26 (edytowany przez mar_w 2023-06-04 20:28:47)

Odp: Jak się wpiąć w sieć?

robiąc tagowane ramki wszystko leci jednym kablem. Wpinasz Mikrotika tak jak chciałeś między konwerter a Openwrt z tym że Miktrotik nie bierze na siebie Publicznego adresu IP tylko w funkcji switcha wysyła go do Openwrt.
Openwrt wraca tym samym kablem swoją sieć LAN z tym że robi tagowane ramki które Mikrotik rozpoznaje i zdejmuje ten tag z ramek i masz na Mikrotiku dowolną sieć z Openwrt.

zachowujesz ten schemat bez dodawania 3 kabli:
przewód światłowodowy <==> Media konwerter "Dasan H665 GPON ONT 1x GE" <==> NOWY ROUTER MIKROTIK <==> 8P8C port WAN OpenWRT

skoro mimo odległości jesteś w stanie połączyć w ten sposób oba routery tzn że możesz wszystko smile

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

27

Odp: Jak się wpiąć w sieć?

@mar_w dzięki za odpowiedź, ale dziwi mnie to bo jakoś internet z milionem sieci ze sobą gada, przeceiż mój router nie wie jak dokładnie połączyć się do serwera youtube za oceanem.  Liczę na to samo z MT, dlaczego MT tego nie chce przyjąć?


Jednocześnie opisujesz coś o czym myślałem, ale nie wiedziałem jak to zrobić smile

Tagowanie wiem jak zrobić na OpenWRT, pod MT muszę poczytać, ale na razie niech mi zadziała zwykły routing baz masq '1' na MT

28 (edytowany przez mar_w 2023-06-04 20:37:36)

Odp: Jak się wpiąć w sieć?

ile ludzi tyle sposobów.
chcesz routing to się baw routingiem na MT

w poście #1 piszesz że

oneiro napisał/a:

...Mam działające rozwiązanie na OpenWRT w miejscu swojego zamieszkania.  Natomiast muszę w innej lokalizacji (w obrębie miejsca zamieszkania) wstawić ...
Niestety nie mam możliwości puszczenia przewodu, a bezprzewodowo nie działa (stare mury kamienicy skutecznie tłumią sygnał pomiędzy obiema lokalizacjami).

to myślałem że nie chcesz ciągnąć kabli i zrobić to na jednym który tam jest...

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

29

Odp: Jak się wpiąć w sieć?

tak nie chcę ciągnąć nowych kabli, ba, nawet nie wiem czy dałbym radę bez rozpierduchy, bo istniejące koryta kablowe, szczególnie te podtynkowe i aroty są upchane na maksa.

30 (edytowany przez mar_w 2023-06-04 20:56:22)

Odp: Jak się wpiąć w sieć?

to na początek  zrób routing  na MT.
tylko że na Openwrt musisz zrobić forward między np. lan_tv a lan a wtedy po co Ci osobne sieci (z punktu widzenia bezpieczeństwa) skoro hosty z jednej sieci będą mogły gadać z główną siecią i np. TV zhakuje ci serwer smile
trochę słabe to rozwiązanie bo teraz u Ciebie na Openwrt sieć lan jest też wanem przez który będą wychodzić pozostałe sieci i trochę głupio to wyszło że TV, AP, i HA mogą wejść do LAN....

co innego forward z LAN do TV a co innego z TV do LAN. to jest kolosalna różnica.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

31

Odp: Jak się wpiąć w sieć?

Jeśli ogarnę routing na MT i zacznie działać bez masq '1' to spróbuje  pomysł tagowaniem, ale to w przyszły weekend, pracując zdalnie muszę mieć działający net z kabla w tygodniu.

