înregistrare Logare
Puncte:1
Sheik avatar Server

Cum să mă MASCĂREZ între poduri vlan

drapel us
Sheik

Am creat două punți VLAN în sistem openwrt care are o singură interfață fizică.

*) eth0->lan->br-lan
*) br-lan->br-lan.2(VLAN INTF)->br-vlan2(BRIDGE INTF)
*) br-lan->br-lan.20(VLAN INTF)->br-vlan20(BRIDGE INTF)

Rulez un server DHCP pe o mașină ubuntu.

Încerc să fac ruta între vlan pentru a deschide comunicarea intervlan. Dar nu am putut reuși.

ceea ce am facut este

 iptables -t nat -I POSTROUTING -o br-vlan2 -j MASQUERADE

 iptables -A FORWARD -i br-vlan2 -o br-vlan20 -mstate --state RELATED,STABLISHED -j ACCEPT

 iptables -A FORWARD -i br-vlan20 -o br-vlan2 -j
 ACCEPT

 echo 1 > /proc/sys/net/ipv4/ip_forward

Și am încercat să actualizez /etc/config/firewall cu reguli de redirecționare

zona de configurare
        numele opțiunii „vlan2”
        listează rețeaua „br-lan.2”
        opțiunea de intrare „ACCEPT”
        ieșire opțiune „ACCEPT”
        opțiunea înainte „ACCEPT”

zona de configurare
        numele opțiunii „vlan20”
        listează rețeaua „br-lan.20”
        opțiunea de intrare „ACCEPT”
        ieșire opțiune „ACCEPT”
        opțiunea înainte „ACCEPT”

redirecționarea configurației
        opțiunea src 'br-lan.2'
        opțiunea dest 'br-lan.20'

redirecționarea configurației
        opțiunea src 'br-lan.20'
        opțiunea dest 'br-lan.2'

Ce este în neregulă aici? Și sunt începător la concepte de router.

Editați | ×:

Așa arată configurația mea

             IP: 192.168.2.10 192.168.20.10
             GW: 192.168.2.1 192.168.20.1
                   |client 1| |client 2|
                         ^ ^
                     _____|______________|________
                    | br-vlan2 | br-vlan20 |    
 _____________ |192.168.2.2 | 192.168.20.2 |   
| | |_____________|______________|
| 192.168.1.1 | | |br-lan IP: 192.168.1.2|
| router |---->|eth0| GW: 192.168.1.1 |
|_____________| |____|_______________________|          
                    | mașină x86 ca AP |
                    |________________________________|
409
0 + 0
Nikita Kipriyanov avatar
drapel za
Nikita Kipriyanov
Care este hardware-ul real care rulează OpenWRT și unde este conectat eth0-ul său? Mai bine eliminați br-lan și faceți subinterfețele VLAN din eth0 direct (OpenWRT este aproape întotdeauna configurat în acest fel). De asemenea, de ce atâtea poduri, ce mai ai de gând să pui în interiorul lor? Nu ar fi mai simplu să atribuiți IP direct acelor subinterfețe VLAN și să le puneți în zone de firewall?
0
Răspunde
Puncte:0
Nikita Kipriyanov avatar Server
drapel za
Nikita Kipriyanov

Routerul obișnuit OpenWRT are de obicei o singură interfață Ethernet în CPU care este conectată intern la un cip „smart switch”. Alte porturi ale comutatorului sunt puse la dispoziție în exterior ca mufe, unul de obicei etichetat ca „WAN”, iar alții sunt „LAN”. Comutatorul este configurat în felul următor: legătura CPU-switch este trunk (toate VLAN-urile sunt etichetate), un port ("WAN") este un VLAN neetichetat și celelalte porturi ("LAN") au făcut alte VLAN neetichetate. Aceasta este în esență o configurație standard „router-on-a-stick”, în care comutatorul funcționează ca un simplu extensitor de porturi pentru un router cu număr redus de porturi.

