1 Temat przez farben

  • farben
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-07-21
  • Posty: 30

Temat: Sieć gościnna w głupim AP bez WAN

Witam,

Mam główny router bez wifi do niego na tę chwilę podłączony Mercusys MR80X, który działa w trybie punktu dostępowego. Na nim mam główną sieć wifi i sieć wifi gościnną, z której klienci nie mają dostępu do sieci głównej. Robi się to 2 kliknięciami.

Chciałem zmienić Mercusys na AX3000T ze względu na wyższe transfery po wifi ale przy zachowaniu tych samych warunków czyli głupi ap bez wan + sieć główna i odseparowana od reszty sieć gościnna. Niestety z tego co czytam w openwrt sieć gościnna na urządzeniu bez WAN bierze internet z LAN więc jeśli zablokuję z niej dostęp do LAN to nie mam wtedy dostępu do internetu. Da się to jednak jakoś rozwiązać? Nie chce mi się wierzyć, że na Mercusys się da a w OpenWrt nie smile

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,014

Odp: Sieć gościnna w głupim AP bez WAN

A skąd wg ciebie sieć gościnna ma brać internet jak nie z lanu w AP?

Ponad to - to jest openwrt, wiec możesz zrobić jak chcesz i co chcesz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez lexmark3200 (edytowany przez lexmark3200 2024-09-10 19:24:40)

  • Zarejestrowany: 2021-11-19
  • Posty: 1,011

Odp: Sieć gościnna w głupim AP bez WAN

klikaj https://openwrt.org/docs/guide-user/net … ifi_dumbap

4 Odpowiedź przez farben (edytowany przez farben 2024-09-10 23:47:07)

  • farben
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-07-21
  • Posty: 30

Odp: Sieć gościnna w głupim AP bez WAN

Ok korzystając z powyższego jak i innych poradników staję w tym samym miejscu: brak możliwości połączenia z siecią gościnną, urządzenie nie pobiera adresu IP..

network 

config interface 'loopback'
    option device 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fd1e:d616:0b18::/48'

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'lan2'
    list ports 'lan3'
    list ports 'lan4'
    list ports 'wan'

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option ipaddr '192.168.0.252'
    option netmask '255.255.255.0'
    option ip6assign '60'
    option gateway '192.168.0.254'
    option dns '192.168.0.254'

config device
    option type 'bridge'
    option name 'br-guest'

config interface 'guest'
    option proto 'static'
    option device 'br-guest'
    option ipaddr '192.168.4.1'
    option netmask '255.255.255.0'

wireless 

config wifi-device 'radio0'
    option type 'mac80211'
    option path 'platform/18000000.wifi'
    option channel 'auto'
    option band '2g'
    option htmode 'HE20'
    option country 'US'
    option cell_density '0'

config wifi-iface 'default_radio0'
    option device 'radio0'
    option network 'lan'
    option mode 'ap'
    option ssid 'ax-2g'
    option encryption 'sae-mixed'
    option key '*********'

config wifi-device 'radio1'
    option type 'mac80211'
    option path 'platform/18000000.wifi+1'
    option channel 'auto'
    option band '5g'
    option htmode 'HE80'
    option country 'US'
    option cell_density '0'

config wifi-iface 'default_radio1'
    option device 'radio1'
    option network 'lan'
    option mode 'ap'
    option ssid 'ax-5g'
    option encryption 'sae-mixed'
    option key '*********'

config wifi-iface 'wifinet2'
    option device 'radio0'
    option mode 'ap'
    option ssid 'siec2gx'
    option encryption 'psk-mixed'
    option key '*********'
    option network 'guest'
    option isolate '1'

firewall 

config defaults
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option synflood_protect '1'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list network 'lan'

config zone
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option name 'guest'
    list network 'guest'

config forwarding
    option src 'guest'
    option dest 'lan'

config rule
    option name 'guest-dhcp'
    list proto 'udp'
    option src 'guest'
    option dest_port '67-68'
    option target 'ACCEPT'

config rule
    option name 'guest-dns'
    option src 'guest'
    option dest_port '53'
    option target 'ACCEPT'

config rule
    option name 'guest-block'
    list proto 'all'
    option src 'guest'
    option dest 'lan'
    list dest_ip '192.168.0.0/24'
    option target 'REJECT'

