq po zwykłym routingu. Działa. Natomiast z dowolnego komputera w sieci LAN dla tórego ww. router jest brama domyślą już ten ruch nie działa (coś go blokuje). Komunikacja idzie przez deafult gw LAN i tam się urywa czyli na tym openwrt. Gdzie ten openwrt go blokuje skoro sam bez problemu widzi swojego peera jak i sieć za nim? Jakies podpowiedzi? Z góry dzięki!

14 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,025

Odp: linksys ea8300 - 22.03 - vlan - problem

Brak gateway ustawionego na końcówkach?

Trudno powiedzieć co jest problemem

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

15 Odpowiedź przez mvincm

  • mvincm
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-03-21
  • Posty: 270

Odp: linksys ea8300 - 22.03 - vlan - problem

Może moja logika zawodzi. Końcówka (dajmy na to zwykły windows laptop) w sieci LAN wychodzi w świat przez ten router bez problemu. Adres IP routera jest bramą domyślna dla laptopa. Pinga świat jak i router. Co więcej trasa na adres IP z puli wg idzie przez ten router i tam utyka. Komunikacja z routera do sieci wg jak i sieci za nim leci bez problemu. Ewidentnie coś na routerze blokuje. Czy to firewall czy to brak routingu ale configi wyglądają jak niżej.

root@koro:~# cat /etc/config/network

config interface 'loopback'
        option device 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fdab:3cc3:bba7::/48'

config device
        option name 'br-lan'
        option type 'bridge'
        list ports 'lan2'
        list ports 'lan3'
        list ports 'lan4'

config interface 'lan'
        option device 'br-lan'
        option proto 'static'
        option ipaddr '192.168.22.1'
        option netmask '255.255.255.0'
        option ip6assign '60'

config device
        option name 'wan'
        option macaddr '44:f7:70:74:4d:2d'

config interface 'wan'
        option device 'wan'
        option proto 'dhcp'

config interface 'wan6'
        option device 'wan'
        option proto 'dhcpv6'

config interface 'koro'
        option proto 'wireguard'
        option private_key 'priv_key'
        list addresses '192.168.58.4'
        option auto '0'
        option delegate '0'

config wireguard_koro
        option description 'wg_serv_name'
        option public_key 'pub_key'
        option route_allowed_ips '1'
        option endpoint_host 'wg_serv_ip'
        option endpoint_port 'wg_serv_port'
        option persistent_keepalive '25'
        list allowed_ips '192.168.57.0/24'
        list allowed_ips '192.168.58.0/24'

root@koro:~# cat /etc/config/firewall

config defaults
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option synflood_protect '1'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        list network 'lan'
        list network 'koro'

config zone
        option name 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'wan'
        list network 'wan6'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config zone
        option name 'wg_koro'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        list network 'koro'

config forwarding
        option src 'wg_koro'
        option dest 'lan'

config forwarding
        option src 'lan'
        option dest 'wg_koro'

16 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,025

Odp: linksys ea8300 - 22.03 - vlan - problem

option masq 1 w strefie wg_koro?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

17 Odpowiedź przez mvincm

  • mvincm
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-03-21
  • Posty: 270

Odp: linksys ea8300 - 22.03 - vlan - problem

Ok... Tylko (bo to nie łapie) po co masq ma być robione? Przecież to wszystko po routingu śmiga raczej? Bo router jest default wg, widzi trasę do wg i za nim więc (ale może błędnie) dostaje pakiet z lan z adresem czegoś w wg i pcha tam ruch. Gubię coś?

18 Odpowiedź przez Cezary (edytowany przez Cezary 2024-09-24 08:24:12)

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,025

Odp: linksys ea8300 - 22.03 - vlan - problem

Dodaj, restartuj i zobacz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

19 Odpowiedź przez mvincm

  • mvincm
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-03-21
  • Posty: 270

Odp: linksys ea8300 - 22.03 - vlan - problem

z masq 1 działa ale robi fizycznie to masq (nie ma hop'ów do sieci wg/za wg - co oczywiste). Więc można powiedzieć, że efekt osiągnięty ale z NATem a to przecież musi działać (na logikę bo fizykę mi nie działać) po routingu po prostu. Chyba, że gubię coś oczywistego w sposobie myślenia o tej topologii. Podpowiedz proszę jak na openwrt zobaczyć co wycina pakiety. Puszczę ping na stałe i zobaczę gdzie (zakładam na firewall) się te pakiety gubią. Podpowiedz proszę? Dzięki!

P.S.
Bo jak coś może działać bez NAT to po co ma działać z NAT i dorzucać obciążenia dla CPU routera.

20 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,025

Odp: linksys ea8300 - 22.03 - vlan - problem

Zainstaluj sobie tcpdumpa i patrz na pakiety.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

21 Odpowiedź przez mvincm

  • mvincm
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-03-21
  • Posty: 270

Odp: linksys ea8300 - 22.03 - vlan - problem

Dzięki!

Parkuję dalsze testy do wieczora, żeby lepiej/mocniej rodzinę denerwować brakiem inetu wink wink

22 Odpowiedź przez mvincm

  • mvincm
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-03-21
  • Posty: 270

Odp: linksys ea8300 - 22.03 - vlan - problem

No i nie zaparkowałem tematu na wieczór wink w pierwszej przerwie sprawdziłem.

[SOLVED]
- bardzo pomógł TCPDUMP bo pokazał, że pakiety icmp dochodzą i wychodzą z interfejsu wg na openwrt i nic ich nie blokuje
- z jakiś niezrozumiałych dla mnie do końca powodów na interfejsie wg po stronie serwera (tu akurat mikrotik z publicznym ip) nie utworzyła się trasa dla sieci lokalnej przed openwrt (sieci które łączymy ze sobą) pomimo dopisania sieci do AllowedIPs na mikrotik
- ręczne dodane trasy po stronie serwera do sieci lokalnej przed OpenWRT rozwiązało problem
- ruch między dwoma LAN śmiga bez MASQ i o to chodziło

Dzięki za pomoc i podpowiedzi!