Restul arată exact ca și cazul tău, computerul Linux care are o singură interfață Ethernet. Pentru a completa configurarea comutatorului, acesta este împărțit în subinterfețe VLAN. Apoi, acele subinterfețe sunt configurate în funcție de funcția lor: LAN-ul este pus într-o punte cu interfețe WLAN, în timp ce WAN este configurat fără punți.

Această configurare arată astfel (eth0 este singura interfață a routerului):

  • eth0 are două subinterfețe VLAN, .1 și .2
  • eth0.1 și wlan0 și wlan1 sunt combinate în br-lan care are o adresă IP atribuită și pusă în zona LAN
  • eth0.2 are și adresa atribuită.

În cazul în care aveți nevoie cu adevărat de poduri, acesta este calea de urmat:

interfață de configurare „vlan20”
        opțiune ifname 'eth0.20'
        tip de opțiune „bridge”
        opțiune proto „static”
        opțiunea mască de rețea „255.255.255.0”
        opțiunea ipaddr „192.168.20.1”

interfață de configurare „vlan2”
        opțiune ifname 'eth0.2'
        tip de opțiune „bridge”
        opțiune proto „static”
        opțiunea mască de rețea „255.255.255.0”
        opțiunea ipaddr „192.168.2.1”

Aceasta s-ar traduce în: Două subinterfețe VLAN vor fi create din eth0, și două poduri create, br-vlan20 și br-vlan2. Fiecare subinterfață VLAN va participa la propria sa punte. Podurile au apoi IP-uri atribuite.

Dacă nu aveți nevoie de o punte (de exemplu, nu intenționați să adăugați alte interfețe), eliminați tip de opțiune „bridge” linie din definiție.

Atenție, dispozitivul de pe cealaltă parte a eth0 linkul în acest caz trebuie să fie pregătit să se ocupe de cadrele etichetate!

Configurarea paravanului de protecție pentru acest caz ar putea arăta astfel:

zona de configurare
        numele opțiunii „zona20”
        opțiunea de intrare „ACCEPT”
        ieșire opțiune „ACCEPT”
        opțiunea înainte „ACCEPT”
        opțiune de rețea „vlan20”

zona de configurare
        numele opțiunii „zona2”
        opțiunea de intrare „ACCEPT”
        ieșire opțiune „ACCEPT”
        opțiunea înainte „ACCEPT”
        opțiune masq '1'
        opțiune de rețea „vlan2”

redirecționarea configurației
        opțiunea src „zona20”
        opțiunea dest „zona2”

redirecționarea configurației
        opțiunea src 'zona2'
        opțiunea dest „zona20”

Observați cum zonalui reţea opțiunile din firewall corespund cu interfatanumele lui în reţea Fișier de configurare. Numele interfeței Linux apar o singură dată în reţea fișier de configurare și nicăieri altundeva. expedierelui src și dst opțiunile, totuși, corespund zonalui Nume Opțiuni.

0 + 0
Sheik avatar
drapel us
Sheik
Mulțumesc @Nikita Tocmai mi-am configurat aparatul x86 ca punct de acces wireless. Aparatul meu are un card Ethernet și două carduri wireless și nu există niciun comutator intern. Tocmai am încercat așa cum ați sugerat să creez vlan-uri din interfața eth și să redirecționez cu nume de zone. Asta a funcționat bine. Dar cerința mea este să fac rută între podurile vlan. Trebuie să creez vlan din br-lan și apoi să activez rutarea intervlan în AP-ul meu. Încerc doar să implementez rutarea intervlan bazată pe client ca parte a uneia dintre caracteristicile mele AP.
0
Răspunde
Sheik avatar
drapel us
Sheik
Bună @Nikita Kipriyanov Tocmai am adăugat configurația mea împreună cu întrebarea. Mai devreme am spus că cazul meu nu funcționează și cazul tău funcționează. De fapt, ambele cazuri funcționează când îmi păstrez gateway-ul clienților ca IP-uri VLAN, dar AP-ul meu acționează în modul bridge, evident că clienții primesc routerul ca gateway. astfel încât pachetul omite înainte de a fi redirecționat. Sper că ai înțeles scenariul meu. Trebuie să fac traseu între podurile din AP. Aceasta este ceea ce am cerut.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.