Velký RD - topologie / VLAN / Nastavení

[popelar]

Děkuji za vyčerpávající odpověď. Tak nějak bych si to představoval i já. Na čem to routujete? Už teď je mi z těch pravidel co budu zadávat nevolno

Tak samozřejmě, že na OpenWRT Na takový to domácí hraní ještě nikdo nic lepšího neudělal (Mokrotik není akternativa, neumí pořádně IPv6).

A pokud nepočítám switche, tak celý kouzlo je jenom ve dvou souborech. /etc/config/network popisuje sítě a switch (co je na kterým portu, jestli je to tagovaný, jaký ta síť má IP adresy atd.) a /etc/config/firewall (která síť s kterou si smí vyměňovat data). Stačilo vzít LAN a metodou Ctrl-Cizí + Ctrl-Vlastní to pomnožit a upravit 2-3 řádky v každé definici (např. pro síť adresu IPv4, IPv6 hint, fyzický rozhraní). Vytvořit a otestovat to sebralo asi 2h včetně studia dokumentace a nastavení certifikátu pro přihlášení po SSH...

No to zni skvele. Rad bych se dopracoval k tomu, ze za 2 hodiny nabastlim 7 vlan. Serionzne - poradite, kde zacit? Jsem uplny amater. Zacatek mam v planu (mel jsem do ted?) upgradem z upc smart na mikrotik. S vami ted asi slehne, za to se omlouvam, ale jede mi doma vsechno na jednom routeru. Tak jak z toho ven?

PS: ja vim, ze si muzu vsechno vygooglit, ale na zacatku je problem, ze clovek ani nevi, co googlit. Radeji bych byl za odkaz na dobry kurz (udemy, youtube, whatever), kde je to tak nejak od zacatku celistve a konce domaci site na 7 vlan..

Za kazdou konstruktivni radu dekuji

[Reklama]

[Petr M]

Takže lekce 1. Vytvoření VLAN

Soubor /etc/config/network:

Kód: [Vybrat]

config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'switch0'
option vlan '1'
option vid '1'
option ports '4 5t 6t'

config switch_vlan
option device 'switch0'
option vlan '2'
option vid '2'
option ports '1 2 3 4t 5t 6t'

...

Brouk v routeru se jmenuje "switch0". Pomocí "enable_vlan" se zapnou VLANy a pak už stačí říct, který používáš ( jedna VLAN, jedna sekce).  Tam jenom řekneš, co je to za switch (volba "device"), člíclo VLAN (volby "VLAN" a "VID"). Ports přiřazuje porty, normálně jejich čísla oddělený mezerou. "t" znamená "tagged", tj. se značkou VLAN. JInak je neoznačený (normální paket).

Na tomhle příkladu je nastavení prvních dvou VLAN. 1 je pro management (port 4 je trunk do switche v pracovně, neumí management z VLAN, tak ho dostal neoznačený). Druhá je normální LAN, dostupná na portech 1,2,3 a jako označená do 4, 5. 6ka jde do CPU, takže taky označená... A takhle se tam naseká, co je potřeba.

[SB]

Mikrotik má (nejen) IPv6 odfláklé, ale nastavit se to dá. Když vidím u Openwrt to štelování ručně přes konfigurák, kdy když udělám chybu, budu ji hledat půl hodiny, naskakuje mi vyrážka. U Mikrotiku se vezme Winbox (s 5 otevřenými okny) a namačká se to tam, nebo přes terminál, kdy prompt má nápovědu, nebo skriptem, kdy to při chybě vyletí. Jasně, Openwrt mívalo jakési webové rozhraní, ale pamatuju si z toho zmatenost v nastavování rozhraní, takže jako neznalý se k tomu nebudu vyjadřovat.

...Už teď je mi z těch pravidel co budu zadávat nevolno

Nastavení podsítí je jen jednou částí, pak bude nejspíš třeba nastavit ještě filtrování různých adres a služeb, prefixů, typů ICMP, NATů, logování atd., a to všechno (snad jen bez toho NATu) 2x.

[Petr M]

Když vidím u Openwrt to štelování ručně přes konfigurák, kdy když udělám chybu, budu ji hledat půl hodiny, naskakuje mi vyrážka.

No já to mám zas naopak. Klikání se sice dá, ale pokud na jedné záložce udělám chybu, překliknu jinam a nevidím nic. Kdežto v texťáku je to pěkně pod sebou, můžu si to okomentovat, abych neztratil nit...

Nastavení podsítí je jen jednou částí, pak bude nejspíš třeba nastavit ještě filtrování různých adres a služeb, prefixů, typů ICMP, NATů, logování atd., a to všechno (snad jen bez toho NATu) 2x.

Tož lekce 2, furt /etc/config/network: vytvoření sítě, přidělení adres . Jde to naklikat, ale pomalu...
Síť, která vede fyzicky na jedno rozhraní, se dělá takhle:

Kód: [Vybrat]

config interface 'mgmt'
option proto 'static'
option ifname 'eth0.1'
option ipaddr '192.168.8.1'
option netmask '255.255.255.0'
option ip6assign '64'
option ip6hint '11'

"mgmt" je název sítě.
"proto" definuje protokol, "static" znamená statickou IP adresu. Může tam být třeba 6to4, PPPoE apod.
"ifname" je fyzický inteface. "eth0" je síťová karta, za tečkou je číslo VLANy ( odpovídá parametru "vid" v definici LAN.
Další dva řádky se starají o IPv4. První je adresa routeru v té síti (dělá gateway), druhý je maska.
No a poslední dva řádky jsou pro IPv6. "ip6assign" je délka prefixu sítě, kterou oznamuje. Standard je 64b. No a protože je potřeba říct, čím doplnit prefix od ISPíka z /56 na /64, je tam hexa hodnota v parametru "ip6hint"

Pak jsou sítě, který vedou na dvě a víc rozhraní. Třeba síť pro hosty na WiFI v routeru a s odesláním do dalšího AP. To vypadá asi takto:

Kód: [Vybrat]

config interface 'iptv'
option proto 'static'
option type 'bridge'
option ifname 'eth0.100 eth1'
option ipaddr '10.11.7.250'
option netmask '255.255.255.0'
option ip6assign '64'
option ip6hint '4'

Přibyla volba "type", kterou se to přepne na bridge mezi několika rozhraníma.  A v "ifname" je několik položek, jinak furt na jedno kopyto.
Takže při vytváření sítí na routeru v podstatě jenom kopíruju ten druhý blok, upravím "ifname", "ipaddr" a "ip6hint" a pokud je jedno rozhraní můžu (ale nemusím) vyhodit přepnutí na bridge.

A tím s /etc/config/network končíme. Příště nakonfigurujeme DHCP, ať se s tím nemusíme přiřazovat individuálně...

[František Ryšánek]

@Petr_M: přestože OpenWRT mi běží doma už nejmíň 10 let (první byl White Russian) tak na tenhle tutorial si schovám bookmark - díky :-) Protože pokaždé když na to po třech až pěti letech šáhnu, je dost věcí jinak, a Vy to podáváte hezky po lopatě s vysvětlivkama. Respect.

Třeba teď naposledy jsem rezignoval na to, vyrábět si svůj vlastní firewallový skript, protože jsem seznal, že default už se chová dost použitelně, a příjemně mě překvapilo, jak daleko se dostalo HTTP rozhraní (LuCi). A protože to konfiguruju pro jedinou domácnost, nikoli pro celou bytovku, tak mi ty ovčí defaulty v podstatě vyhovují... Pravda je, že jsem se nedávno podivil, že mi doma skrz OpenWRT 19.07 nefungovaly Google Hangouts (zatímco v práci za jiným mým firewallem ano), ale nebyl čas to debugovat a už asi nebude. Možná byl problém úplně jinde. Jinak zatím bez zádrhelů, od té doby co jsem někdy v zimě naposledy vyměnil router. Hehe - vyhodil jsem ASUS WL500G Deluxe. Chudák musel dost dlouho přesluhovat, po výměně kondíků před lety... to jsou ty zázraky moderní medicíny (suché polymery a keramika). Když se mnou nepohnula morální zastaralost (pomalej a žravej), tak se nakonec začal kousat a tu červenou popelnici si konečně zasloužil. Odpočívej v pokoji.

[Reklama]

[Clee-Shock]

Nastavuji VLAN na SG108E a dost mě překvapuje, že se dostanu z jakékoli untagged VLAN na interface switche. To je normální chování nebo mám někde něco špatně nastavené? viz. screenshots

[5nik]

Nastavuji VLAN na SG108E a dost mě překvapuje, že se dostanu z jakékoli untagged VLAN na interface switche. To je normální chování nebo mám někde něco špatně nastavené? viz. screenshots

Myslím, že jste narazil na limity toho switche. Neumí Management VLANu. Viz FAQ TPlinku:

Management VLAN is only supported on T1500 series switches;

Jinými slovy management bude odpovídat na všech VLANách. Trochu Vám to nabourává ideu.

[tr1l1ner]

Nastavuji VLAN na SG108E a dost mě překvapuje, že se dostanu z jakékoli untagged VLAN na interface switche. To je normální chování nebo mám někde něco špatně nastavené? viz. screenshots

Mam doma v podstate stejny switch akorat s PoE (TL-SG108PE). Bohuzel nezvlada MGMT VLAN, takze je pak GUI pristupne ze vsech... Limitace tohoto maleho SW.

[Clee-Shock]

Nastavuji VLAN na SG108E a dost mě překvapuje, že se dostanu z jakékoli untagged VLAN na interface switche. To je normální chování nebo mám někde něco špatně nastavené? viz. screenshots

Myslím, že jste narazil na limity toho switche. Neumí Management VLANu. Viz FAQ TPlinku:

Management VLAN is only supported on T1500 series switches;

Jinými slovy management bude odpovídat na všech VLANách. Trochu Vám to nabourává ideu.

Zakázal jsem MGMT Switchů na FW a povolil jen z konkrétních MAC adres.

Vše funguje dobře až do momentu kdy jsem zprovoznil OpenVPN server na EdgeRouter X dle tohoto návodu -> https://help.ui.com/hc/en-us/articles/115015971688-EdgeRouter-OpenVPN-Server

V tom momentě nelze z místní sítě přistupovat na žádné zařízení v síti 192.168.10.0/24 kromě routeru, kterej je na 192.168.10.1. Když deaktivuju vtun0 rozhraní určené pro OVPN, tak se na všechny zařízení v subnetu 192.168.10.0/24 dostanu. Nenapadá vás čím by to mohlo být?

[František Ryšánek]

Ohledně OpenVPN, nemá ten server v konfiguraci redirect-gateway ?

[Clee-Shock]

Ohledně OpenVPN, nemá ten server v konfiguraci redirect-gateway ?

Nemá