PDA

Bekijk de volledige versie : Настройка vlan на роутере



pchOl
22-09-2006, 13:49
Люди помогите пожалуйсто советом,
Асус настроен радио клиентом на радио интерфесе висит айпишник, как повесить на ван порт еще один айпишник но при этом не бриджевать его с остальными 4 портами и не бриджевать с вайфай интерфейсом

Oleg
22-09-2006, 14:01
Если прошивка моя, то очень просто - вывести этот порт из vlan1. Поместить его в vlan2, например. Примеры как это сделать уже были. Ну или, если кратковременное объединение допустимо, то просто удалять из br0 в post-boot.

Bdfy
21-11-2007, 11:22
ПРоблема в том что к одному из портов ( Vlan ) подсоединена тупая железка, которая при появлении сети сразу начинает делать свои грязные дела, коннектясь к серверу в интернете. Но т к router с задержкой коонектится к интернету ( PPPOE), то железка благополучно обламывается и пока ее не перезапустишь, она не функционирует ( ну тупая что ж сказать). Можно ли засунуть в скрипт комманду, которая после запуска pppoe "отсоединяет" vlan1 ( и сразу соединяет ), так чтобы железка подумала что пропало соединение и повторило попытку коннекта ?

ABATAPA
21-11-2007, 14:29
Можно ли засунуть в скрипт комманду, которая после запуска pppoe "отсоединяет" vlan1 ( и сразу соединяет ), так чтобы железка подумала что пропало соединение и повторило попытку коннекта ?

Можно. Для этого и есть post*-скрипты.
Но т.к. vlan1 - это "внешний" интерфейс, то его отключение вызовет разрыв PPPoE.

Bdfy
21-11-2007, 16:24
Можно. Для этого и есть post*-скрипты.
Но т.к. vlan1 - это "внешний" интерфейс, то его отключение вызовет разрыв PPPoE.

А может тогда попробывать запретить например через iptables "хождение пакетов" ? Достаточно ли этого будет для симуляции "дисконнекта" ?

ABATAPA
21-11-2007, 18:13
А может тогда попробывать запретить например через iptables "хождение пакетов" ? Достаточно ли этого будет для симуляции "дисконнекта" ?

А это уже зависит от вашей "абстрактной" железки. Как и что оно "понимает" - для нас, не видевших его, загадка.
Однако, думаю, что все же ваше "железо" включено во внутреннюю сеть?
Кроме того, можно его включить в отдельный VLAN.

Bdfy
21-11-2007, 21:52
Однако, думаю, что все же ваше "железо" включено во внутреннюю сеть?
Кроме того, можно его включить в отдельный VLAN.

Ну видимо я не совсем рабозрался с этими устройствами.
Короче говоря устройство ( VIP-157 - переходник на телефон ) включено в свободный порт из 4-х ( т е во внутреннюю сеть ). Во второй порт подключен компьютер. Инет подведен там где написано "WAN" . Т е устройство висит на отдельном порту. Можно отключить один из портов при сохранении pppoe соединения ? Если можно то как ?

ABATAPA
22-11-2007, 10:20
Можно отключить один из портов при сохранении pppoe соединения ? Если можно то как ?

Вынесите его в отдельный VLAN, его и отключайте.
Однако, отключение vlan* не равно выдергиванию кабеля - поймет ли Ваше устройство?
С другой стороны, знаю, что все они сделаны так, что подобную ситуацию переживают вполне.

gaaronk
22-11-2007, 14:09
Это не тупая железка
Это тупой роутер, о чем я уже писал в ветке с проблемами про ip_conntrack
Решение:
В настройках файрволла в вебе запретить коннекты LAN-WAN по udp по порту 5060 (или какой там у вас) на ип адрес SIP сервера.
а потом ручками в post-firewall который вызовется в момент коннекта это правило убрать.

Bdfy
22-11-2007, 23:19
Это не тупая железка
Это тупой роутер, о чем я уже писал в ветке с проблемами про ip_conntrack
Решение:
В настройках файрволла в вебе запретить коннекты LAN-WAN по udp по порту 5060 (или какой там у вас) на ип адрес SIP сервера.
а потом ручками в post-firewall который вызовется в момент коннекта это правило убрать.

Надо попробывать - а post-firewall он же не обязательно вызовется после pppoe соединения ?

Mam(O)n
23-11-2007, 00:37
Обязательно вызовется. При любом изменении в интерфейсах соответственно перестраиваются маршруты и подстраивается nat/фарволл. После всего этого вызывается post-firewall.

vsu
24-11-2007, 19:30
Если железка определяет наличие сети по наличию Ethernet-соединения на физическом уровне, игры с iptables не помогут. Тогда нужно смотреть в сторону утилиты robocfg, позволяющей настраивать параметры отдельных портов.

К сожалению, команда robocfg port N state disabled не приводит к ожидаемому эффекту - похоже, при этом просто блокируется прохождение пакетов внутри свитча. Можно попробовать выполнить robocfg port N media auto - при этом производится повторное согласование параметров соединения (10/100, full/half duplex), что на другом конце обнаруживается как кратковременное пропадание и последующее восстановление соединения. Если этого окажется недостаточно, можно попробовать установить неверный режим через robocfg port N mdi-x MODE (сначала в on или off в зависимости от кабеля, потом после соответствующей задержки опять в auto), но это может не сработать, если устройство на другом конце тоже имеет автоопределение MDI/MDI-X (тогда опять получится кратковременное пропадание соединения, пока устройство определяет новый режим).

Bdfy
24-11-2007, 23:38
N по udp по порту 5060 (или какой там у вас) на ип адрес SIP сервера.

Гм в общем это помогает, - только непонятно куда вставить правило которое открывает этот порт. Т е если закрыть в веб-морде порты, а потом вручную зайти через некоторое время через телнет и открыть - то все нормально - коннект происходит через некоторое время. А вот если вставить эту строчку в post-firewall - то порты открываются ( видно через iptables -L ), а вот статус остается "Not registred". Слишком быстро вызывается post-firewall ?

правило такое:
-A FORWARD -i br0 -p udp -s 192.168.1.3 -j DROP

соотв в post-firewall:
-D FORWARD -i br0 -p udp -s 192.168.1.3 -j DROP

gaaronk
25-11-2007, 08:47
возможно запись в ip_conntrack не успевает проэкспарится

можно попробовать так

sleep 30 && iptables -D FORWARD -i br0 -p udp -s 192.168.1.3 -j DROP

Mam(O)n
25-11-2007, 09:20
Слишком быстро вызывается post-firewall ?
Насколько мне не изменяет память он вызывается первый раз после поднятия интерфейса в локалку и затем еще раз после поднятия vpn туннеля. Вот еще вариант (помимо предложенного gaaronk), как можно попробовать сделать:

ifconfig | grep ppp && iptables -D FORWARD -i br0 -p udp -s 192.168.1.3 -j DROP

То есть правило снимется только тогда, когда будет поднят туннель.

Reddi
10-05-2008, 18:39
Добрый день.
Уважаемые Те, кто понимает в линуксе.
Помогите, пожалуйста, настроить WL-500G Premium.
Ситуация следующая:
1) Есть 3 компьютера в подсети 10.0.0.0 которые подключаются напрямую к 500g.
2) Есть удаленная точка доступа, к которой подключаются другие компьютеры.
Нужно сделать чтобы компьютеры (2) соединяющиеся через внешнюю точку доступа не видели 3 компьютера которые подключаются напрямую (1).

В подсети (1) допустимо ручное раздавание адресов

В (2) обязательно должен работать DHCP. Подсеть любая кроме 192.168.1.0/24

Насколько я понимаю, это нужно реализовать с помощью Vlan.
У меня проблема с созданием дополнительного VLAN.
Инструкция от Oleg'а:

13) Настройка нескольких WAN. Нужно тем у кого несколько провайдеров или если хочется разделить порты и раздавать интернет незаисимо. В роутере используется свитч с поддержкой vlan. Порты нумеруются USB-1-2-3-4-0, где 0-WAN. Чтобы сделать например 1 порт независимым нужно дать команды
robocfg vlan 2 ports "1 5t" vlan 0 ports "2 3 4 5t"
vconfig add eth0 2
после этого появится полноценный интерфейс vlan2. Посмотреть список интерфейсов командой ifconfig -a
посмотреть конфигурацию портов свитча robocfg show
Новому интерфейсу можно назначить свой MAC адрес командой
ifconfig hw ether 00:11:32:23:32:23
запустить интерфейс:
ifconfig vlan2 192.168.2.1 broadcast 192.168.2.255 netmask 255.255.255.0 up
на Deluxe скорость маршрутизации ориентировочно 3Мбайта/c при загрузке процессора 65%
flashfs save
flashfs commit
flashfs enable

видимо требует каких-то дополнительных действий, которые всем ясны, и поэтому не пишутся. После перезагрузки созданный Vlan не сохраняется, клиент, подключенный к этому порту ничего не видет.

Не мог бы кто-то понимающий написать пошагово, как реализовать данную конфигурацию?
Заранее большое спасибо.

Reddi
12-05-2008, 22:34
Прошу прощения за поднятие темы.
Очень нужна Ваша помощь.

TIk
12-05-2008, 23:20
Прошу прощения за поднятие темы.
Очень нужна Ваша помощь.

А как подключается удаленная точка доступа к WL500? Кабелем или воздухом? Если по Wi-Fi то в каком режиме работает роутер?

Reddi
13-05-2008, 09:42
Спасибо за внимание к проблеме =)
Удаленная точка подключается кабелем.

Reddi
13-05-2008, 09:44
На всякий случай:
в самом роутере Wi-Fi выключен.

AndreyPopov
13-05-2008, 17:31
На всякий случай:
в самом роутере Wi-Fi выключен.

какая версия прошивки у вас прошита.
сделали ли вы остальные (предыдущие) шаги по настройке роутера?

Reddi
13-05-2008, 17:39
Прошивка 1.9.2.7-10
Настройка сделана только та, которая доступна через веб-интерфейс. В итоге все работает, но, естественно, клиенты которые подключаются через точку доступа, видят проводных. А нужно их разделить.

AndreyPopov
13-05-2008, 17:53
Прошивка 1.9.2.7-10
Настройка сделана только та, которая доступна через веб-интерфейс. В итоге все работает, но, естественно, клиенты которые подключаются через точку доступа, видят проводных. А нужно их разделить.

интересно, вы шаг 4) по настройке выполнили?

или думаете 13) просто так сам может работать?

Reddi
13-05-2008, 21:32
врать не буду - 4 не выполнил. А подключался по telnet. Я почему-то решил что telnet и ssh отличаются большей частью защитой, и через что вводить комманды - все-равно. Так что все что было в 13) было введено мной по telnet.
Я ошибался? нужно обязательно через ssh?

lexass
13-05-2008, 21:50
Я ошибался? нужно обязательно через ssh?

нет ......

AndreyPopov
13-05-2008, 22:20
врать не буду - 4 не выполнил. А подключался по telnet. Я почему-то решил что telnet и ssh отличаются большей частью защитой, и через что вводить комманды - все-равно. Так что все что было в 13) было введено мной по telnet.
Я ошибался? нужно обязательно через ssh?

разницы не имеет как подключаться. там настройки не для этого. вот потому у вас и не сохраняются настройки по созданию vlan, что вы не выполнили шаг 4).

кстати вы НЕ ПЕРВЫЙ, кто этот шаг пропускает, а потом настойчиво спрашивает: "почему не сохраняются настройки????"


ведь в инструкции все подробно описано. какие шаги НАДО делать, а какие МОЖНО сделать!

EugeenB
19-05-2008, 17:37
У меня проблема с созданием дополнительного VLAN.
Инструкция от Oleg'а:

13) Настройка нескольких WAN. Нужно тем у кого несколько провайдеров или если хочется разделить порты и раздавать интернет незаисимо. В роутере используется свитч с поддержкой vlan. Порты нумеруются USB-1-2-3-4-0, где 0-WAN. Чтобы сделать например 1 порт независимым нужно дать команды
robocfg vlan 2 ports "1 5t" vlan 0 ports "2 3 4 5t"
vconfig add eth0 2
после этого появится полноценный интерфейс vlan2. Посмотреть список интерфейсов командой ifconfig -a
посмотреть конфигурацию портов свитча robocfg show
Новому интерфейсу можно назначить свой MAC адрес командой
ifconfig hw ether 00:11:32:23:32:23
запустить интерфейс:
ifconfig vlan2 192.168.2.1 broadcast 192.168.2.255 netmask 255.255.255.0 up
на Deluxe скорость маршрутизации ориентировочно 3Мбайта/c при загрузке процессора 65%
flashfs save
flashfs commit
flashfs enable

видимо требует каких-то дополнительных действий, которые всем ясны, и поэтому не пишутся. После перезагрузки созданный Vlan не сохраняется, клиент, подключенный к этому порту ничего не видет.
Совершенно очевидно, что вышеописанные команды необходимо поместить в скрипт post-boot, тогда они будут выполняться после каждой перезагрузке роутера.
Где должен находиться этот скрипт, и как его подготовить - описано в шаге 4), на что Вам намекал AndreyPopov.
После добавления нужных команд в post-boot, его надо будет сохранить в флеш-памяти роутера командами:
flashfs save
flashfs commit
flashfs enable

Alex_VI
15-07-2008, 05:48
Вчера поставил прошивку 1.9.2.7-9, плюс еще кое-какие программы (но они вроде не причем) и обнаружил, что при загрузке в логах появилось такое сообщение:

Jan 1 03:00:05 kernel: vlan1: Setting MAC address to 00 1e 8c 3e 0b d6.
Jan 1 03:00:05 kernel: VLAN (vlan1): Underlying device (eth0) has same MAC, not checking promiscious mode.

Что это? мак-адрес я ему руками не ставил, все по умолчанию, почему он ругается?

vectorm
15-07-2008, 06:56
Вчера поставил прошивку 1.9.2.7-9, плюс еще кое-какие программы (но они вроде не причем) и обнаружил, что при загрузке в логах появилось такое сообщение:

Jan 1 03:00:05 kernel: vlan1: Setting MAC address to 00 1e 8c 3e 0b d6.
Jan 1 03:00:05 kernel: VLAN (vlan1): Underlying device (eth0) has same MAC, not checking promiscious mode.

Что это? мак-адрес я ему руками не ставил, все по умолчанию, почему он ругается?
Это не ругань, всего лишь предупреждение, что два интерфейса роутера (vlan1 и eth0) имеют один и тот-же МАС адрес, это нормально, так и должно быть.
Вы не первый, кто спрашивает.

Mr.Hunt
17-07-2008, 12:31
Всем добрый день!

Подскажите пожалуйста, могу ли я вот что сделать:

Вариант 1:
2 влана приходят на wan порт asus wl-500g Premium 1.9.2.7-10, дальше на 1 lan порт идут оба этих вланов, на 2 lan порт идёт только оди влан, на 3 порт идёт только другой влан?

Вариант 2:
2 влана пиходят на 1 lan порт asus wl-500g Premium 1.9.2.7-10? Дальше на 2 lan порт идут оба этих вланов, на 3 lan порт идёт только один влан, на 4 порт идёт только другой влан?

Примерные рисунки приведены в приложенном файле.

vectorm
17-07-2008, 12:50
Роутер не умеет пускать через 1 порт несколько Vlan-ов, только 1 порт - 1 Vlan.
Соответственно обе схемы нереальны.

Mr.Hunt
17-07-2008, 12:58
Роутер не умеет пускать через 1 порт несколько Vlan-ов, только 1 порт - 1 Vlan.
Соответственно обе схемы нереальны.

Вы имеете ввиду lan порты ? Ван сможет держать 2 влана и расбросить их по лан портам, к примеру 1 lan - это первый влан, а 2 lan - это второй влан ?

vectorm
17-07-2008, 13:08
Вы имеете ввиду lan порты ? Ван сможет держать 2 влана и расбросить их по лан портам, к примеру 1 lan - это первый влан, а 2 lan - это второй влан ?
Могу послать читать FAQ ;)
wl-500gP имеет в себе маршрутизатор на 5 Vlan-ов, т.е. не важно какой порт у него wan, какой lan - все технически одинаковы!

Mr.Hunt
17-07-2008, 13:11
Могу послать читать FAQ ;)
wl-500gP имеет в себе маршрутизатор на 5 Vlan-ов, т.е. не важно какой порт у него wan, какой lan - все технически одинаковы!

Лан, понял, спасибо за ответ, вопрос отпал.....

vectorm
17-07-2008, 13:26
Лан, понял, спасибо за ответ, вопрос отпал.....
Вот если бы взять какую-нибудь Циску, то да, там можно сделать такое, что несколько Vlan в один порт пихать, транкинг порты называются.

Mr.Hunt
17-07-2008, 14:06
Вот если бы взять какую-нибудь Циску, то да, там можно сделать такое, что несколько Vlan в один порт пихать, транкинг порты называются.

Да знаю как это называетя, циска есть, есть и телесины, просто не хочется лепть здоровую "дуру" у себя в квартире, темболее шумную....

ABATAPA
17-07-2008, 20:31
Вот если бы взять какую-нибудь Циску, то да, там можно сделать такое, что несколько Vlan в один порт пихать, транкинг порты называются.

Ничто не мешает сделать то же самое и тут - смотрите на мою подпись.

vectorm
17-07-2008, 20:38
Ничто не мешает сделать то же самое и тут - смотрите на мою подпись.
Значит можно транковый порт сделать? Гони мануал ;)

Mr.Hunt
18-07-2008, 14:11
Ничто не мешает сделать то же самое и тут - смотрите на мою подпись.

Да, товарищЪ, буду очень признателен если вы мне объясните как можно устроить подобного рода сеть. Мои рисунки вриведены ниже.

ABATAPA
18-07-2008, 19:59
Значит можно транковый порт сделать? Гони мануал ;)

"Мануал" есть в соотв. теме, ключевое слово "VLAN".
В "родной" конфигурации там и так есть "как бы" транк.
У меня лично используются и VLANы, и "native", т.е. нетегированный трафик на том же порту - который "внутри" устройства выглядит, разумеется, тоже VLANом:
$ robocfg show
Switch: enabled
...
0: vlan896: 1 2 3 4 5t
1: vlan897: 0 5t
2: vlan898: 0t 5t

$ ip addr | grep vlan
5: vlan896: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue
6: vlan897: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue
7: vlan898: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue

Mr.Hunt
19-07-2008, 18:34
"Мануал" есть в соотв. теме, ключевое слово "VLAN".
В "родной" конфигурации там и так есть "как бы" транк.
У меня лично используются и VLANы, и "native", т.е. нетегированный трафик на том же порту - который "внутри" устройства выглядит, разумеется, тоже VLANом:
$ robocfg show
Switch: enabled
...
0: vlan896: 1 2 3 4 5t
1: vlan897: 0 5t
2: vlan898: 0t 5t

$ ip addr | grep vlan
5: vlan896: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue
6: vlan897: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue
7: vlan898: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue

Тогда как должны выглядить настройки для моего случая, если один влан меня приходит с метрикой "10" а второй с "197" ?

ABATAPA
19-07-2008, 20:04
Тогда как должны выглядить настройки для моего случая, если один влан меня приходит с метрикой "10" а второй с "197" ?

Видимо, никак. Вроде как на этом чипе VLANы могут быть только смежными последовательными.

Mr.Hunt
19-07-2008, 20:19
Видимо, никак. Вроде как на этом чипе VLANы могут быть только смежными последовательными.

Прости, не совсем понял. т.е. я не могу назначить порту какому-либо 2 тегированных влана?

что обозначают строки рода:

1: vlan897: 0 5t
2: vlan898: 0t 5t

???

ABATAPA
19-07-2008, 22:00
Прости, не совсем понял. т.е. я не могу назначить порту какому-либо 2 тегированных влана?

Можете. Но номера VLANов должны отстоять друг от друга не более чем на 15.




что обозначают строки рода:
1: vlan897: 0 5t
2: vlan898: 0t 5t

Читайте соотв. тему, там все расписано, повторяться не имеет смысла.

Mr.Hunt
20-07-2008, 11:13
Можете. Но номера VLANов должны отстоять друг от друга не более чем на 15.



Читайте соотв. тему, там все расписано, повторяться не имеет смысла.

Ну номера помнять мне не составят большого труда. А вот тему я так и не нашёл по повод vlan, выдаётся куча ссылок где упоминается хоть раз это слово, а толку ноль....

ABATAPA
20-07-2008, 14:10
А вот тему я так и не нашёл по повод vlan, выдаётся куча ссылок где упоминается хоть раз это слово, а толку ноль....

Ну так почитайте их, - и будет толк.
Если не читать, то "толку" точно не будет. Никогда.

Mr.Hunt
21-07-2008, 09:15
Ну так почитайте их, - и будет толк.
Если не читать, то "толку" точно не будет. Никогда.

Да, но 28 страниц где упоминалось слово vlan - для меня это сильно, не считая что 95% из них не то что нужно.

Спасибо за предыдущие ответы ещё раз, сегодня наконецто буду ковырять и проверять.


Сорри всем за оффтоп.

SkyReX
15-06-2009, 19:09
подскажите скрипт который позволит когда мне нужно отключить один из четырех портов, так что бы эффект был похож на тупое выдергивание кабеля, ну исоответственно скрипт, который позволит мне его включить)?

ABATAPA
15-06-2009, 19:31
подскажите скрипт который позволит когда мне нужно отключить один из четырех портов, так что бы эффект был похож на тупое выдергивание кабеля, ну исоответственно скрипт, который позволит мне его включить)?

robocfg запустите без параметров, и увидите:
port <port_number> [state <enabled|rx_disabled|tx_disabled|disabled>]

Итого, Вам нужно:

robocfg port X state disabled - запретили (port down)
robocfg port X state enabled - разрешили (port up)

Не забывайте про порядок нумерации портов.

SkyReX
15-06-2009, 19:49
robocfg запустите без параметров, и увидите:
port <port_number> [state <enabled|rx_disabled|tx_disabled|disabled>]

Итого, Вам нужно:

robocfg port X state disabled - запретили (port down)
robocfg port X state enabled - разрешили (port up)

Не забывайте про порядок нумерации портов.

тоесть если я правильно понял, ввожу эту строку robocfg port 2 state disabled и он отключает порт, который у меня на роутере подписан цифрой 2, так?

SkyReX
16-06-2009, 10:36
тоесть если я правильно понял, ввожу эту строку robocfg port 2 state disabled и он отключает порт, который у меня на роутере подписан цифрой 2, так?

ну похоже так, но у мя он у меня только отключает доступ в интернет, а вот по сети бегай как хочеш, как сделать так чтоб и сеть отрубалась?

Power
16-06-2009, 17:42
ну похоже так, но у мя он у меня только отключает доступ в интернет, а вот по сети бегай как хочеш, как сделать так чтоб и сеть отрубалась?

Неправда, только что сам проверил. Он порт отключает полностью (до следующей перезагрузки или до команды включения), даже лампочка мигать перестаёт. Разве что физически порт не отключает. Так что все пакеты, приходящие на порт, игнорируются.

Расскажите подробнее, что у вас куда воткнуто, что вы отключаете и что получается в итоге.

ABATAPA
16-06-2009, 20:00
ну похоже так, но у мя он у меня только отключает доступ в интернет, а вот по сети бегай как хочеш, как сделать так чтоб и сеть отрубалась?

Вы порты неправильно нумеруете.
0 - WAN
1 - 4 - LAN

SkyReX
17-06-2009, 11:35
Неправда, только что сам проверил. Он порт отключает полностью (до следующей перезагрузки или до команды включения), даже лампочка мигать перестаёт. Разве что физически порт не отключает. Так что все пакеты, приходящие на порт, игнорируются.

Расскажите подробнее, что у вас куда воткнуто, что вы отключаете и что получается в итоге.

В порт №1(я имею ввиду на нем написана цифра 1), воткнут мой комп, в порт №2 воткнут второй комп, который иногда нужно полностью отрубать от интернета, в Wan понятное дело сам интернетовский кабель, я запускаю программу putty и ввожу там строку robocfg port 2 state disabled , жму ентр, и жду, через несколько секунд, на втором компе значек с полного подключения меняется на ограниченное подключение, и все, цифра 2 на роутере попрежнему горит, и второй комп, запросто бегает по локальной сети, а хочется чтоб на второй комп вообще отключался, как будто просто перезали кабель.

SkyReX
17-06-2009, 11:37
Вы порты неправильно нумеруете.
0 - WAN
1 - 4 - LAN

а вроде бы правильно, ведь если я хочу отключить порт, который на роутере подписан цифрой 2, я ввожу robocfg port 2 state disabled , разве это не правильно?

ABATAPA
17-06-2009, 13:51
а вроде бы правильно, ведь если я хочу отключить порт, который на роутере подписан цифрой 2, я ввожу robocfg port 2 state disabled , разве это не правильно?

Правильно. И что?
Специально доя Вас протестировал:
# ping 192.168.0.100
PING 192.168.0.100 (192.168.0.100): 56 data bytes
64 bytes from 192.168.0.100: seq=0 ttl=64 time=0.545 ms
64 bytes from 192.168.0.100: seq=1 ttl=64 time=0.448 ms

--- 192.168.0.100 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.448/0.496/0.545 ms

# robocfg port 1 state disabled
# ping 192.168.0.100
PING 192.168.0.100 (192.168.0.100): 56 data bytes

--- 192.168.0.100 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss

С другой машины (через WLAN):
пакетов: отправлено = 4, получено = 0, потеряно =4 (100% потерь)

Что не так?

Power
17-06-2009, 14:00
В порт №1(я имею ввиду на нем написана цифра 1), воткнут мой комп, в порт №2 воткнут второй комп, который иногда нужно полностью отрубать от интернета, в Wan понятное дело сам интернетовский кабель, я запускаю программу putty и ввожу там строку robocfg port 2 state disabled , жму ентр, и жду, через несколько секунд, на втором компе значек с полного подключения меняется на ограниченное подключение, и все, цифра 2 на роутере попрежнему горит, и второй комп, запросто бегает по локальной сети, а хочется чтоб на второй комп вообще отключался, как будто просто перезали кабель.

А вы каким образом проверяете, что комп 2 запросто бегает по локальной сети?

SkyReX
17-06-2009, 14:52
Все, всем спасибо, заработало, чето с первого раза не срабатывает, а потом вроде все хорошо отключает), и вопрос в догонку: а как сделать так чтоб и wi-fi таким образом можно было оключать (я как понимая нужно просто туже строку вводить только вместо Х ставить 5)?

Power
17-06-2009, 19:41
и вопрос в догонку: а как сделать так чтоб и wi-fi таким образом можно было оключать (я как понимая нужно просто туже строку вводить только вместо Х ставить 5)?

Нет, wi-fi отключается командой wl radio off

SkyReX
17-06-2009, 19:45
Нет, wi-fi отключается командой wl radio off

Спасибо за помощь)

beatlov
28-06-2009, 22:20
Господа, решил тут настроить vlan2... гладь, а у меня по умолчанию vlan2 стоит, а vlan1 нет. Это вообще нормально?

br0 Link encap:Ethernet HWaddr 00:90:4C:C0:00:00
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2057 errors:0 dropped:0 overruns:0 frame:0
TX packets:1965 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:471643 (460.5 KiB) TX bytes:1070754 (1.0 MiB)

eth0 Link encap:Ethernet HWaddr 00:90:4C:C0:00:00
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1637 errors:0 dropped:0 overruns:0 frame:0
TX packets:2265 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:970535 (947.7 KiB) TX bytes:601487 (587.3 KiB)
Interrupt:4 Base address:0x1000

eth1 Link encap:Ethernet HWaddr 00:90:4C:C1:00:00
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2040 errors:0 dropped:0 overruns:0 frame:2584
TX packets:2159 errors:34 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:498254 (486.5 KiB) TX bytes:1134219 (1.0 MiB)
Interrupt:13 Base address:0x5000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:350 errors:0 dropped:0 overruns:0 frame:0
TX packets:350 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:32060 (31.3 KiB) TX bytes:32060 (31.3 KiB)

vlan0 Link encap:Ethernet HWaddr 00:90:4C:C0:00:00
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1 errors:0 dropped:0 overruns:0 frame:0
TX packets:542 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:50 (50.0 B) TX bytes:174249 (170.1 KiB)

vlan2 Link encap:Ethernet HWaddr 00:90:4C:C0:00:00
inet addr:172.18.19.2 Bcast:172.18.19.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1636 errors:0 dropped:0 overruns:0 frame:0
TX packets:1723 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:941019 (918.9 KiB) TX bytes:427238 (417.2 KiB)

Power
28-06-2009, 22:33
Если у вас Dlink DIR-*, то нормально.

beatlov
28-06-2009, 22:47
Если у вас Dlink DIR-*, то нормально.
Да, именно Dlink Dir -320
ммм... как в таком случае настраивать дополнительные vlan?

beatlov
29-06-2009, 07:36
Да, именно Dlink Dir -320
ммм... как в таком случае настраивать дополнительные vlan?
Переназначил vlan2 в vlan1... через
nvram unset vlan2ports
nvram unset vlan2hwname
nvram set vlan1hwname=et0
nvram set vlan1ports=0 5
nvram set wandevs=vlan1
nvram set wan_ifname=vlan1
nvram set wan_ifnames=vlan1
nvram set wan0_ifname=vlan1
nvram set wan0_ifnames=vlan1
nvram commit
reboot

после этого vlan1 не работает :(((((

theMIROn
29-06-2009, 07:47
Переназначил vlan2 в vlan1... через
nvram unset vlan2ports
nvram unset vlan2hwname
nvram set vlan1hwname=et0
nvram set vlan1ports=0 5
nvram set wandevs=vlan1
nvram set wan_ifname=vlan1
nvram set wan_ifnames=vlan1
nvram set wan0_ifname=vlan1
nvram set wan0_ifnames=vlan1
nvram commit
reboot

после этого vlan1 не работает :(((((

nvram set vlan1ports="0 5"

P@CCK@30B
09-07-2009, 15:19
Добре Земляне!
Столкнулся с массой вопросов по настройке виланов. Сам юниксоид и сетевик, но OpenWRT уводит меня от понимания принципа реализации. Очень прошу помощи. С сайтом работаю продуктивно, но так и не смог выудить для себя ясность.

Задача: поднять vlan на WAN порту (на порту 0) с тэгом 3.
Условия: На порт Catalist'а приходит интернет, мне его надо маршрутизировать на порты(ы) 1-2-3-4. Девайс WL500gpv2. Прошивка 1.9.2.7.
Проблемы: В назначении тэга интерфейсу (либо через переменную nvram, либо через опцию robocfg).

Просьба указать пальцем на документацию, где внятно будет указана номенклатура интерфейсов.

Заранее благодарен!

bugtester
23-07-2009, 23:46
Помогите пож., не пойму где ошибся.
Имеется: 500 премиум, 1 кабельный пров.,
2 Лана: 192.168.1.0/24 gw: .254 и 192.168.2.0/24 gw: .254

Задача выделить 1 порт для 2ой сетки и запретить одину видеть вторую.

Что сделано:



robocfg vlan 2 ports "1 5t" vlan 0 ports "2 3 4 5t"
vconfig add eth0 2
ifconfig hw ether 00:11:32:23:32:23
ifconfig vlan2 192.168.2.254 broadcast 192.168.2.255 netmask 255.255.255.0 up
ifconfig vlan2 -multicast
iptables -t nat -I POSTROUTING -o vlan2 -s 192.168.2.0/24 -d 192.168.2.0/24 -j MASQUERADE
iptables -I FORWARD -i vlan2 -d 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j DROP
iptables -I FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j DROP


Результат: С рутера видно 192.168.2.0, а наоборот никак ...

edvsol
12-10-2009, 21:28
Как выделить порты в отдельный vlan понятно. А вот как сделать, чтобы, два порта (2 и 3 допустим) были независимы от других и были бриджом? Т.е. сетевая карта, включенная в интерфейс 3, получала ипишник от дхп провайдера, включенного в интерфейс 2. wan и порты 1 и 4 использовались бы для другого соединения.

Power
12-10-2009, 23:59
Просто выделяете эти порты (2 и 3) в отдельный vlan (с помощью nvram set vlan...=...) и далее - внимательно! - больше ничего не делаете :) Этот vlan будет по умолчанию в опущенном состоянии, так что роутер будет игнорировать весь трафик на портах 2 и 3. Но свич (роутерский) между тем будет исправно пересылать пакеты между этими портами. Таким образом вы получите как бы выделенный двухпортовый свич.

Andyz
13-10-2009, 00:32
wl500gP уже давно настроен на 2WAN. Адресация статическая, все прописано руками.

Последнее время часто начал зависать порт свича у одного из провайдеров. Не знаю, может железо дурное, а может хулиганы мак воруют. В общем зависает и помогает только передернуть кабель раз в несколько дней.

Можно как-то автоматизировать, чтобы порт перезапускался при потере связи, или хотя-бы по будильнику там, раз в сутки, раз в три дня...?

И очень желательно так, чтобы не нужно было внешнюю флешку. Штатными средствами, или с прошивкой в собственный флеш роутера... ну если там cron надо будет ставить, я уж не знаю (хотя, наверное, он там есть?).

ceramic
13-10-2009, 02:23
Можно как-то автоматизировать, чтобы порт перезапускался при потере связи, или хотя-бы по будильнику там, раз в сутки, раз в три дня...?

Можно, и cron в прошивке есть. Но если перезагрузка не помогает (требуется физическое отключение кабеля), то придется устанавливать реле в роутер.

edvsol
13-10-2009, 07:19
Спасибо. Попробую

net_net
13-10-2009, 11:28
в cron добавить ping до шлюза по умолчанию и если пинга нет
vconfig rem vlan1 отключить интерфейс потом
vconfig add eth0 1 -включить интерфейс
если не помогло reboot перезагрузка

ceramic
13-10-2009, 11:43
в cron добавить ping до шлюза по умолчанию и если пинга нет
vconfig rem vlan1 отключить интерфейс потом
vconfig add eth0 1 -включить интерфейс
если не помогло reboot перезагрузка
Это если по физике отключать не надо. Судя по исходному посту задача решается только передёргиванием кабеля.

PickaYurik
14-10-2009, 07:40
Курю форум с утра, ща голова лопнет. Случаев много разных, но все они не очень для меня подходят. Или пните куда надо, или лучше реально скажите что сделать для мого случая. Схема такая. Есть локальная сеть 192.168.0.* В ней стоит роутер D-Link который является DHCP сервером и к нему же, чере WAN подключена сеть предприятия 10.50.*.* Без всяких VPN и прочего. Значит мы имеем в локалке выход в сеть предприятия. Этот же D-Link бриджем соединен по Wi-Fi c Asus wl500gpv2 1.9.2.7-10 которая по lan так же раздает локалку нескольким компам в другом здании. D-Link при этом так же выступает DHCP сервером. И вот в этом здании где ASUS появилась сеть, с адресами 10.1.*.* И теперь нужно сделать так, что бы с локалки 192.168.*.* можно было достучаться не только в 10.50.*.* через D-Link, но и в 10.1.*.* через Asus

Шлюзом по умолчанию у нас в локалке выступает D-Link, соотвественно имеющий 192.168.0.200 Асус имеет адрес 192.168.0.113
Первым делом я воткнул новую сетку в Wan Asusa в надежде просто получить на нем по DHCP IP из сетки 10.1.*.* и просто прописать маршрут в D-Link, что бы в сетку 10.1.*.* он смотрел через 192.168.0.113 но не тут то было. Адрес на WAN ASUS получает, почему то от D-Link 192.168.0.103. А если переключить его в режим AP по Wi-Fi только тогда он получает правильный адрес из сетки 10.1.*.* Но мне то нужно что бы ASUS с D-Link оставался соединен.

Предложите решение, пожалуйста. Извините за путанные объяснения, как смог так объяснил. Если есть вопросы или уточнения - расскажу как смогу. Заранее спасибо.

joohny
14-10-2009, 15:15
Что-то действительно мудрено! Можно схемку приложить, так сказать как в учебниках, чтобы было понятно, что вы хотите получить!
Со всеми подсетями!
А так вообще думаю, вам нужно роутинг прописать!

PickaYurik
14-10-2009, 15:55
Что-то действительно мудрено! Можно схемку приложить, так сказать как в учебниках, чтобы было понятно, что вы хотите получить!
Со всеми подсетями!
А так вообще думаю, вам нужно роутинг прописать!

Только сильно не смейтесь, но как могу так нарисовал.
Мне нужно что бы Асус обязательно получал IP из 10.1.0.1 по DHCP и что бы пользователи локалки могли ходить и туда и туда. Воткнул в ван. Получаю адрес из сети 10.1.*.* только если в этот момент между Asus и D-Link нету связи по Wi-Fi! Если она есть, то почему то на Wan интерфейс присвавается адрес из моей локальной сетки от DHCP D-Lin-ka

Не получается прикрепить изображение. http://slil.ru/28079773 тут рисунок.

joohny
14-10-2009, 16:07
Мне нужно что бы Асус обязательно получал IP из 10.1.0.1 по DHCP
Почему? Статикой не настроить? Там по dhcp все время разные адреса дают??
По-идее действительно только нужно было на D-link маршрут прописать и все! Странно!
Может когда асус в режиме моста, то у него WIFI и WAN находятся в одном VLAN?

PickaYurik
15-10-2009, 04:35
Почему? Статикой не настроить? Там по dhcp все время разные адреса дают??
По-идее действительно только нужно было на D-link маршрут прописать и все! Странно!
Может когда асус в режиме моста, то у него WIFI и WAN находятся в одном VLAN?

Статикой пробовал, что то не получилось, да не желательно это. Кроме того если что то поменяется в адресации, то у меня не всегда есть возможность рулить асусом. Вот и кто бы ответил, как разрулить. Если бы эти 2 левые сетки были с одного края, то скорее всего с этого края ставить асус и через 2 WAN, мне кажется проблем не было бы. Но тут вот такая схема хитрая вырисоваль. Спасите помогите!

PickaYurik
15-10-2009, 11:13
Может когда асус в режиме моста, то у него WIFI и WAN находятся в одном VLAN?

ИМЕННО! :eek: http://wl500g.info/showpost.php?p=128034&postcount=2
Вопрос другой. Если один LAN ввести в режим WAN будет ли он так же объединён с беспроводным интерфейсом? :(

joohny
15-10-2009, 11:25
Если один LAN ввести в режим WAN будет ли он так же объединён с беспроводным интерфейсом?
как говорится попытка - не пытка))

delisov
19-10-2009, 21:17
У меня по умолчанию раздается внутренняя сеть, для того, чтобы роутер мог раздавать компьютерам интернет, получаемый по vpn pptp-подключению. Однако в официальной прошивке 2.0.0.6 появилась функция choose wan bridge port, и я выбрал lan 3,4, так что теперь ip-tv без проблем работает через lan, а интернет раздается через wi-fi. Повляется вопрос: а можно ли все lan сделать как мосты на внешнюю сеть, а внутренняя бы раздавалась только по wi-fi? Потому что компьютеров три, а внешних ip только на два.

Andyz
22-10-2009, 14:30
ясно. я думал тут можно переключать нагрузку на порту програмно. хотя в природе проблемы я не совсем уверен. если это только воры IP адресов, то возможно перезапуск и помог бы...

кстати, а как правильно крон в рабочее состояние привести на этом роутере?
crond: /var/spool/cron/crontabs: No such file or directory
вообще, как такое условие реализовать. Вы уж извините, в линуксах ни в зуб ногой. Сам же cron, вроде бы условных переходов не имеет ни по флагам ни по ерроркодам. или...надо придумать длинную строку с пайпами и if для встроенного sh?(в нем все для этого есть? я не в знаком)

net_net
22-10-2009, 22:24
я встроенным crond не пользуюсь вот ссылка
http://wl500g.info/showthread.php?t=11928&highlight=crond

net_net
22-10-2009, 22:36
у меня крон запускает такой скрипт


#!/bin/sh
test1=`ping -c 3 ya.ru |grep time`
if [ "$test1" = "" ]; then
vconfig rem vlan1
sleep 5
vconfig add eth0 1
ifconfig vlan1 172.20.0.15 broadcast 172.20.255.255 netmask 255.255.0.0 up
fi

на wan ip статичный

skrom
22-01-2010, 14:56
Такая же беда, как у автора. Сегодня попробую переобжать кабель.

brain-ripper
26-01-2010, 16:41
у меня похожая проблема была: индикатор WAN гас, приходилось провод передергивать - и то не всегда с первого раза помогало.
Сначала грешил на плохой контакт в проводе, переобжимал, потом - на свитч провайдера, потом на сам роутер, уже хотел в гарантийку тащить, а потом заметил в системном логе роутера что-то непонятное. Разобравшись оказалось что-то похожее на brute-force взлом SSH.

Сначала включил фаервол роутера, вроде помогло, потом фаер выключил (нужен доступ извне), а WEB-морду и SSH перевесил на нестандартные порты, вторую неделю крутится без обрывов.

MrGalaxy
21-02-2010, 09:41
День добрый!

Имеется: wl500gp-v.1 с прошивкой r1087, Интернет, подключённый к wan, не работает, хожу через vlan2.

Содержимое post-boot:

#!/bin/sh

robocfg vlan 0 ports "1 2 3 5t" vlan 2 ports "4 5t"
vconfig add eth0 2
ifconfig vlan2 192.168.1.123 netmask 255.255.255.0 up

route add default gw 192.168.1.1 dev vlan2 metric 1

chmod 777 /tmp

Содержимое post-firewall:

#!/bin/sh

# vlan2
iptables -t nat -A POSTROUTING -o vlan2 -s 192.168.2.0/24 -j MASQUERADE

# transmission
iptables -I INPUT -p tcp --dport 51413 -j ACCEPT

# correcting mtu for Corbina/Beeline l2tp
iptables -A FORWARD -t mangle -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# vnstat
(while [ $(date +%s) -lt 1000000000 ]; do sleep 2; done; /usr/local/sbin/ppp0-ip-up ) &

Содержимое /usr/local/etc/dnsmasq.conf:

server=192.168.1.1

К vlan2 подключен модем ADSL, сессия PPPoE поднимается на нём, адрес модема 192.168.1.1.

Почему-то не работает обновление пакетов:

http://img163.imageshack.us/img163/9655/asus44.png

(Пинг тоже никуда не проходит, кроме lan, но я на это не обращаю внимания).

Как это дело подправить?

MrGalaxy
10-05-2010, 18:24
А то, что vlan2 имеет тот же mac, - не криминал или лучше его для vlan2 сменить?

Power
10-05-2010, 21:06
А то, что vlan2 имеет тот же mac, - не криминал или лучше его для vlan2 сменить?

Не криминал (если, конечно, вы одновременно не воткнёте провода от vlan1 и vlan2 в один и тот же внешний свич или хаб).

Hiss
24-09-2010, 10:27
Подскажите пожалуйста по настройкам роутера Asus wl500gpv2. На свиче есть порт (транк), на нем 2 влана - 2301 и 2409. Как настроить Asus wl500gpv2, чтобы он с этого свича забрал и раскидал вланы на свои порты LAN1 и LAN2? в один порт будет втыкаться STB (IPTV), а в другой - комп. И можно ли интернет помимо порта пустить по Wifi?

lly
27-09-2010, 15:14
wl500 этого не сможет. Поищите письма Олега и по тегу vlan0tag

Vitaly_k
31-01-2012, 15:50
Но периодически по интерфейсу перестают передаваться пакеты. Может несколько раз в день, может раз в месяц. Если бутнуть роутер из шелла командой reboot, сетевуха адрес не получает.


Аналогичная проблема у Билайна - http://wl500g.info/showpost.php?p=244220&postcount=302
Судя по тому, что проблема у разных провайдеров, на разных прошивках роутера то может дело в операторском железе. Не знаете что Киевстар использует на доступе? У Билайна D-Link серии DES.
Может D-Link выпустил кривую прошивку, операторы залили ее свои свичи и понеслось...



Можно ли программно полностью отключить nic, чтобы погасла лампочка коннекта на сетевой? Поставить в крон и выкл\вкл когда нет интернета...


Да, вопрос актуален. В топике про порты/vlan-ы я решения не нашел http://wl500g.info/showthread.php?t=20609

a1ien.n3t
15-04-2013, 17:10
Есть роутер RT-N16
Прошивка 1.9.2.7-rtn-r4923
Нужно оградить один из компьютеров от других. Чтобы он был в своей сети и небыло доступа к остальной.
При это надо чтобы можно было покинуть порт с роутера по которому из первой сети(и из интернета можно было к этому компьютеру подключиться)

Тут как я понял надо использовать VLAN, но вот как настроить до конца не ясно.

iignat
20-08-2013, 11:20
В компании нормально функционирует wl500gp с прошивкой 1.9.2.7-d-r2381 в режиме Home Gateway.
К дефолтной внутренней сети 192.168.1.0/24 возникла необходимость добавить еще одну внутреннюю сеть 192.168.2.0/24 и поднять маршрутизацию между ними.

Подскажите пожалуйста, как это можно сделать для данной прошивки и данного режима.

PS Понимаю, что вопрос тривиальный но в поиске нигде не нашел. Если было дайте ссылку плз.

AndreyPopov
24-08-2013, 19:07
очень мало информации для каких целей вам это надо.

- надо ли , чтобы 2.х ходили в Интернет
- кто и как раздает адреса для 2.х

может вам за глаза хватит:
ifconfig br0:0 address mask

zhukovia
25-02-2014, 02:41
Помогите разобраться в проблеме. Никак не могу настроить соединение по WIFI. Конфигурация следующая. Прошито 1.9.2.7-rtn-r4051 и настроено на двух провайдеров. Внутри две подсети vlan4=192.168.1.0/24 и vlan3=192.168.254.0/24. Адреса выдаются dnsmasq конфиг ниже.
Сеть сделал открытой с AP Mode = AP only. При попытке подключения с телефона делаю tcpdump -i eth1 -nn port 67 and port 68 (если смотреть на vlan1 то почему то выдает тоже самое)

10:59:00.645341 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from X8:Xd:X7:X4:X7:X4, length 300
и больше ничего не происходит. Пробовал разные настройки WIFI но ничего не помогает, телефон не подключается. Подскажите куда копать, а то уже полгода ничего не могу поделать с этим. :( Не могу даже адрес получить, хотя в две другие подсети адреса прекрасно выдаются. Я же правильно понимаю, что WIFI находится на интерфейсе eth1?

dnsmasq.conf

user=root
resolv-file=/tmp/resolv.conf
no-poll
#interface=br0
interface=vlan3
interface=vlan4
interface=vlan1
interface=eth1
bind-interfaces
domain=ipuh.loc
expand-hosts
log-queries
no-negcache
cache-size=512
dhcp-leasefile=/tmp/dnsmasq.leasefile
log-facility=/tmp/dnsmasq.log
dhcp-range=vlan3,192.168.254.100,192.168.254.120,24h
dhcp-range=eth1,192.168.111.100,192.168.111.120,2h
dhcp-range=vlan1,192.168.3.1,192.168.3.155,24h
dhcp-range=vlan4,192.168.1.1,192.168.1.100,24h

dhcp-option=net:vlan3,15,ipuh.loc
dhcp-option=net:vlan3,3,192.168.254.254

dhcp-option=net:eth1,15,wifi.ipuh.loc
dhcp-option=net:eth1,3,192.168.111.254

dhcp-option=net:vlan1,15,ipuh.loc
dhcp-option=net:vlan1,3,192.168.3.254

dhcp-option=net:vlan4,15,arenda.loc
dhcp-option=net:vlan4,3,192.168.1.254
read-ethers

ifconfig

br0 Link encap:Ethernet HWaddr 20:CF:30:CE:45:55
inet addr:192.168.0.254 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:116 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:18397 (17.9 KiB) TX bytes:252 (252.0 B)

eth0 Link encap:Ethernet HWaddr 20:CF:30:CE:45:55
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:19142 errors:0 dropped:0 overruns:0 frame:0
TX packets:10417 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:6149605 (5.8 MiB) TX bytes:5379012 (5.1 MiB)
Interrupt:4 Base address:0x2000

eth1 Link encap:Ethernet HWaddr 20:CF:30:CE:45:55
inet addr:192.168.111.254 Bcast:192.168.111.255 Mask:255.255.255.0
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:77 errors:0 dropped:0 overruns:0 frame:49548
TX packets:111 errors:4 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:11141 (10.8 KiB) TX bytes:19225 (18.7 KiB)
Interrupt:3 Base address:0x1000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:12 errors:0 dropped:0 overruns:0 frame:0
TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:864 (864.0 B) TX bytes:864 (864.0 B)

ppp0 Link encap:Point-to-Point Protocol
inet addr:X4.X3.X9.X9 P-t-P:X0.X28.0.0 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:53 errors:0 dropped:0 overruns:0 frame:0
TX packets:52 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:4210 (4.1 KiB) TX bytes:4170 (4.0 KiB)

vlan1 Link encap:Ethernet HWaddr 20:CF:30:CE:45:55
inet addr:192.168.3.254 Bcast:192.168.3.255 Mask:255.255.255.0
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:62 errors:0 dropped:0 overruns:0 frame:0
TX packets:87 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:11521 (11.2 KiB) TX bytes:11821 (11.5 KiB)

vlan2 Link encap:Ethernet HWaddr 20:CF:30:CE:45:55
inet addr:X5.X0.X3.X8 Bcast:X5.X3.X3.X7 Mask:255.255.255.224
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:11151 errors:0 dropped:0 overruns:0 frame:0
TX packets:4716 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:4118631 (3.9 MiB) TX bytes:1321341 (1.2 MiB)

vlan3 Link encap:Ethernet HWaddr 20:CF:30:CE:45:55
inet addr:192.168.254.254 Bcast:192.168.254.255 Mask:255.255.255.0
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:1001 errors:0 dropped:0 overruns:0 frame:0
TX packets:919 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:275195 (268.7 KiB) TX bytes:500960 (489.2 KiB)

vlan4 Link encap:Ethernet HWaddr 20:CF:30:CE:45:55
inet addr:192.168.1.254 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:5037 errors:0 dropped:0 overruns:0 frame:0
TX packets:4560 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1184613 (1.1 MiB) TX bytes:3535308 (3.3 MiB)

vlan5 Link encap:Ethernet HWaddr 20:CF:30:CE:45:55
inet addr:10.0.0.102 Bcast:10.0.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:1891 errors:0 dropped:0 overruns:0 frame:0
TX packets:135 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:215089 (210.0 KiB) TX bytes:9582 (9.3 KiB)

route

Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
X5.X0.X3.X7 0.0.0.0 255.255.255.255 UH 0 0 0 vlan2
1X4.1X3.1X8.1X8 10X.12X.0.0 255.255.255.255 UGH 0 0 0 ppp0
10.128.0.0 10.128.0.0 255.255.255.255 UGH 0 0 0 ppp0
10.128.0.0 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
8.8.8.8 X5.X0.X3.X7 255.255.255.255 UGH 0 0 0 vlan2
X5.X0.X3.X6 0.0.0.0 255.255.255.224 U 0 0 0 vlan2
192.168.111.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan5
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan4
192.168.254.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan3
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 X5.X0.X3.X7 0.0.0.0 UG 0 0 0 vlan2

zhukovia
25-02-2014, 02:42
nat


Chain PREROUTING (policy ACCEPT 8104 packets, 886K bytes)
pkts bytes target prot opt in out source destination
3 136 DNAT tcp -- * * 0.0.0.0/0 X5.X0.X3.X8 tcp dpt:3389 to:192.168.254.253:3389
0 0 DNAT tcp -- * * 0.0.0.0/0 X5.X0.X3.X8 tcp dpt:37777 to:192.168.254.253:37777
0 0 DNAT tcp -- * * 0.0.0.0/0 X5.X0.X3.X8 tcp dpt:7777 to:192.168.254.253:7777
0 0 DNAT tcp -- * * 0.0.0.0/0 X0.X0.X0.X2 tcp dpt:3389 to:192.168.254.253:3389
0 0 DNAT tcp -- * * 0.0.0.0/0 X0.X0.X0.X2 tcp dpt:37777 to:192.168.254.253:37777
0 0 DNAT tcp -- * * 0.0.0.0/0 X0.X0.X0.X2 tcp dpt:7777 to:192.168.254.253:7777
0 0 DNAT tcp -- * * 0.0.0.0/0 X4.X3.X3.X9 tcp dpt:3389 to:192.168.254.253:3389
0 0 DNAT tcp -- * * 0.0.0.0/0 X4.X3.X3.X9 tcp dpt:37777 to:192.168.254.253:37777
0 0 DNAT tcp -- * * 0.0.0.0/0 X4.X3.X3.X9 tcp dpt:7777 to:192.168.254.253:7777

Chain POSTROUTING (policy ACCEPT 981 packets, 69225 bytes)
pkts bytes target prot opt in out source destination
2391 143K SNAT all -- * vlan2 !X5.X0.X3.X8 0.0.0.0/0 to:X5.X0.X3.X8
0 0 SNAT all -- * vlan5 !10.0.0.102 0.0.0.0/0 to:10.0.0.102
0 0 SNAT all -- * ppp0 !X4.X3.X3.X9 0.0.0.0/0 to:X4.X3.X3.X9

Chain OUTPUT (policy ACCEPT 979 packets, 69105 bytes)
pkts bytes target prot opt in out source destination


FIREWALL

Chain INPUT (policy ACCEPT 629 packets, 68175 bytes)
pkts bytes target prot opt in out source destination
1005 69299 bad_tcp_packets tcp -- * * 0.0.0.0/0 0.0.0.0/0
12 864 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
709 51939 ACCEPT all -- vlan3 * 192.168.254.253 0.0.0.0/0
2233 283K udp_packets udp -- * * 0.0.0.0/0 0.0.0.0/0
823 150K ACCEPT all -- vlan2 * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
2 80 tcp_packets tcp -- vlan2 * 0.0.0.0/0 0.0.0.0/0
13 828 icmp_packets icmp -- vlan2 * 0.0.0.0/0 0.0.0.0/0
39 1144 DROP all -- vlan2 * 0.0.0.0/0 224.0.0.0/8
2 1152 ACCEPT all -- vlan5 * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 tcp_packets tcp -- vlan5 * 0.0.0.0/0 0.0.0.0/0
0 0 icmp_packets icmp -- vlan5 * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- vlan5 * 0.0.0.0/0 224.0.0.0/8
154 12936 ACCEPT all -- ppp0 * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
2 80 tcp_packets tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0
1 60 icmp_packets icmp -- ppp0 * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- ppp0 * 0.0.0.0/0 224.0.0.0/8

Chain FORWARD (policy ACCEPT 4 packets, 216 bytes)
pkts bytes target prot opt in out source destination
2922 187K bad_tcp_packets tcp -- * * 0.0.0.0/0 0.0.0.0/0
6 987 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 TCPMSS tcp -- * ppp0 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 tcpmss match 1453:65535 TCPMSS set 1452
0 0 TCPMSS tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 tcpmss match 1453:65535 TCPMSS set 1452
1429 93573 ACCEPT all -- vlan3 * 192.168.254.253 0.0.0.0/0
0 0 vcr_ip tcp -- ppp0 * 0.0.0.0/0 192.168.254.253 tcp dpt:7777
0 0 vcr_ip tcp -- ppp0 * 0.0.0.0/0 192.168.254.253 tcp dpt:37777
0 0 rdp_ip tcp -- ppp0 * 0.0.0.0/0 192.168.254.253 tcp dpt:3389
0 0 vcr_ip tcp -- vlan5 * 0.0.0.0/0 192.168.254.253 tcp dpt:7777
0 0 vcr_ip tcp -- vlan5 * 0.0.0.0/0 192.168.254.253 tcp dpt:37777
0 0 rdp_ip tcp -- vlan5 * 0.0.0.0/0 192.168.254.253 tcp dpt:3389
0 0 vcr_ip tcp -- vlan2 * 0.0.0.0/0 192.168.254.253 tcp dpt:7777
0 0 vcr_ip tcp -- vlan2 * 0.0.0.0/0 192.168.254.253 tcp dpt:37777
3 136 rdp_ip tcp -- vlan2 * 0.0.0.0/0 192.168.254.253 tcp dpt:3389
1090 56911 valid_ip all -- * !br0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 10 packets, 1743 bytes)
pkts bytes target prot opt in out source destination
936 957K bad_tcp_packets tcp -- * * 0.0.0.0/0 0.0.0.0/0
948 964K ACCEPT all -- * vlan3 0.0.0.0/0 192.168.254.253
6 2000 ACCEPT udp -- * vlan4 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
688 139K ACCEPT udp -- * vlan4 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT udp -- * eth1 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
0 0 ACCEPT udp -- * eth1 0.0.0.0/0 0.0.0.0/0 udp spt:53
12 864 ACCEPT all -- * * 127.0.0.1 0.0.0.0/0
0 0 ACCEPT all -- * * 192.168.254.254 0.0.0.0/0
933 62209 ACCEPT all -- * vlan2 0.0.0.0/0 0.0.0.0/0
2 608 ACCEPT all -- * vlan5 0.0.0.0/0 0.0.0.0/0
154 12936 ACCEPT all -- * ppp0 0.0.0.0/0 0.0.0.0/0

Chain allowed (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0

Chain bad_tcp_packets (3 references)
pkts bytes target prot opt in out source destination
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x12/0x12 ctstate NEW reject-with tcp-reset
215 61741 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 ctstate NEW
1313 57683 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID

Chain icmp_packets (3 references)
pkts bytes target prot opt in out source destination
13 828 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11
1 60 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain rdp_ip (3 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * X9.X2.X4.X3 0.0.0.0/0
3 136 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain tcp_packets (3 references)
pkts bytes target prot opt in out source destination
0 0 allowed tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5X5

Chain udp_packets (1 references)
pkts bytes target prot opt in out source destination
21 6898 ACCEPT udp -- vlan4 * 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67
697 43198 ACCEPT udp -- vlan4 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67
0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 DROP udp -- vlan2 * 0.0.0.0/0 0.0.0.0/0 udp dpts:135:139
0 0 DROP udp -- vlan2 * 0.0.0.0/0 0.0.0.0/0 multiport dports 53,67
220 25928 DROP udp -- vlan5 * 0.0.0.0/0 0.0.0.0/0 udp dpts:135:139
1 328 DROP udp -- vlan5 * 0.0.0.0/0 0.0.0.0/0 multiport dports 53,67
0 0 DROP udp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:135:139
0 0 DROP udp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 multiport dports 53,67

Chain valid_ip (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 192.168.1.82 0.0.0.0/0 MAC 00:14:22:24:24:B9
4 1256 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

andrej
20-05-2017, 13:14
День добрый.

Задача в общем и целом описана в заголовке.
Есть Asus RT-N16. Один провайдер интернета через PPTP и две локалки которые надо подключить к этому раутеру, таким образом, что бы в обе поступал интернет, но ни одна из них не должна подозревать о наличии другой.

Вопрос как это сделать. Обратный вариант с двумя провайдерами нашел, но это не совсем то. Возможно я просто не нашел инструкцию, потому, что не знаю по каким ключевым словам ее искать.

Подскажите, пожалуйста.

С уважением, Андрей.