Co to uwagi o bezpieczeństwie  to już zważyłem i poprawiłem smile

root@LEDE:~# uci show network
network.@switch[0]=switch
network.@switch[0].reset='1'
network.@switch[0].enable_vlan='1'
network.@switch[0].name='switch0'
network.@switch_vlan[0]=switch_vlan
network.@switch_vlan[0].vlan='1'
network.@switch_vlan[0].ports='4 5t'
network.@switch_vlan[0].device='switch0'
network.@switch_vlan[1]=switch_vlan
network.@switch_vlan[1].vlan='2'
network.@switch_vlan[1].ports='1 5t'
network.@switch_vlan[1].device='switch0'
network.@switch_vlan[2]=switch_vlan
network.@switch_vlan[2].vlan='3'
network.@switch_vlan[2].ports='3 5t'
network.@switch_vlan[2].device='switch0'
network.@switch_vlan[3]=switch_vlan
network.@switch_vlan[3].vlan='4'
network.@switch_vlan[3].ports='0 5t'
network.@switch_vlan[3].device='switch0'
network.@switch_vlan[4]=switch_vlan
network.@switch_vlan[4].vlan='5'
network.@switch_vlan[4].ports='2 5t'
network.@switch_vlan[4].device='switch0'
network.loopback=interface
network.loopback.ifname='lo'
network.loopback.proto='static'
network.loopback.ipaddr='127.0.0.1'
network.loopback.netmask='255.0.0.0'
network.lan=interface
network.lan.ifname='eth0.1'
network.lan.proto='static'
network.lan.netmask='255.255.255.0'
network.lan.ipaddr='192.168.10.1'
network.lan_ap=interface
network.lan_ap.ifname='eth0.2'
network.lan_ap.proto='static'
network.lan_ap.netmask='255.255.255.0'
network.lan_ap.ipaddr='192.168.11.1'
network.lan_tv=interface
network.lan_tv.ifname='eth0.3'
network.lan_tv.proto='static'
network.lan_tv.netmask='255.255.255.0'
network.lan_tv.ipaddr='192.168.12.1'
network.lan_ha=interface
network.lan_ha.ifname='eth0.5'
network.lan_ha.type='bridge'
network.lan_ha.proto='static'
network.lan_ha.netmask='255.255.255.0'
network.lan_ha.ipaddr='192.168.13.1'
network.wan_opt=interface
network.wan_opt.proto='static'
network.wan_opt.ifname='eth0.4'
network.wan_opt.netmask='255.255.255.252'
network.wan_opt.ipaddr='192.168.9.1'
network.wan_opt.gateway='192.168.9.2'
network.wan_opt.dns='127.0.0.1'
network.wan=interface
network.wan.proto='dhcp'
network.wan.ifname='eth1'
network.wan.defaultroute='0'
network.wan.enabled='0'
root@LEDE:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.9.2     0.0.0.0         UG    0      0        0 eth0.4
192.168.9.0     0.0.0.0         255.255.255.252 U     0      0        0 eth0.4
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0.1
192.168.11.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0.2
192.168.12.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0.3
192.168.13.0    0.0.0.0         255.255.255.0   U     0      0        0 br-lan_ha

Idę czytać o routingu  na MT...

32 (edytowany przez oneiro 2023-06-30 21:22:48)

Odp: Jak się wpiąć w sieć?

@mar_w ogarnąłem  routing i działa niemniej Twój pomysł wydaje się lepszy, a co za tym idzie chcę go wdrożyć. Podpowiesz co szukać bo jak wpisuję tag frame mikrotik to pojawiają się tematy VLANy lub zgrubnie podpowiesz co trzeba zrobić na MT?

robiąc tagowane ramki wszystko leci jednym kablem. Wpinasz Mikrotika tak jak chciałeś między konwerter a Openwrt z tym że Miktrotik nie bierze na siebie Publicznego adresu IP tylko w funkcji switcha wysyła go do Openwrt.
Openwrt wraca tym samym kablem swoją sieć LAN z tym że robi tagowane ramki które Mikrotik rozpoznaje i zdejmuje ten tag z ramek i masz na Mikrotiku dowolną sieć z Openwrt.


Ewentualnie czy jest inny sposób, aby wstawić beż ręcznego rzeźbienia forwardingów cały OpenWRT na publiczny adres zachowując fizyczne połączenia jak są?

33

Odp: Jak się wpiąć w sieć?

Teraz to już nie wiem jak masz fizycznie połączone bo było kilka opcji smile

A jeżeli Mikrotik ma swój soft, to lepiej popytaj znawców na forum MT.
Jeżeli MT stoi między ONT a Openwrt to wg tego rysunku zrobiłbym tak:
https://wiki.mikrotik.com/wiki/Manual:S … ess_Ports)
na ether5 wchodzi nietagowany Internet z ONT na VLAN400
na ether2 wychodzi tagowany Internet VLAN400 i idzie do Openwrt

Openwrt odbiera tagowany Internet z VLAN400 i miałby Publiczny IP na swoim WAN-ie i jednocześnie tym samym portem eth wysyła tagowaną swoją własną sieć LAN na innym VLAN-ie np. VLAN300

W MT na ether2 wchodzi tagowana sieć LAN na VLAN300 i do urządzeń wychodzi nietagowana sieć LAN VLAN300 na porcie ether4.
ether3 z tego schematu byłby niepotrzebny.
to tak w skrócie.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

34

Odp: Jak się wpiąć w sieć?

Oczywiście moje próby się nie powiodły i wiem że to nie forum MT, stąd tylko skupię się części OpenWRT.

Czyli fizycznie mam teraz:

Internet <> ONT <> (publliczyIP z NAT) ETH1_MikroTik_ETH2 (local IP) <> Port0_OpenWRT

Od strony OpenWRT wiem, że na porcie 0 mam połączenie z MT, a że chcę zbudować dodatkowy VLAN tagowany o ID=30 i adresie 10.10.30.0/24 to dodałem do sekcji network:

# VLAN 30 MT MNG #
config switch_vlan
        option device 'switch0'
        option vlan '30'
        option ports '5t 0t'

config interface 'wan_vlan30' 
        option proto 'static'  
        option ifname 'eth0.30'
        option netmask '255.255.255.0'
        option ipaddr '10.10.30.1' 

w ifconfig (ip a) pojawiał się eth0.30 z adresem 10.10.30.1 i maską 24.

Czy od strony OpenWRT zbudowałem VLAN na porcie0 o ID30 ?? Czy coś potrzeba więcej?

PS. Od strony MT w sekcji interfaces -> vlan dodałem nowy vlan o ID30 i przypisałem IP 10.30.30.2 niemniej obecna konfiguracji nie działa, pingi nie idą, TX zliczają, ale RX zero po obu stronach, nie gadają ze sobą. 

PS2. Czy 1043NDv1 obsługuje VLANy wg 802.1Q ?

35

Odp: Jak się wpiąć w sieć?

Tak, zrobiłeś tagowanego vlanna o numerze 30.

PS2. Tak, właśnie zrobiłeś vlana wg  802.1Q.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

36

Odp: Jak się wpiąć w sieć?

Dzięki za potwierdzenie.

A od strony OpenWRT może być na jednym kablu tagowany i nietagowany VLAN? Bo ciągle mam jeszcze działające połączenie:

#Siec WAN_OPT
config switch_vlan                            
        option vlan '4'                       
        option ports '0 5t'                   
        option device 'switch0' 

config interface 'wan_opt'
        option proto 'static'           
        option ifname 'eth0.4'          
        option netmask '255.255.255.252'
        option ipaddr '192.168.9.1' 
        option gateway '192.168.9.2'  
        option dns '127.0.0.1'                                
         

37

Odp: Jak się wpiąć w sieć?

Zależy od switcha. Generalnie może być.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

38 (edytowany przez oneiro 2023-07-26 19:00:16)

Odp: Jak się wpiąć w sieć?

Doszedłem, czemu nie działa, powodem to brak linii w pliku networks

option enable_vlan4k '1'

Bez tego nie działają VLANy z MT.

Switch w OpenWRT to rtl8366rb

Gdzieś na forum wyczytałem,  że bez tego ID VLAN max 15.

39

Odp: Jak się wpiąć w sieć?

A tak,  to też w niektórych trzeba by było włączyć. Nie było domyślnie?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

40

Odp: Jak się wpiąć w sieć?

Nie było, ale ja jadę jeszcze na LEDE, także tego

41

Odp: Jak się wpiąć w sieć?

No  tak, archeologia stosowana...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

42

Odp: Jak się wpiąć w sieć?

Wydaje się. że zadziałało tj na MT wchodzi nietagowany VLAN10 na ETH1, idzie do tagowany VLAN20 przez ETH2  i dociera do OpenWRT.  Ale wszystko chodzi strasznie wolno, nawet pingi pierwszy jest bardzo wolny, później już idzie jak zaskoczy. Raz idzie szybko, raz nie, nie mogę znaleźć przyczyny i reguły, ale generalnie wolno, coś jakby DNSy długo rozwiązywały nazwy?

Czyli na OpenWRT mam publiczny IP, ale pojawił nowy problem,  nie mogę dostać się do adresów na MT z innych urządzeń. Na OpenWRT adresy MT są dostępne, ale poza np. z komputera w sieci łącznie z VLAN które potworzyłem już nie,  coś namieszałem, ale już jest późno niemniej może ktoś zerknie. Czuję, że coś z maskaradą związane, bo po uruchomieniu przestało działać.

root@LEDE:~# uci show network
network.@switch[0]=switch
network.@switch[0].reset='1'
network.@switch[0].enable_vlan='1'
network.@switch[0].name='switch0'
network.@switch[0].enable_vlan4k='1'
network.@switch_vlan[0]=switch_vlan
network.@switch_vlan[0].vlan='1'
network.@switch_vlan[0].ports='4 5t'
network.@switch_vlan[0].device='switch0'
network.@switch_vlan[1]=switch_vlan
network.@switch_vlan[1].vlan='2'
network.@switch_vlan[1].ports='1 5t'
network.@switch_vlan[1].device='switch0'
network.@switch_vlan[2]=switch_vlan
network.@switch_vlan[2].vlan='3'
network.@switch_vlan[2].ports='3 5t'
network.@switch_vlan[2].device='switch0'
network.@switch_vlan[3]=switch_vlan
network.@switch_vlan[3].vlan='4'
network.@switch_vlan[3].ports='0 5t'
network.@switch_vlan[3].device='switch0'
network.@switch_vlan[4]=switch_vlan
network.@switch_vlan[4].vlan='5'
network.@switch_vlan[4].ports='2 5t'
network.@switch_vlan[4].device='switch0'
network.loopback=interface
network.loopback.ifname='lo'
network.loopback.proto='static'
network.loopback.ipaddr='127.0.0.1'
network.loopback.netmask='255.0.0.0'
network.lan=interface
network.lan.ifname='eth0.1'
network.lan.proto='static'
network.lan.netmask='255.255.255.0'
network.lan.ipaddr='192.168.10.1'
network.lan_ap=interface
network.lan_ap.ifname='eth0.2'
network.lan_ap.proto='static'
network.lan_ap.netmask='255.255.255.0'
network.lan_ap.ipaddr='192.168.11.1'
network.lan_tv=interface
network.lan_tv.ifname='eth0.3'
network.lan_tv.proto='static'
network.lan_tv.netmask='255.255.255.0'
network.lan_tv.ipaddr='192.168.12.1'
network.lan_ha=interface
network.lan_ha.ifname='eth0.5'
network.lan_ha.type='bridge'
network.lan_ha.proto='static'
network.lan_ha.netmask='255.255.255.0'
network.lan_ha.ipaddr='192.168.13.1'
network.lan_mt=interface
network.lan_mt.proto='static'
network.lan_mt.ifname='eth0.4'
network.lan_mt.netmask='255.255.255.252'
network.lan_mt.ipaddr='192.168.9.1'
network.lan_mt.gateway='192.168.9.2'
network.@switch_vlan[5]=switch_vlan
network.@switch_vlan[5].device='switch0'
network.@switch_vlan[5].vlan='30'
network.@switch_vlan[5].ports='5t 0t'
network.vlan30=interface
network.vlan30.proto='static'
network.vlan30.ifname='eth0.30'
network.vlan30.netmask='255.255.255.0'
network.vlan30.ipaddr='10.10.30.1'
network.@switch_vlan[6]=switch_vlan
network.@switch_vlan[6].device='switch0'
network.@switch_vlan[6].vlan='20'
network.@switch_vlan[6].ports='5t 0t'
network.wan_opt=interface
network.wan_opt.proto='static'
network.wan_opt.ifname='eth0.20'
network.wan_opt.netmask='255.255.255.252'
network.wan_opt.ipaddr='PUBLIC_IP'
network.wan_opt.gateway='PUBLIC_IP-1'
network.wan_opt.dns='127.0.0.1'
network.wan=interface
network.wan.proto='dhcp'
network.wan.ifname='eth1'
network.wan.defaultroute='0'
network.wan.enabled='0'

root@LEDE:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         PUBLIC_IP-1 0.0.0.0         UG    0      0        0 eth0.20
10.10.30.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0.30
192.168.9.0     0.0.0.0         255.255.255.252 U     0      0        0 eth0.4
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0.1
192.168.11.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0.2
192.168.12.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0.3
192.168.13.0    0.0.0.0         255.255.255.0   U     0      0        0 br-lan_ha
PUBLIC_IP-2   0.0.0.0         255.255.255.252 U     0      0        0 eth0.20

