Если выбрать тип соединения WAN – динамический IP-DHCP начинает работать локальная сеть, потом выбираем WAN - PPPoE начинает Интернет. Я так понимаю, маршруты iptables придется прописывать ручками. (
Если выбрать тип соединения WAN – динамический IP-DHCP начинает работать локальная сеть, потом выбираем WAN - PPPoE начинает Интернет. Я так понимаю, маршруты iptables придется прописывать ручками. (
А зачем в iptables что-то менять?
При загрузке роутера у вас startup скрипт перестраивает порты switch, подъем ppp опять же повторюсь идет через параметры из nvram например
wan_ifname=vlan2
wan_iface=vlan2
wan_ipaddr=....
и так далее, а не портов.
Попробуйте сделать сброс у роутера, настройте ppp соединение, и потом в startup добавьте строчки переназначения портов и перезапуститесь.
Router d-link dir-620
Сгорел WAN порт
Прошил на DD-WRT v24-sp2 (06/06/12) std - build 19327
Назначил WAN на LAN1
switch reg w 70 ffff4867
switch reg w 44 2001
создал подключение РРРоЕ, к провайдеру подключается, а Интернет не раздает. (
У меня проблема один-в-один
только роутер dir-300 b1, на нём рабочие порты только 1 и 4, прописав в команды при запуске switch reg w 70 ffff4867
switch reg w 44 2001
PPOE подконектился к провайдеру, выдался IP, но интернета нет, если вставить в сетевуху и настроить PPOE то всё ок работает.
Помогите с этой траблой, уже весь инет перерыл, ничего найти не могу.
vasek00 wrote:
Попробуйте сделать сброс у роутера, настройте ppp соединение, и потом в startup добавьте строчки переназначения портов и перезапуститесь.
Добрый день! Мучаюсь с Asus RT-N13U (первой ревизии). Прошивка dd-wrt DD-WRT v24-sp2 (08/07/10) std (14896). Пытаюсь перебросить WAN (сгорел) на один из LAN1-4.
Танцы с vlan1ports не помогли.
Пытаюсь через switch.
dump показывает:
switch reg r 40 = 1001
switch reg r 44 = 1001
switch reg r 48 = 1002
switch reg r 70 = ffff506f
набираю две команды
Code:
switch reg w 70 ffff4867
switch reg w 44 2001
вижу в switch vlan dump что значения поменялись (111--11 и ---1--1), но через некоторое время (5-10 сек) значения возвращаются (?!) обратно. Кроме того, если успеть нажать в вебморде Connect, то роутер уйдет в ребут.
Так же пробовал такую конфигурацию
Code:
switch vlan set 0 1 0011111
switch vlan set 1 2 0100011
Заносил команды через вебморду в startup. Не помогает, настройки сбрасываются (или потому что они не верные или же что-то их возвращает назад).
Как быть?
Posted: Mon Oct 22, 2012 17:28 Post subject: Разделение LAN и GuestLan на DIR-300(rev b3) с
Доброе время суток. Возникла обычная задачка, надо отделить внутреннюю сеть от гостевой. Обе сетки в инет должны ходить, но не видеть друг друга. И свободных железок есть DIR-100, DIR-300, wl500gP, DES2108. Решил заюзать DIR-300. Делаю LAN1 -> VLAN3 как гостевую, в нее будет воткнут wifi роутер. В LAN2 втыкается уже комп, раздающий инет.
Сети не VLAN1 и VLAN3 не должны видеть друг друга.
Делаю так:
switch reg w 70 48ff5067
switch reg w 44 3001
vconfig add eth2 3
ifconfig vlan3 192.168.3.10 netmask 255.255.255.0 up
Затем пытаюсь разделить VLAN3 и VLAN1 но не получается. Указав на компе ip: 192.168.3.100 и воткнувшись в LAN1 спокойно пингую 192.168.2.1 (это у меня VLAN1). Разделить пробовал так
iptables -I FORWARD -i vlan3 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j DROP
iptables -I FORWARD -i vlan3 -o vlan1 -m state --state NEW -j DROP
iptables -I FORWARD -i vlan3 -d 192.168.2.0/24 -m state --state NEW -j DROP
Posted: Tue Oct 23, 2012 4:43 Post subject: Re: Разделение LAN и GuestLan на DIR-300(rev b3
daemon78
Начните с того, что у вас на dir300/nru:
-br1 (LAN2+LNA3+LNA4+ra0)
-VLAN3 (LAN1)
-VLAN2 (WAN)
Quote:
В LAN2 втыкается уже комп, раздающий инет.
