Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Konfigurace VLAN pro oddělené sítě
- - Od lukasberan Dne 2014-03-21 22:15
Hezký den,

chtěl bych mít na routeru dvě oddělené sítě. Mám od poskytovatele koupený /29 rozsah veřejných statických IP (dejme tomu 123.123.123.240/29), ale nedaří se mi nastavit, aby některé LAN porty byly za NATem na lokálních IP a některé porty byly na veřejných IP.

Pro lokální síť používám rozsah 192.168.88.0/24 na portech LAN 1, 4, 5 + WLAN. Veřejné IP bych chtěl staticky přidělovat na dvě zařízení na portech LAN 2 a 3. V části Síť - Switch jsem tedy vytvořil novou VLAN a přiřadil do ní porty Port 3 a 4 jako Neoznačený. Tyto porty jsem také u výchozí VLAN 1 nastavil jako Off. Router má na WAN staticky nastavenou IP 123.123.123.241 s maskou 255.255.255.248 a správnými DNS.

Dále jsem udělal nové rozhraní, kde jsem nastavil statická adresa, nastavil jsem IPv4 123.123.123.241, brána 255.255.255.248, dole do DHCP jsem nastavil start 242, limit 3 (stačí zatím). Teď si ale nejsem jistý, co nastavit do fyzického nastavení. Zkoušel jsem most eth2 (WAN, WAN6) + rozhraní VLAN eth 0.3 (což by měla být ta moje třetí VLAN), ale nedaří se mi. I když si dám ipconfig /release a /renew, stále dostávám IP z lokálního rozsahu.

Žádaný stav je takový, aby klienti na LAN 2 a 3 měly dostávat adresy z rozsahu 123.123.123.240/29 s bránou a DNS 123.123.123.241. Klienti na ostatních portech + na WLAN by měly dostávat adresy z rozsahu 192.168.88.0/24 s bránou a DNS 192.168.88.1.

Můžete mi prosím někdo poradit, co dělám špatně nebo jak bych to měl nastavit?
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2014-03-22 08:25 Hlasů 1
Rozumím tomu dobře, že ten rozsah veřejných adres je k dispozici přímo na kabelu, co vede od providera?

Pokud ano, pak je nejjednodušší použít přímo vestavěný switch v Turrisu. Protože ale WAN zásuvka do switche nevede, doporučuji kabel od providera místo toho zapojit do LAN1. Pak stačí switch nakonfigurovat tak, aby jedna VLANa obsahovala porty LAN1 až LAN3  spolu s vnitřní kartou eth0 a druhá porty LAN4 a LAN5 s vnitřní kartou eth1. Níže je příklad takové konfigurace v souboru /etc/config/network. Zásuvka WAN (eth2) v takovém případě zůstane nezapojená, případně je jí možno „zbridgeovat“ s jedním nebo druhým rozhraním, pokud by byl nedostatek zásuvek.
config interface 'lan'
        option ifname 'eth1'
        …

config interface 'wan'
        #option ifname 'eth2'
        option ifname 'eth0'
        option proto 'dhcp'

#Tohle je LAN - eth1
config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0 1 2 '

#Tohle je ve skutecnosti WAN zapojeny do LAN1 - eth0
config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '3 4 5 6'
Nadřazený - - Od lukasberan Dne 2014-03-22 08:47
Ano, přesně tak, na kabelu od ISP mám tento rozsah a tyto adresy si mohu nastavovat i přímo na koncová zařízení. Dřív jsme měli Mikrotik od poskytovatele, kde to bylo takhle nastavené poskytovatelem. Od zimy ale ISP přešel na UBNT a ten vůbec tyhle věci neumí. Aktuálně tedy krabička od poskytovatele dává jen veřejné IP z toho rozsahu a v síti byl obyčejný switch a za ním dvě PC s veřejnými a router, který pak dělal NAT.

Teď s Turrisem bych chtěl dosáhnout toho, aby tohle všechno dělal Turris a vlastně tím plně nahradil dříve používaný Mikrotik. S ISP jsem domluvený, že mi jejich UBNT krabičku přepne do bridge režimu, až budu chtít.

Pokud WAN nezapojím, nebude problém s těmi neveřejnými IP, potažmo s NATem?
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2014-03-22 10:54
WAN je jen jméno zásuvky, to který port bude použit jako logické WAN rozhraní (tedy to, které bude vnějším rozhraním NATu pro privátní adresy) je nastaveno ve výše citovaném souboru /etc/config/network. Když se použije místo eth2 rozhraní eth0, bude Turris brát veřejnou IP adresu z kabelu zapojeného v konektorech LAN1-LAN3.

Pokud ale máte s ISP dobré vztahy, mohli by být ochotni vám daný veřejný IP rozsah naroutovat, což by bylo ze síťařského hlediska správnější řešení. Vypadalo by to tak, že byste spojili WAN rozhraní vašeho Turrise s jejich routerem pomocí nějaké spojovací sítě (klidně s privátními adresami), a u sebe by ISP nastavili, že daný IP rozsah je dostupný prostřednictvím WAN adresy vašeho Turrise. Pak by se Turris mohl chovat jako skutečný router, stačilo by tam založit dvě LAN sítě, jednu s privátními, jinou s veřejnými adresami a poladit nastavení firewallu, aby veřejné adresy neNAToval. Výhodou takového řešení by bylo, že i provoz na zařízeních s veřejnou adresou by bylo možné firewallovat na Turrisu. Při použití switche takový provoz kompletně obchází Turris a není tedy ani vidět ve sledovaných datech.
Nadřazený - Od lukasberan Dne 2014-03-22 11:12
Zkusím se s nimi domluvit. Většinou nebyl problém a vyšli vstříc. Koneckonců i ten vlastní rozsah není úplně standardní řešení pro domácnosti :)

Akorát asi bude sranda to nastavit na Turris. Tohle už je na mě hodně pokročilá síťařina. Zkusím se s nimi ale domluvit. Večer ještě minimálně z tréninkových důvodů zkusím udělat to výše popsané nastavení, pokud je to nejlepší možnost řešení v případě, že by poskytovatel nebyl ochotný (nebo z nějakého důvodu schopný) mi ten veřejný rozsah naroutovat.
Nadřazený - - Od lukasberan Dne 2014-03-22 18:27 Upraveno 2014-03-22 18:59
Tak jsem to nastavil podle rady a funguje to :smile: Doufám, že mi poskytovatel naroutuje celou subsíť na Turrise.

Jak by, prosím, poté vypadalo nastavení? Pak by tím pádem musel být i druhý DHCP (aktuálně privátní adresy jdou z Turrise a veřejné z DHCP poskytovatele).

EDIT:
Ještě jedna drobnost. WAN je aktuálně na té VLAN s veřejnými IP, že? Šlo by ho nějak dát na privátní sítě? Protože na zařízení, které bylo dříve na LAN 1, ale po výměně je na WAN, se aktuálně nemohu dostat. A zařízení mělo ručně nastavenou IP z lokální sítě.
config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'auto'

config interface 'lan'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '192.168.88.1'
        option _orig_ifname 'eth0 eth1 wlan0'
        option _orig_bridge 'true'
        option ifname 'eth1'

config interface 'wan'
        option proto 'dhcp'
        option _orig_ifname 'eth2'
        option _orig_bridge 'false'
        option ifname 'eth0'

config interface 'wan6'
        option ifname '@wan'
        option proto 'dhcpv6'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0 1 2'
        option vid '1'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '3 4 5 6'
        option vid '2'
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2014-03-22 20:31 Hlasů 1
Jak jsem psal, zásuvka WAN (neboli eth2) není v tuhle chvíli zapojena nikam. Chcete-li z ní udělat LAN port, najděte v sekci config interface 'lan' řádek option ifname 'eth1' a upravte do podoby option ifname 'eth1 eth2'.

Možná ale, abychom se vyhnuli zmatení nepřítele, bude nejlepší zavést bridge zásuvky WAN s logickým WAN rozhraním namísto portu LAN1. Tím se vlastně dostaneme ke konfiguraci požadované v původním dotazu :). Konfigurace pak bude vypadat podle níže uvedené citace. Protože fórum neumí více bloků kódu, druhou variantu nastíním v dalším příspěvku.
config interface 'wan'
        option proto 'dhcp'
        option type 'bridge'
        option ifname 'eth0 eth2'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0 1 2 5'
        option vid '1'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '3 4 6'
        option vid '2'
Nadřazený - Od lukasberan Dne 2014-03-23 09:40
Perfektní, díky moc :smile:

Mám odezvu od poskytovatele, že pokud to bude technicky možné, tak mi celý subnet naroutují. Ještě dá vědět.

Takže pokud mi naroutují celý můj subnet na Turrise, tak se pak ozvu s tím, co mi dal on za pokyny, abych s Vaší pomocí mohl udělat správné nastavení :smile:
Nadřazený - Od Ondřej Caletka (>>>) Dne 2014-03-22 20:49
Nastavení pro routování bude trochu složitější. Předně je potřeba vrátit turris do původní konfigurace, tedy WAN rozraní na WAN konektoru. Pak v souboru /etc/config/network zkopírujte blok config interface 'lan' do nového bloku třeba config interface 'publiclan'. Prvními přiřaďte třeba eth1, druhému eth0. Pro příklad jsem zvolil veřejný blok 192.0.2.64/26.

Dále nastavíte DHCP server v souboru /etc/config/dhcp.
A nakonec firewall. Tam je důležité určit volbou masq_src, že se mají NATovat pouze privátní adresy. Jediné co jsem nedomyslel je jak nastavit veřejnou adresu na kterou bude NATováno. Standardně se bude NATovat na tu adresu, která je přiřazena rozhraní WAN. Pokud by bylo potřeba NATovat na některou z veřejných adres, asi se to nedá snadno vyřešit pomocí UCI firewallu, ale je potřeba přímo zadat příslušné pravidlo do iptables (ve tvaru … -j SNAT --to-source <veřejná adresa>)
/etc/config/network:

config interface 'publiclan'
        option ifname 'eth0'
        #option type 'bridge'
        option proto 'static'
        option ipaddr '192.0.2.64'
        option netmask '255.255.255.192'
        option ip6assign '60'


/etc/config/dhcp:
config dhcp 'publiclan'
        option interface 'publiclan'
        option start '66'
        option limit '10'
        option leasetime '12h'
        option ignore '0'

/etc/config/firewall:
config zone
        option name             wan
        list   network          'wan'
        list   network          'wan6'
        option input            REJECT
        option output           ACCEPT
        option forward          REJECT
        option masq             1
        option mtu_fix          1
        option log              true
        option log_prefix       'turris-000000: '
        option log_limit        '60/minute'
        option log_level        debug
        option masq_src         192.168.88.0/24
Nadřazený - - Od Michal Vaner (>>) Dne 2014-03-24 09:02
Dobré ráno

Díky Ondřeji Caletkovi za rozsáhlé odpovědi. Pokud to půjde s tím routováním, tak to bude fajn.

Pokud by to nešlo, pak by měl fungovat ten trik s „přibridgováním“ těch portů s veřejnou IP k WAN. Jen, v takovou chvíli je třeba nastavit ručně ucollect, protože ho takové nastavení zmate, když se bude snažit odhalit veřejné rozhraní, na kterém by měl sledovat provoz. Považoval by všechny takové porty (tedy, celý bridge WAN) za veřejné rozhraní.
config wan wan
        option autodetect 0

config interface
        option ifname 'eth2' # Při předpokladu, že je kabel od poskytovatele opravdu zapojen v zásuvce WAN = eth2
Nadřazený - - Od lukasberan Dne 2014-05-12 17:17 Upraveno 2014-05-12 17:22
Hezký den.

Podařilo se mi konečně dotlačit poskytovatele k tomu, aby mi naroutoval veřejný rozsah na Turrise.

Je to udělané přes privátní IP 10.99.99.2 s maskou /24 a bránou 10.99.99.1 (statická konfigurace). Teď bych tedy potřeboval pomoct s nastavením. Resetoval jsem router do továrních nastavení a kabel od poskytovatele přepojil zpět do WAN portu. Ale připojení nefunguje, i když jsem na WAN nastavil statickou IP podle výše uvedeného.