43

Odp: Jak się wpiąć w sieć?

oneiro napisał/a:

...Ale wszystko chodzi strasznie wolno, nawet pingi pierwszy jest bardzo wolny, później już idzie jak zaskoczy. Raz idzie szybko, raz nie, nie mogę znaleźć przyczyny i reguły, ale generalnie wolno, coś jakby DNSy długo rozwiązywały nazwy?

...
network.wan_opt=interface
network.wan_opt.proto='static'
network.wan_opt.ifname='eth0.20'
network.wan_opt.netmask='255.255.255.252'
network.wan_opt.ipaddr='PUBLIC_IP'
network.wan_opt.gateway='PUBLIC_IP-1'
network.wan_opt.dns='127.0.0.1'

nie wiem czy dobrym pomysłem jest wpisanie na porcie WAN trakiego DNS-a jakiego proponujesz.
Kolejna sprawa to taka, że w konfigu masz 2 domyślne bramy.
Niby nic dziwnego ale .... w Openwrt zazwyczaj wpisuje się parametr "metric" żeby jedna brama nie została nadpisana drugą.
Zapewne masz jeszcze wiele różnych "haczyków" o których nie wiesz bo robisz zaawansowany konfig na czuja i wykrycie ich może być problemem.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

44

Odp: Jak się wpiąć w sieć?

Dzięki za sugestie, na pewno tak jest, ale w tej chwili nie mogę skupić się na tym problemie niemniej zapewne kiedyś wrócę do tematu.

A obecnie wróciłem do rozwiązania:

Internet --- ONT --- MT (public IP z NAT) --- OpenWRT  (local IP)

przy czym OpenWRT jest w DMZ (wystawiony  przez  MikroTika na starty interface WAN OpenWRT) co zrodziło jeden problem.

Otóż do otwierania portów na OpenWRT korzystam z FwKnop. Dzięki temu spadła do zera liczba prób logowania wystawionych usług w logach i na pewno wzrosło bezpieczeństwo, ale przez zainstalowanie MT OpenWRT przestał NATować adresy, stał się routerem w sieci lokalnej z usługami wystawionymi na starym porcie WAN, który teraz jest lokalnym IP, który przy okazji, przypomnę, interface WAN OpenWRT jest w DMZ.

Za pomocą FwKnop mogę wysłać zaszyfrowany magiczny pakiet, który wykona:
1.  Open Port czyli np. otworzy mi port do SHH na OpenWRT (przypomnę wystawionym na DMZ), czyli usługi na starym porcie WAN OpenWRT.
2. NAT Access - tego używałem do otwarcia i przekierowania portów do innej maszyny niż OpenWRT, teraz to nie działa, bo nie ma NATa uruchomionego na OpenWRT.  To tutaj jest problem!
3.  Local NAT access - tego nie używałem, mogę podać tylko port i protokół, coś a'la Ad1 ???
4. Server Command - uruchomić polecenie systemowe np. iptables

W związki z powyższym jak zrobić obejście, aby na OpenWRT bez NAT (interface WAN działa na DMZ) wystawić port z innej maszyny (przekierować) na interface WAN OpenWRT (który nie NATuje), aby go następnie otworzyć za pomocą FwKnop AD1. "Open Port" lub Ad4 - "Server Command"? Opcje FwKnop Ad2 i AD3 z NATem chyba nie zadziałają, bo nie ma już NATa na OpenWRT.

PS. Wiem, że mogę przekierować port w MT do docelowej maszyny przed regułami DMZ, ale chcę za pomocą FwKnop w OpenWRT otwierać port na żądanie, a nie mieć go cały czas otwarty.