Наиболее лучший вариант - раздающий инет копм подключить в WAN (vlan2) порт роутера и настроить на стат IP например 192.168.10.1 и 192.168.10.2, на роутере у вас будет vlan3 на LAN1 c IP например 192.168.3.10 к нему подключен еще один wi-fi c IP 192.168.3.х. На остальных портах LAN роутера DIR300/nru и wi-fi у вас будет например 192.168.2.х
dd-wrt даст настройки на проход vlan1 на vlan2 и на ПК с интернет для клиентов dir300/nru, вам останется просто прописать проход правилами iptables с vlan3 на vlan2 (для других клиентов) не каких маршрутов писать не требуется, тем самым будете иметь развязанную сеть vlan3 от vlan1.
Posted: Tue Oct 23, 2012 5:51 Post subject: Re: Разделение LAN и GuestLan на DIR-300(rev b3
vasek00 wrote:
daemon78
Начните с того, что у вас на dir300/nru:
-br1 (LAN2+LNA3+LNA4+ra0)
-VLAN3 (LAN1)
-VLAN2 (WAN)
Наиболее лучший вариант - раздающий инет копм подключить в WAN (vlan2) порт роутера и настроить на стат IP например 192.168.10.1 и 192.168.10.2, на роутере у вас будет vlan3 на LAN1 c IP например 192.168.3.10 к нему подключен еще один wi-fi c IP 192.168.3.х. На остальных портах LAN роутера DIR300/nru и wi-fi у вас будет например 192.168.2.х
Да, именно так я и планировал.
Я довольно сумбурно объяснил схему сети. В WAN действительно идет инет от провайдера, но для юзеров инет раздается с файрвола, который является клиентом для DIR-300 и будет втыкаться в LAN2. По идее, в него (Win 2003 + Kerio Firewall) можно воткнуть третью сетевуху,но лучше разделить сети перед ним. Вот рисуночек сети. Соответственно, когда я выполняю команды:
witch reg w 70 48ff5067
switch reg w 44 3001
vconfig add eth2 3
ifconfig vlan3 192.168.3.1 netmask 255.255.255.0 up
iptables -I INPUT -i vlan3 -j ACCEPT
iptables -I OUTPUT -o vlan3 -j ACCEPT
Есть рабочий интерфейс VLAN3. Цепляюсь к нему, беру себе 192.168.3.100, ставлю гейтом 192.168.3.1, и 192.168.3.1 не пингуется. Цепляюсь к VLAN1 и получаю IP, пингую 192.168.3.1 из VLAN1, все норм, пингуется.
Командую route add -net 192.168.3.0/16 dev vlan2
Опять цепляюсь к VLAN3 после этого 192.168.3.1 пингуется.
Командую:
ptables -I FORWARD -i vlan3 -o vlan1 -m state --state NEW -j DROP
Но фиг Вам. Имея адрес 192.168.3.100 спокойно телнетом цепляюсь к 192.168.2.1(VLAN1).
Вот такая неприятность.
vasek00 wrote:
вам останется просто прописать проход правилами iptables с vlan3 на vlan2 (для других клиентов) не каких маршрутов писать не требуется, тем самым будете иметь развязанную сеть vlan3 от vlan1.
Да, все верно, подскажите, как это грамотно сделать.
И еще вот такой вопросик.
Вот вывод без копания в регистрах
root@DD-WRT:~# switch vlan dump
idx vid portmap
0 1 1111-11
1 2 ----1-1
2 3 1111111
3 4 1111111
Вот вывод после команд
switch reg w 70 48ff5067
switch reg w 44 3001:
root@DD-WRT:~# switch vlan dump
idx vid portmap
0 1 111--11
1 2 ----1-1
2 3 1111111
3 4 ---1--1
А почему у меня тут LAN1 перешел в vid 4 а не 3?
Разве не должно быть так:
0 1 111--11
1 2 ----1-1
2 3 ---1--1
3 4 1111111
P.S.
Похоже, обрисовалось вот такое решение: switch reg w 70 48ff5067
switch reg w 44 3001
vconfig add eth2 3
ifconfig vlan3 192.168.3.1 netmask 255.255.255.0 up
iptables -I FORWARD -i vlan3 -o
Подскажите, правильно ли это?
Может надо явно запреты выставить между VLAN3 и VLAN1?
Posted: Tue Oct 23, 2012 9:09 Post subject: Tagged (или транковый канал)
Еще раз доброе время суток. Точку доступа из предыдущей схемы надо разместить в 10 метрах от роутера за 5 (пятью!!!) стенами. Но к сожалению, туда протянут только один патчкорд к которому подцеплен комп из рабочей группы (VLAN1). Хочу попробовать прокинуть канал через розетку (есть два power line адаптера).
Но посмотрев на имеющиеся железяки (DIR-100, два DIR-300, ASUS WL500gP v2, DES2108) dвозникла мысль. А что если к DIR-100, который будет в роли точки доступа подцепить этот свободный патчкорд. Организовать транковый канал, так, что все кто будут сидеть на wifi канале точки доступа будут в VLAN3, а тот, кто воткнут в LAN4 будет во VLAN1. Тогда не надо ни чего тянуть через розетку. Подскажите, такое вообще возможно?
- 192.168.0.99/24 IP адреса для vlan3
- ppp0 сетевой интерфейс на котором поднят интернет
- IP_addres_ppp0 IP адрес на интерфейсе ppp0
Получаем доступ в интернет через LAN1 порт. VLAN3 кроме выхода в интернет не чего не имеет.
По поводу регистров:
70 - имеет вид АА BB CC DD, где AA-VLAN3, BB-vlan2, CC-vlan1, DD-vlan0
44 - имеет вид RR RR A0 B0, где A номер pvid на LAN1, B номер pvid на LAN2
Чтоб не путаться с vlan2 просто использую значение vlan3, не кто не мешает использовать значение vlan4 и т.д. Можно настраивать и через switch.
Можно подключить на данный кабель dir300, кабель можно как подключить и в LAN порт так и в WAN (тогда со всеми вытекающими настройками). В данном случае dir300 раздаст входной на него канал между клиентами - LAN и wi-fi. При включении в LAN порт IP прописать ручками, если надо DHCP то его нужно будет поднимать на vlan3.
Posted: Wed Oct 24, 2012 9:57 Post subject: Re: Tagged (или транковый канал)
vasek00 wrote:
Можно подключить на данный кабель dir300, кабель можно как подключить и в LAN порт так и в WAN (тогда со всеми вытекающими настройками). В данном случае dir300 раздаст входной на него канал между клиентами - LAN и wi-fi. При включении в LAN порт IP прописать ручками, если надо DHCP то его нужно будет поднимать на vlan3.
Вы не могли бы подробнее объяснить про тегированный порт приминительно к DIR-300 c DD-WRT. Первый DIR-300 пусть будет тот, которому приходит инет в WAN (на рисунке он верхний). Вторым (нижний), пусть будет тот, на котором будет раздаваться wifi.
На обоих роутерах выпиливаем LAN1 , пусть у них это будет тегированный порт. На верхнем роутере имеем VLAN1 (LAN3 + LAN4), сюда идет трафик через VLAN2(WAN), VLAN4(LAN1) сюда приходит трафик от VLAN4 нижнего роутера через транковый порт и идет на внутренний свитч, который уже за файрволом. А трафик от VLAN1 (RA0+LAN3+LAN4) нижнего свитча пусть идет на VLAN2(WAN) верхнего свитча.
Зачем городить такую хрень. Туда где нужна гостевая точка WiFi и стоит комп внутренней сети ведет всего одна витая пара. Соответственно на том конце гости получают инет который идет через WAN первого роутера. А сотрудник уже имеет доступ к сети за файрволом, то есть внутренний IP адрес и его трафик маршрутизируется во внутренний свитч.
Я сейчас нарисую, чтобы было нагляднее.
Соответственно у меня туча вопросов. Как метить трафик от VLAN1 и VLAN4 нижнего роутера при выходе из LAN1 нижнего роутера. Настройки чего задают метки (теги), где их проставить? И соответственно на верхнем роутере, где и что надо настроить, чтобы при выходе получении на LAN1 тегированного трафика он разбрасывал его по нужным виланам? Правильно ли я понимаю, что тегирование трафика не зависит от "названия" вилана. Ну то есть я могу поставить трафику от вилана номер один тег, например 100, и вилану верхнего роутера этот же тег, тогда они поймут, что типа из одного вилана?
Posted: Wed Oct 24, 2012 10:25 Post subject: Re: Tagged (или транковый канал)
Что-то вы все усложнили и мудрено.
Code:
VLAN (Virtual Local Area Network) — группа устройств, имеющих возможность взаимодействовать между собой напрямую на канальном уровне, хотя физически при этом они могут быть подключены к разным сетевым коммутаторам. И наоборот, устройства, находящиеся в разных VLAN'ах, невидимы друг для друга на канальном уровне, даже если они подключены к одному коммутатору, и связь между этими устройствами возможна только на сетевом и более высоких уровнях.
....
[url]http://xgu.ru/wiki/VLAN[/url]
Самое простое еще раз повторюсь на DIR300-1 который к интернету:
- br0=vlan1(LAN2-LAN4)+ra0 проход на vlan2
- vlan3(LAN1) проход на vlan2
- vlan3(LAN1) и vlan1(LAN2-LAN3) не зависимы друг от друга и доступа друг к другу не имеют.
для нижнего точка для wi-fi DIR300-2, подключаете его к любому порту DIR300-1 хоть LAN2-LAN4(vlan1) хоть LAN1(vlan3). На самом же DIR300-2 подключаем к его порту WAN(vlan2) или хоть LAN1-LAN4(vlan1) все зависит если хотим развязать сети то тогда WAN.
DIR300-1 для регулировки трафика можно включить QoS стандартными функциями - т.е. ограничения на прохождения пакетов в сторону интернет.