5 Odpowiedź przez lexmark3200

  • Zarejestrowany: 2021-11-19
  • Posty: 1,011

Odp: Sieć gościnna w głupim AP bez WAN

A masqarade zaznaczyłeś, bo w configu nie widzę, a chyba w strefie LAN powinna być widoczna. 

 option masq '1'

Ale ja jestem bardziej klikacz.... ;-)

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,014

Odp: Sieć gościnna w głupim AP bez WAN

Dokładnie to nie zostało robione.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez farben

  • farben
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-07-21
  • Posty: 30

Odp: Sieć gościnna w głupim AP bez WAN

lexmark3200 napisał/a:

A masqarade zaznaczyłeś, bo w configu nie widzę, a chyba w strefie LAN powinna być widoczna. 

 option masq '1'

Ale ja jestem bardziej klikacz.... ;-)

Ok wyklikane zatem smile adres pobiera ale brak internetu dla sieci gościnnej.

8 Odpowiedź przez lexmark3200 (edytowany przez lexmark3200 2024-09-11 16:30:58)

  • Zarejestrowany: 2021-11-19
  • Posty: 1,011

Odp: Sieć gościnna w głupim AP bez WAN

Zresetuj, może po resecie załapie...
A DNS ustawiłeś??

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,014

Odp: Sieć gościnna w głupim AP bez WAN

ping 8.8.8.8 działa?
ping google.com działa?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez farben (edytowany przez farben 2024-09-11 17:14:48)

  • farben
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-07-21
  • Posty: 30

Odp: Sieć gościnna w głupim AP bez WAN

Ping nie działa, DNS ustawione.

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,014

Odp: Sieć gościnna w głupim AP bez WAN

Które nie działa?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez farben (edytowany przez farben 2024-09-11 17:15:37)

  • farben
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-07-21
  • Posty: 30

Odp: Sieć gościnna w głupim AP bez WAN

Oba nie działają, DNS ustawione, również ręcznie w kliencie. Myślałem że działa jednak ale to telefon przerzucił mnie na dane mobilne.

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,014

Odp: Sieć gościnna w głupim AP bez WAN

To nie ustawiaj nic ręcznie na kliencie.

Jaki IP dostaje klient po podłączeniu do sieci gościnnej?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

14 Odpowiedź przez farben

  • farben
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-07-21
  • Posty: 30

Odp: Sieć gościnna w głupim AP bez WAN

192.168.4.143

15 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,014

Odp: Sieć gościnna w głupim AP bez WAN

Czy działa wykonane z klienta

ping 192.168.4.1
ping 192.168.0.252
ping 192.168.0.254

?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

16 Odpowiedź przez farben (edytowany przez farben 2024-09-11 19:24:46)

  • farben
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-07-21
  • Posty: 30

Odp: Sieć gościnna w głupim AP bez WAN

Wszystkie bez odpowiedzi.

To nie jest jednak wina tej reguły która odseparowuje tę sieć?

Edit: Jednak nie, wyłączyłem regułę blokującą i jest nadal tak samo

17 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,014

Odp: Sieć gościnna w głupim AP bez WAN

Pierwszy adres to przecież twoja sieć gościnna, coś po co bezpośrednio się pinguje. Musi działać. Jesteś tylko do tej sieci podłączony?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

18 Odpowiedź przez lexmark3200 (edytowany przez lexmark3200 2024-09-11 19:35:57)

  • Zarejestrowany: 2021-11-19
  • Posty: 1,011

Odp: Sieć gościnna w głupim AP bez WAN

farben napisał/a:

To nie jest jednak wina tej reguły która odseparowuje tę sieć?

Edit: Jednak nie, wyłączyłem regułę blokującą i jest nadal tak samo

Przecież ta reguła blokująca jest po to, abyś miał sieć gościnną, bez możliwości przeglądania LAN.

Ustaw jeszcze raz. Widocznie coś źle zrobiłeś.
To działa od strzała.
DNS możesz podać nawet 8.8.8.8 lub 1.1.1.1

19 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,014

Odp: Sieć gościnna w głupim AP bez WAN

Proponuję żebyś go wyzerował i zrobił ponownie wg poradnika na openwrt.org. Krok po kroku.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

20 Odpowiedź przez farben

  • farben
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-07-21
  • Posty: 30

Odp: Sieć gościnna w głupim AP bez WAN

Okazuje się że w poradniku jest błąd, w strefie firewall powinno być 

config forwarding
    option src 'guest'
    option dest 'wan'

a nie 

config forwarding
    option src 'guest'
    option dest 'lan'

No ale mi chodzi o to by WAN zlikwidować i przypisać do LAN hmm

21 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,014

Odp: Sieć gościnna w głupim AP bez WAN

To nie jest błąd. Przecież na AP nie ma wanu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

22 Odpowiedź przez farben

  • farben
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-07-21
  • Posty: 30

Odp: Sieć gościnna w głupim AP bez WAN

Sieć gościnna działa tylko jak jest forwarding ustawiony na WAN i kabel wpięty do WANu, przepięcie do LANu i zmiana forwarding na LAN powoduje brak internetu w sieci gościnnej.

23 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,014

Odp: Sieć gościnna w głupim AP bez WAN

Czemu w końcu nie zrobisz dokładnie tak jak jest w poradniku? 

root@MiFi:~# cat /etc/config/network 

config interface 'loopback'
    option device 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fd2d:7177:5175::/48'

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'eth0.1'
    list ports 'eth1'

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option ipaddr '192.168.11.2'
    option netmask '255.255.255.0'
    option ip6assign '60'
    option dns 192.168.11.1
    option gateway 192.168.11.1

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '2 3 4 0t'

config interface '8298zzdy'
    option description 'test'
    option proto 'static'
    option device 'br-8298zzdy'
    option ipaddr '172.16.0.1'
    option netmask '255.255.255.0'

config device
    option name 'br-8298zzdy'
    option type 'bridge'
    option bridge_empty '1'
root@MiFi:~# cat /etc/config/wireless 

config wifi-device 'radio0'
    option type 'mac80211'
    option path 'platform/ahb/18100000.wmac'
    option channel '1'
    option band '2g'
    option htmode 'HT40'
    option country 'PL'
    option noscan '1'
    option txpower '20'

config wifi-iface 'default_radio0'
    option device 'radio0'
    option network 'lan'
    option mode 'ap'
    option ssid 'lan'
    option encryption 'psk2'
    option key '12345678'

config wifi-iface '8298zzdy_radio0'
    option device 'radio0'
    option mode 'ap'
    option network '8298zzdy'
    option ssid 'guest'
    option encryption 'psk2'
    option key 12345678
root@MiFi:~# cat /etc/config/firewall 

config defaults
    option syn_flood '1'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option flow_offloading '1'

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option masq 1

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config zone
    option name '8298zzdy'
    list network '8298zzdy'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'

config rule '8298zzdy_dhcp'
    option name '8298zzdy DHCP, ports 67-68'
    option src '8298zzdy'
    option proto 'udp'
    option src_port '67-68'
    option dest_port '67-68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule '8298zzdy_dns'
    option name '8298zzdy DNS, port 53'
    option src '8298zzdy'
    option dest_port '53'
    option target 'ACCEPT'
    option family 'ipv4'
    option proto 'tcpudp'

config forwarding
    option src '8298zzdy'
    option dest 'lan'
root@MiFi:~# cat /etc/config/dhcp 

config dnsmasq
    option domainneeded '1'
    option boguspriv '1'
    option filterwin2k '0'
    option localise_queries '1'
    option rebind_protection '1'
    option rebind_localhost '1'
    option local '/lan/'
    option domain 'lan'
    option expandhosts '1'
    option nonegcache '0'
    option cachesize '1000'
    option authoritative '1'
    option readethers '1'
    option leasefile '/tmp/dhcp.leases'
    option resolvfile '/tmp/resolv.conf.d/resolv.conf.auto'
    option nonwildcard '1'
    option localservice '1'
    option ednspacket_max '1232'
    option filter_aaaa '0'
    option filter_a '0'
    list rebind_domain 'free.aero2.net.pl'
    option confdir '/tmp/dnsmasq.d'

config dhcp 'lan'
    option interface 'lan'
    option start '100'
    option limit '150'
    option leasetime '12h'
    option ignore 1

config dhcp 'wan'
    option interface 'wan'
    option ignore '1'

config dhcp '8298zzdy'
    option interface '8298zzdy'
    option start '100'
    option limit '150'
    option leasetime '2h'

Kilka minut konfiguracji. Działa od ręki, podstawa jako lan z adresacją przydzielaną przez główny router bo to głupi AP a nim guest  z własną klasą adresową. Podłączając się do jednej czy drugiej - dostaje się odpowiedni adres i jest dostęp do internetu przez główny router. Działa, sprawdzone przed chwilą.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona