Witam serdecznie,
Posiadam następujący sprzęt: Router:
TPLINK TL-WR1043ND v2.1 z wgranym OpenWRT:
Gargoyle PL 1.6.2.2 (b70bfc1)
OpenWrt Attitude Adjustment 12.09.1 (r42647)
Build time: 2014-09-27 10:11 CEST SWITCH:
NETGEAR GS108PE - zarządzany z możliwością ustawienia VLANów za pomocą protokołu 802.1q
Próbuję lecz niestety z marnym skutkiem ustawić trzy podsieci, które mają być identyfikowane po numerach VLAN. Konkretnie chodzi o:
LAN1 - VLAN11 - sieć dla komputerów "domowników" - 192.168.11.0/24 - DHCP ON
LAN2 - VLAN12 - sieć dla kamer / NVR - 192.168.12.0/24 - DHCP ON
LAN3 - VLAN13 - sieć dla alarmu - 192.168.13.0/24 - DHCP ON
Niestety w/w ustawienia nie działają i nie za bardzo wiem, gdzie mam rozpocząć poszukiwania błędów, które popełniłem. Czy mógłby mi ktoś pomóc z poprawną konfiguracją? Poniżej załączam również pliczek network.
Z góry serdecznie dziękuję za pomoc!
Pierwsza sprawa to port w switchu nie może być jednocześnie tagged i untagged.
Przy WR1043NDv2 switch ma 7 portów. pierwszy to połączenie procesora do eth1 ostatni to połączenie procesora do eth0.
Jak tworzysz VLANy to przestajesz używać sprzętowego eth1 a zaczynasz używać eth1.1 itp do tego trzeba będzie otagować odpowiednie porty np dla eth1
konfiguracja switcha wygląda dobrze tylko VLAN 1 ma 2 porty untagged ustaw je na off.
W ustawieniach interfejsów musisz zmienić z ustawień eth0.* na ręcznie dopisane eth1.11, eth1.12 i eth1.13 w custom interfaces.
lan11 ma mieć zaznaczone eth1.11 i wireless
lan12 ma mieć eth1.12
lan13 eth1.13
wan eth0
Reszta wygląda OK.
Kolego @Hainz serdecznie dziękuję za Twoją podpowiedź, przełączenie eth0.X na eth1.X rozwiązało wszystkie problemy
Mam jeszcze kilka dodatkowych pytań:
Czy powinno się usuwać VLAN1 (domyślny) z routera, czy lepszą opcją jest przestawienie wszystkiego na OFF?
Czy wiesz dlaczego w zakładce Physicall Interfaces mam dodatkowe nieszczęsne interfejsy eth1.X (tzn. eth1.). Czy da się to usunąć? Zrzut poniżej:
Rozumiem, że teraz, z obojętnie, której sieci LAN jestem podpięty (LAN1, LAN2, LAN3) mam podłączenie do internetu. Czy aby zapewnić możliwość dostępu z sieci LAN1 do sieci LAN2 oraz LAN3 (ping, podłączenie do portu 37777 rejestratora itp.) wystarczy, że dodam poniższą linijkę do pliku firewall, czy potrzebna jest dodatkow konfiguracja:
config forwarding
option src 'lan1'
option dest 'lan2'
config forwarding
option src 'lan1'
option dest 'lan3'
Czy lepiej będzie to zrobić lepiej tzn. puścić określony ruch z dowolnego adresu IP sieci LAN1 na port 37777 na określony adres IP z sieci LAN2 (adres rejestratora)? Jeżeli tak to proszę nakierujcie mnie na artykuły w internecie lub podajcie przykłady jak można to skonfigurować za pomocą konsoli SSH lub interfejsu LuCI.
Nie jestem dobrze obeznany z iptables także fajnie by było to jakoś zoobrazować.
Wszystko robię na sucho tzn, bez podłączenia do internetu oraz podłączenia rejestratora, kamer itp. Będę w stanie przetestować wszystko dopiero po świętach.
Ponownie dziękuję za pomoc!
Możesz usunąć. niczego to nie zmieni. ten VLAN jest nieużywany.
Wygląda to na błąd w LuCI. Gui samo dodaje te wpisy na podstawie pliku network. Nie rozróżnia eth0 ani eth1 pewnie dlatego że nie było ono pisane dla SoC z kilkoma interfejsami eth.
Co do firewalla to niestety nie znam się na tym dobrze. jednak przypisanie wszystkich interfejsów ( lan11,12,13) do jednej strefy LAN oznacza że urządzenia w LAN 11,12,13 będą się widziały. Jeśli chciał byś to osobno to musisz w firewallu utworzyć inne strefy ( np strefa kamer i strefa alarmu) a wtedy wybrać które strefy mają przekazywać ruch do jakich stref.( lan wan kamery alarm) można oczywiście ustawić czy ruch ma być jednostronny czy w obie strony(nie polecane przy wan)
Na IPTABLES się nie znam.