Na LAN bych měl mít dvě zařízení se statickou veřejnou IP (asi podle MAC), zbytek za NATem na lokálních IP 192.168.88.100-200 za jednou z veřejných IP. Naroutovaný rozsah statických veřejných IP je například 123.123.123.240/29.

Aktuální konfigurace je v příloze. Může mi prosím někdo poradit, jak to nastavit, aby to chodilo? :-)
        option netmask '255.255.255.0'
        option gateway '10.99.99.1'
        option dns '217.170.96.24 217.170.96.2'

config interface 'wan6'
        option ifname '@wan'
        option proto 'dhcpv6'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0 1 2 3 4 '

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '5 6'
Nadřazený - - Od lukasberan Dne 2014-05-12 19:17 Upraveno 2014-05-12 20:36
Tak zdá se, že už to funguje. Nastavil jsem to podle příspěvku Ondřeje Caletky a přidal jsem i pravidlo do IP tables, takže se mi už lokální adresy překládají na 123.123.123.241.

Teď bych ale potřeboval poradit, jak nastavit přidělování veřejných IP. Jak jsem psal, nejraději bych to řídil podle MAC adres, ale nevím, jestli to jde. Aktuálně mám dvě zařízení, které chci mít na statické veřejné IP, obě jsou připojeny přímo do Turrise (konektory s označení LAN2 a LAN3). Teď podle konfigurace mám veřejnou na LAN1, kde ji nechci (to bych si asi zvládl přehodit v konfiguraci), ale hlavně je tam nějak blbě nastavené DHCP, protože dostanu konfiguraci viz příloha.
IP konfigurace na LAN1:

   Connection-specific DNS Suffix  . : lan
   Description . . . . . . . . . . . : Intel(R) 82579LM Gigabit Network Connection
   Physical Address. . . . . . . . . : D4-C9-EF-E9-35-79
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::d8b0:fff7:5670:e9bf%3(Preferred)
   IPv4 Address. . . . . . . . . . . : 123.123.123.243(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.248
   Lease Obtained. . . . . . . . . . : 12. května 2014 21:27:15
   Lease Expires . . . . . . . . . . : 13. května 2014 9:27:15
   Default Gateway . . . . . . . . . : 123.123.123.240
   DHCP Server . . . . . . . . . . . : 123.123.123.240
   DHCPv6 IAID . . . . . . . . . . . : 64276975
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-19-CC-CD-74-D4-C9-EF-E9-35-79

   DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS over Tcpip. . . . . . . . : Enabled




Konfiguráky na routeru

/etc/config/network
config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'auto'

config interface 'lan'
        option ifname 'eth1'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '192.168.88.1'

config interface 'publiclan'
        option ifname 'eth0'
        #option type 'bridge'
        option proto 'static'
        option ipaddr '123.123.123.240'
        option netmask '255.255.255.248'
        option ip6assign '60'



config interface 'wan'
        option ifname 'eth2'
        option proto 'static'
        option ipaddr '10.99.99.2'
        option netmask '255.255.255.0'
        option gateway '10.99.99.1'
        option dns '217.170.96.24 217.170.96.2'

config interface 'wan6'
        option ifname '@wan'
        option proto 'dhcpv6'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0 1 2 3 4 '

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '5 6'



/etc/config/dhcp

config dnsmasq
        option domainneeded '1'
        option boguspriv '1'
        option filterwin2k '0'
        option localise_queries '1'
        option rebind_protection '1'
        option rebind_localhost '1'
        option local '/lan/'
        option domain 'lan'
        option expandhosts '1'
        option nonegcache '0'
        option authoritative '1'
        option readethers '1'
        option leasefile '/tmp/dhcp.leases'
        option resolvfile '/tmp/resolv.conf.auto'
        option port '0'

config dhcp 'lan'
        option interface 'lan'
        option start '100'
        option leasetime '12h'
        option ignore '0'
        option limit '200'
        list dhcp_option '6,192.168.88.1'


config dhcp 'publiclan'
        option interface 'publiclan'
        option start '242'
        option limit '247'
        option leasetime '12h'
        option ignore '0'



config dhcp 'wan'
        option interface 'wan'
        option ignore '1'




/etc/config/firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        option log 'true'
        option log_prefix 'turris-000000: '
        option log_limit '60/minute'
        option log_level 'debug'
        option masq_src '192.168.88.0/24'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fe80::/10'
        option src_port '547'
        option dest_ip 'fe80::/10'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config include
        option path '/usr/share/firewall/turris'

config redirect
        option target 'SNAT'
        option src 'lan'
        option dest 'wan'
        option proto 'all'
        option src_dip '123.123.123.241'
        option name 'Lokalni'

Nadřazený - - Od Michal Vaner (>>) Dne 2014-05-13 10:28
Dobrý den

Nemám úplně rozmyšlené, jak to udělat v nastavení, takže jen spíš tip, kterým směrem zkoumat, ale zkusil bych nějak mít oba rozsahy na stejném rozhraní, nedělit to na VLany. A dhcp už jde nastavit, aby přiděloval konkrétní IP adresu konkrétnímu zařízení.
Nadřazený - Od lukasberan Dne 2014-05-13 12:38
Díky za reakci. Ale to mě vůbec nenapadá, jak to takhle řešit. Spíš mě napadají jiné úpravy. 123.123.123.240 není vlastně fyzická adresa, ale je to adresa sítě, proto bych do konfigurace publiclan měl dát asi spíš option ipaddr '123.123.123.241'. A samozřejmě změnit maškarádu pro lokální IP na 123.123.123.247 například a snížit i rozsah DHCP pro veřejné IP o tuto jednu adresu, takže rozsah by pak byl 242-246. Teď ale nevím, kde a jak tu 241 nastavit na routeru, aby to opravdu byla brána pro zařízení na veřejných IP a také nevím, proč DHCP na veřejných nepřidělil adresu DNS, nejspíš tam budu muset přidat také možnost list dhcp_option '6,123.123.123.241' k publiclan.

Ale fakt nevím, jenom střílím, v tomhle nejsem až tak zběhlý. Pokud by někdo poradil lépe, byl bych moc vděčný.
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2014-05-13 12:42
Konfigurace aliasů by měla jít snadno podle prvního příkladu na aliasy u OpenWRT. Vzniknou tak dvě různá logická rozhraní (třeba lan a publiclan), která ale budou sdílet společný port. Pak je jen záležitost DHCP, aby podle MAC adresy přidělil správnou IP adresu. Případně je možné ta dvě zařízení s veřejnou adresou nakonfigurovat staticky ručně.
Nadřazený - - Od lukasberan Dne 2014-05-13 13:49 Upraveno 2014-05-13 15:01
Uff, tak v tom se docela ztrácím... :confused: Nešlo by to prosím konkretizovat na můj případ?

EDIT:
Takže option type 'bridge' bude u publiclan zakomentované, ale u lan zakomentované nebude (kvůli WiFi?) a u obou bude ifname 'eth1' a ipaddr bude na public lan 241 na konci. V DHCP bude u publiclan přidaný řádek list dhcp_option '6,123.123.123.241' a ve firewall nastavím cílovou adresu na 247 místo 241, která bude obsazená. Je to takhle správně? Nejsem si jistý tou konfigurací network, jestli použít eth1 u obou a jestli na lan zakomentovat option type 'bridge' .
/etc/config/network
config interface 'lan'
        option ifname 'eth1'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '192.168.88.1'

config interface 'publiclan'
        option ifname 'eth1'
        #option type 'bridge'
        option proto 'static'
        option ipaddr '123.123.123.241'
        option netmask '255.255.255.248'
        option ip6assign '60'


/etc/config/dhcp
config dhcp 'lan'
        option interface 'lan'
        option start '100'
        option leasetime '12h'
        option ignore '0'
        option limit '200'
        list dhcp_option '6,192.168.88.1'


config dhcp 'publiclan'
        option interface 'publiclan'
        option start '242'
        option limit '246'
        option leasetime '12h'
        option ignore '0'
        list dhcp_option '6,123.123.123.241'


/etc/config/firewall
config redirect
        option target 'SNAT'
        option src 'lan'
        option dest 'wan'
        option proto 'all'
        option src_dip '123.123.123.247'
        option name 'Lokalni'
Nadřazený - - Od lukasberan Dne 2014-05-14 13:36
Výše uvedené stejně nefunguje... Takže opravdu nevím, jak dál :sad: Nenajde se prosím někdo, kdo by mi s tím pomohl? Jak konkrétně nastavit, aby mi fungovaly i veřejné IP? Lokální IP a jejich překlad na jednu z veřejných IP fungují v pořádku. Aktuální konfigurace (důležité části) je v příloze. Díky moc.
/etc/config/network
config interface 'lan'
        option ifname 'eth1'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '192.168.88.1'

config interface 'publiclan'
        option ifname 'eth0'
        #option type 'bridge'
        option proto 'static'
        option ipaddr '123.123.123.241'
        option netmask '255.255.255.248'
        option ip6assign '60'

config interface 'wan'
        option ifname 'eth2'
        option proto 'static'
        option ipaddr '10.99.99.2'
        option netmask '255.255.255.0'
        option gateway '10.99.99.1'
        option dns '217.170.96.24 217.170.96.2'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0 1 2 3 4 '

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '5 6'


/etc/config/dhcp
config dhcp 'lan'
        option interface 'lan'
        option start '100'
        option leasetime '12h'
        option ignore '0'
        option limit '200'
        list dhcp_option '6,192.168.88.1'

config dhcp 'publiclan'
        option interface 'publiclan'
        option start '242'
        option limit '246'
        option leasetime '12h'
        option ignore '0'
        list dhcp_option '6,123.123.123.241'


/etc/config/firewall
config redirect
        option target 'SNAT'
        option src 'lan'
        option dest 'wan'
        option proto 'all'
        option src_dip '123.123.123.247'
        option name 'Lokalni'

Nadřazený - - Od Ondřej Caletka (>>>) Dne 2014-05-14 15:05
Co ruční nastavení IP adresy na koncovém stroji, funguje?. Možná to je jen problém DHCP serveru.
Nadřazený - - Od lukasberan Dne 2014-05-14 15:16
Také nefunguje. Z DHCP dostanu zdánlivě správnou IP konfiguraci, viz příloha. Přístup na internet ale nefunguje, viz výsledky pingu v příloze.
IP konfigurace

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) 82579LM Gigabit Network Connection
   Physical Address. . . . . . . . . : D4-C9-EF-E9-35-79
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::d8b0:fff7:5670:e9bf%3(Preferred)
   IPv4 Address. . . . . . . . . . . : 123.123.123.243(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.248
   Lease Obtained. . . . . . . . . . : 14. května 2014 16:07:44
   Lease Expires . . . . . . . . . . : 15. května 2014 4:12:08
   Default Gateway . . . . . . . . . : 123.123.123.241
   DHCP Server . . . . . . . . . . . : 123.123.123.241
   DHCPv6 IAID . . . . . . . . . . . : 64276975
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-19-CC-CD-74-D4-C9-EF-E9-35-79

   DNS Servers . . . . . . . . . . . : 123.123.123.241
   NetBIOS over Tcpip. . . . . . . . : Enabled


ping seznam.cz

Pinging seznam.cz [77.75.72.3] with 32 bytes of data:
Reply from 123.123.123.241: Destination port unreachable.
Reply from 123.123.123.241: Destination port unreachable.
Reply from 123.123.123.241: Destination port unreachable.
Reply from 123.123.123.241: Destination port unreachable.

Ping statistics for 77.75.72.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),



ping 77.75.76.3

Pinging 77.75.76.3 with 32 bytes of data:
Reply from 123.123.123.241: Destination port unreachable.
Reply from 123.123.123.241: Destination port unreachable.

Ping statistics for 77.75.76.3:
    Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Nadřazený - - Od lukasberan Dne 2014-05-16 20:37
Postoupil jsem o kousek dál, veřejné IP řeším přes NAT 1:1. Potřeboval bych ale pomoc s konfigurací rozhraní, potažmo VLAN nejspíš. Protože když si připojím počítač do LAN1, kde mám pouze publiclan, tak to funguje hezky, dostanu z DHCP na základě rezervace správnou veřejnou IP a pod tou jsem vidět i v internetu. Na LAN2-4 + WiFi pak mám zařízení na lokálních IP, které jsou v internetu pod jednou veřejnou. To vše funguje hezky. Ale když chci mít na portech LAN2 a 3 dvě zařízení s veřejnou IP a na LAN 4, 5 a 1 + WiFi zařízení s lokální IP, tak už nejsem schopný to nakonfigurovat tak, aby to fungovalo. I když mám nastavenou rezervaci na veřejnou IP, tak stejně dostanu lokální IP. A když si zkusím ručně nastavit veřejnou, tak se na internet nedostanu. V příloze posílám aktuální konfiguraci. Pomůže mi prosím někdo s nastavení rozhraní/vlan tak, aby to fungovalo jak výše popisuji? Tedy veřejné na portech LAN2 a 3 přidělené z DHCP podle rezervace a na portech LAN4, 5 a 1 + WiFi lokální IP maskované za jednu veřejnou (.247)?
/etc/config/dhcp
config dhcp 'lan'
  option interface 'lan'
  option start '100'
  option leasetime '2m'
  option limit '200'
  list dhcp_option '6,192.168.88.1'

config dhcp 'publiclan'
  option interface 'publiclan'
  option start '242'
  option limit '246'
  option leasetime '2m'
  list dhcp_option '6,178.17.92.241'
  option dynamicdhcp '0'

config dhcp 'wan'
  option interface 'wan'
  option ignore '1'

config host
  option name 'OfficeJet8000'
  option mac 'd4:85:64:80:a2:97'
  option ip '192.168.88.250'

config host
  option mac '00:26:18:74:1e:ae'
  option ip '123.123.123.246'
  option name 'server'

config host
  option name 'lukas-note'
  option mac 'd4:c9:ef:e9:35:79'
  option ip '123.123.123.242'


/etc/config/network
config interface 'lan'
  option type 'bridge'
  option proto 'static'
  option netmask '255.255.255.0'
  option ip6assign '60'
  option ipaddr '192.168.88.1'
  option _orig_ifname 'eth1 wlan0'
  option _orig_bridge 'true'
  option ifname 'eth1'

config interface 'publiclan'
  option proto 'static'
  option ipaddr '123.123.123.241'
  option netmask '255.255.255.248'
  option ip6assign '60'
  option _orig_ifname 'eth0'
  option _orig_bridge 'true'
  option ifname 'eth0'

config switch
  option name 'switch0'
  option reset '1'
  option enable_vlan '1'

config switch_vlan
  option device 'switch0'
  option vlan '1'
  option ports '0 1 2 3 4'
  option vid '1'

config switch_vlan
  option device 'switch0'
  option vlan '2'
  option ports '5 6'
  option vid '2'


/etc/config/firewall
config redirect
  option target 'SNAT'
  option src 'lan'
  option dest 'wan'
  option proto 'all'
  option src_dip '123.123.123.242'
  option name 'mujnote'
  option src_ip '123.123.123.242'

config redirect
  option target 'SNAT'
  option src 'lan'
  option dest 'wan'
  option proto 'all'
  option src_dip '123.123.123.246'
  option name 'server'
  option src_ip '123.123.123.246'

config redirect
  option target 'SNAT'
  option src 'lan'
  option dest 'wan'
  option proto 'all'
  option src_dip '123.123.123.247'
  option name 'Lokalni'
Nadřazený - Od lukasberan Dne 2014-05-17 09:05
Takže asi vyřešeno, stačilo upravit VLANy podle přiložené konfigurace. Funguje to snad podle představ. Pokud k tomu nemá někdo nějaké připomínky (například nastavení firewallu, NAT nebo i pro sbírání dat na Turrisovi nebo cokoliv jiného), tak bych to považoval za vyřešené.
config switch
  option name 'switch0'
  option reset '1'
  option enable_vlan '1'

config switch_vlan
  option device 'switch0'
  option vlan '1'
  option ports '3 4 6'
  option vid '1'

config switch_vlan
  option device 'switch0'
  option vlan '2'
  option ports '0 1 2 5'
  option vid '2'
Nahoru Téma Majitelé routerů / Technická podpora / Konfigurace VLAN pro oddělené sítě

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill