PDA

Bekijk de volledige versie : WAN, VLAN, MAN, BR0 и т.п. Кто-нибудь разъяснит?



Reyter
17-04-2007, 15:56
Вскоре у меня возникнет необходимость в осуществлении весьма хитрой настройки роутера на две совершенно различный локалки, с разными гейтвеями, роутингом, интернетом и т.п.
В предверии сего события пытался самостоятельно разобраться во всех хитросплетениях этого весьма занимательного занятия, но выяснил, что не понимаю фундаментальных вещей, а какого-нибудь толкового мануала для чайников так и не нашел. И даже отрывочных сведений, позволяющих хоть как-то сложить все в кучку, тоже нет. :(
Итак, единственное, что я более или менее понимаю - что такое есть и для чего нужен WAN. И где он находится физически на роутере.
А вот дальше...
Что такое и для чего нужен MAN? Его можно назначить на любой физический интерфейс? Как?
Что такое LAN (в принципе понимаю, но...)? Пока проедем.
Что такое и для чего vlan? Где находятся физически vlan1, vlan2? Их можно добавлять/менять? Как, зачем?
Что такое br0? Какие у него свойства? Где находится физически (если вообще у него есть конкретная дырка в роутере)?
Что такое eth? Где находятся физически eth1, eth2?

Т.е. нужно краткое описание этих терминов. Их отличие друг от друга. Краткое описание команд и т.п. для работы с ними и небольшие примеры.

Иначе придется как попугаю тупо перебирать различные готовые варианты настроек для своих целей очень смутно представляя себе, что на самом деле происходит.
Очень надеюсь на помощь. Полагаю, многие новички присоединятся к моей просьбе.

al37919
17-04-2007, 19:12
eth0 --- физический адаптер (пять равноценных эзернет портов)
eth1 --- физический адаптер (беспроводной)

путем софтовой конфигурации в eth0 может быть организовано несколько vlan (от 0 до 5). По дефолту сделано 2:
vlan0 --- 4 порта LAN
vlan1 --- WAN

vlan на данном устройстве конфигурится при помощи утилиты robocfg

br0 = vlan0 + eth1

Для ответа на вопрос что такое MAN лучше обратиться к теории сетей.

Здесь в конфе встречалась замечательна картинка, которая лично мне очень помогла разобраться в этих хитросплетениях :)

Reyter
18-04-2007, 14:40
Спасибо большое! Кое что начинает проясняться...
Понятне всего - что такое eth0 и eth1 :)

Что такое vlan все-таки не совсем понятно: virtual lan? Т.е. теоретически на каждый порт можно назначить свой собственный IP, гейтвей и роутинг? Иными словами vlanХ - это как бы вирутально-физический сегмент роутера, обладающий всеми необходимыми атрибутами и свойствами отдельного eth-адаптера, необходимыми для работы в отдельной локальной сети? Я правильно понял? Т.е. ежели к примеру мы настроим 5 штук vlan, то это будет примерно то же самое, как если бы мы воткнули в комп 5 сетевых адаптеров эзернет и на каждом из них сделали различные настройки?

Что такое br0 тоже из этого объяснения не совсем понятно. В данном случае получается складываем совершенно разные (логически) вещи? Может быть правильнее eth0 + eth1?

Но самое интересное, что такое MAN. Попробую поискать.
А в какой примерно теме может эта замечальная картинка? :)

Еще раз спасибо, по крайней мере становится понятно, в какую сторону копать.

Mirage-net
18-04-2007, 15:05
Но самое интересное, что такое MAN. Попробую поискать.

Ну про MAN можно прочитать например здесь http://www.osp.ru/nets/2001/15/145736/ правда там не очень подробно, но судя по уровню подготовки наверное это даже лучше :)

al37919
18-04-2007, 15:16
я бы даже уточнил так: br0 = vlan0 + eth1 = LAN

Reyter
19-04-2007, 11:38
я бы даже уточнил так: br0 = vlan0 + eth1 = LAN

Ага, вот это более доходчиво.
Еще бы по поводу vlan кто-нибудь либо подтвердил, либо опроверг мои предположения...

Reyter
19-04-2007, 11:57
Ну про MAN можно прочитать например здесь http://www.osp.ru/nets/2001/15/145736/ правда там не очень подробно, но судя по уровню подготовки наверное это даже лучше :)

Спасибо за наводку. По крайней мере есть от чего плясать.
Почитал про Metropolitan Area Networks, про Metro Ethernet...

Понятнее всего, пожалуй, оказалось описание здесь (http://en.wikipedia.org/wiki/Metro_Ethernet). Особенно раздел Pure Ethernet MANs. Интересно.
Однако врядли роутер имеет понятие о концепции построения таких сетей, оптике и т.п. А меня интересует именно MAN применительно к роутеру.
Правильно ли я понимаю, что когда мы назначаем интерфейс MAN, то даем этим команду роутеру, как сказано в одной статье, "инкапсулировать пакеты с заголовком VLAN" или же, как сказано в другой, "to allow transparent tunneling of traffic through the use of Virtual LANs as "point to point" or "multipoint to multipoint" circuits. Combined with new features such as VLAN Stacking (also known as VLAN Tunneling)", что видимо одно и то же?

Oleg
19-04-2007, 12:34
Ужас, уже теоретическую базу подвели. :)

Название MAN "придумал" я для обозначения "локалки" провайдеров, ибо MAN (Metropolitan Area Network) действительно похожа на "городские сети" наших провайдеров по своей сути. Т.е. она крупнее LAN, но мельче WAN. Одним словом, всё это условности, искать точное совпадение - бессмысленно.

Что касается реализации, то MAN - это всегда проводной интерфейс, обозначенный у роутера как WAN порт. При этом в случае PPPoE/PPTP/L2TP, WAN соединение - это виртуальный PPP канал.

al37919
19-04-2007, 14:13
Получается, что в моем частном случае MAN --- это сегмент между роутером и ADSL модемом? :) Я тут недавно с удивлением обнаружил, что он хотя и в режиме bridge, но тоже имеет IP-шник и доступен.

Reyter
19-04-2007, 14:36
Получается, что в моем частном случае MAN --- это сегмент между роутером и ADSL модемом? :) Я тут недавно с удивлением обнаружил, что он хотя и в режиме bridge, но тоже имеет IP-шник и доступен.
Ну, поскольку модем находится в режиме моста, то он должен быть абсолютно "прозрачен" для сетевого трафика. Т.е. таки сегмент MAN - это отрезок между роутером и провайдером.
А то, что модем имеет IP и доступен... В противном случае из режима моста его пришлось бы выводить сбросом настроек :eek:

Reyter
19-04-2007, 15:13
Так... Всем спасибо! Вроде бы все улеглось в голове.
Последний вопрос:
Даже не вопрос, а уточнение, чтобы убедиться, что я правильно понял. MAN всегда назначается на WAN-интерфейс роутера? Т.е. два MAN не может быть?

Oleg
19-04-2007, 19:46
Получается, что в моем частном случае MAN --- это сегмент между роутером и ADSL модемом? :) Я тут недавно с удивлением обнаружил, что он хотя и в режиме bridge, но тоже имеет IP-шник и доступен.
Да, но в случае СТРИМа (это ведь он?) там же окажутся и СТРИМ-ТВшные сервера. А если на модеме можно поднять :stream и сбриджевать, то там может оказаться стрим.драйв и прочее прелести.

Hohmach
20-04-2007, 08:41
А можно ли вообще отказаться от WAN интерфейса, и PPP поднимать на LAN? У меня несколько адресов (вида 10.0.7.X, gw 10.0.7.1) в локалке, хочу на один из них повесить 500gp, чтобы он брал инет по PPTP у 10.0.0.1 и отдавал моим компам по PPPoE. Можно ли сделать это изменив лиш переменные nvram, (не считая установки pppoed)?

michz
20-04-2007, 12:29
Oleg чтобы не открывать новую тему вопрос задам в этой.
Второй WAN на 4LAN (лог. порт1) нужен для подключения кабельного модема через его LAN порт. IP - получить автоматом, DNS - получить автоматом, нужно задавать MAC сетевой. Читал тут (2стр. темы)
http://wl500g.info/showthread.php?t=4567
Вопрос относительно "Если сети доступны непосредственно, то нужно вместо этого написать dev vlan2" т.е. команда записи в post-boot задающая IP для WAN2 для моего случая. Из той темы

echo ifconfig vlan2 192.168.21.207 netmask 255.255.0.0 up >> /usr/local/sbin/post-boot
До этой команды (nvram... и прочее) как бы понимание есть. А в этом месте возникает вопрос. Эта команда вкл. второй WAN или достаточно задания MAC? Т.е. в моем случае WAN2 должен получить IP у провайдера. В п. 13 "Настройки с нуля..."

ifconfig vlan2 192.168.2.1 broadcast 192.168.2.255 netmask 255.255.255.0 up
имеет определение "запустить интерфейс"

Вопрос у меня как запустить интерфейс WAN2 в режиме автополучения IP и DNS.

FilimoniC
20-04-2007, 21:49
Oleg чтобы не открывать новую тему вопрос задам в этой.
Второй WAN на 4LAN (лог. порт1) нужен для подключения кабельного модема через его LAN порт. IP - получить автоматом, DNS - получить автоматом, нужно задавать MAC сетевой. Читал тут (2стр. темы)
http://wl500g.info/showthread.php?t=4567
Вопрос относительно "Если сети доступны непосредственно, то нужно вместо этого написать dev vlan2" т.е. команда записи в post-boot задающая IP для WAN2 для моего случая. Из той темы

echo ifconfig vlan2 192.168.21.207 netmask 255.255.0.0 up >> /usr/local/sbin/post-boot
До этой команды (nvram... и прочее) как бы понимание есть. А в этом месте возникает вопрос. Эта команда вкл. второй WAN или достаточно задания MAC? Т.е. в моем случае WAN2 должен получить IP у провайдера. В п. 13 "Настройки с нуля..."

ifconfig vlan2 192.168.2.1 broadcast 192.168.2.255 netmask 255.255.255.0 up
имеет определение "запустить интерфейс"

Вопрос у меня как запустить интерфейс WAN2 в режиме автополучения IP и DNS.


[xxx@(none) sbin]$ cat post-boot
#!/bin/sh
robocfg vlan 2 ports "1 5t" vlan 0 ports "2 3 4 5t"
vconfig add eth0 2
ifconfig vlan2 hw ether 16:15:14:13:12:11
ifconfig vlan2 172.20.2.240 broadcast 172.20.2.255 netmask 255.255.255.0 up
udhcpc -c WL500GX -H WL500GX -b -i vlan2 -p /var/run/udhcpc1.pid -s /tmp/udhcpc
route add -net 172.20.2.0 netmask 255.255.255.0 gw 172.20.2.1


[xxx@(none) sbin]$ cat post-firewall
#!/bin/sh
iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY
iptables -A FORWARD -i vlan2 -m state --state NEW -j SECURITY
iptables -t nat -A POSTROUTING -o vlan2 ! -s 172.20.2.240 -j MASQUERADE

Соответственно, роутер раздает сетку 172.20.1.x ; wan1 раздает 10.x.y.z; wan2 раздает 172.20.2.x

Единтсвенное "НО":
У меня подключен ADSL-модем с DHCP к WAN2 (и дальше модема траффик не идет - оно лично мне и не надо). Так вот между включением роутера и выполнением post-boot проходит какое-то время. В это время все 4 LAN порта работают как хаб. То есть, в ситуации когда WAN2 подключен, еще подключен 1 клиент, то клиент получит "левый" IP-дрес от WAN2-сервера (в моем случае его выдаст АДСЛ-модем).

Вопрос: как этого избежать? :)
Возможно, делать в начале пост-бут
ifconfig vlan0 down или ifconfig eth0 down
, а в конце -
sleep 30000
ifconfig vlan0 up ?

michz
21-04-2007, 11:22
FilimoniC
THX. Буду разбираться с udhcpc. По поводу куда идет трафик, сорри, не все условия расписал... Приватное использование, дома (настольный и ноут - одна workgroup) в доме Home lan (другая workgroup, одноранговая windows сеть, два провайдера, один ADSL второй мне кажется ISDN канал использует). Еще кабельный модем - и-нет по кабельному TV.
Если коротко: сын-ноут-home lan, я-настольный-и-нет по кабельному модему, т.е. home lan мне не интересна. В Home lan - оба провайдера PPTP VPN. По отдельности - кабельный модем на WAN или Home lan на WAN я настраивал, ну и в первом чтении все нормально. Теперь смотрю вариант собрать все на маршрутизаторе, home lan работает не надежно, вылеты свичей, обрывы... Т.е. реализовать - и-нет для ноута по WiFi, три провайдера на выбор

FilimoniC
21-04-2007, 15:29
Вот еще пост-фаерволл запостил. :)

michz
21-04-2007, 17:04
FilimoniC
THX :) . Но у меня вопрос, по следующей строке
ifconfig vlan2 172.20.2.240 broadcast 172.20.2.255 netmask 255.255.255.0 up
По-смыслу это присвоение IP vlan2 (WAN2), именно сетевому интерфейсу а не роутеру или я не прав ? Мне бы немного смысловую нагрузку по этому вопросу... В квартирной сетке (настольный и ноут) самому роутеру IP задать надо или по умолчанию (192.168.1.1) - это ясно, второй WAN создать надо назначить ему требуемый MAC разобраться с включением DHCP у тебя это строка
udhcpc -c WL500GX -H WL500GX -b -i vlan2 -p /var/run/udhcpc1.pid -s /tmp/udhcpc
WL500GX - это хост-имя роутера?
А назначение 172.20.2.240 - этот момент не понятен. У меня vlan2 должен получить IP, многие сетевые ресурсы фиксированные (мой IP, шлюз, DHCP...), но при попытках прописать их конекта не будет (такой результат получаю и под XP когда модем подкл. к сетевому адаптеру) Даже если шлюз пропишу а остальное автоматом - не пускает провайдер.
Сорри, я не против проб и попыток, просто решил пройти все сначала и опять застрял на ipkg, ну вроде бы прошел, гм, "разобрался"... У меня vlan2 не в сети а подкл. непосредственно к модему.

FilimoniC
21-04-2007, 17:38
FilimoniC
THX :) . Но у меня вопрос, по следующей строке
ifconfig vlan2 172.20.2.240 broadcast 172.20.2.255 netmask 255.255.255.0 up
По-смыслу это присвоение IP vlan2 (WAN2), именно сетевому интерфейсу а не роутеру или я не прав ?

Ну по сути robocfg по умолчанию делает первый виртуальный интерфейс на 1,2,3,4 порты. То что мы вызываем делает первый на 1,2,3 и второй на 4. Таким образом они становятся полностью раздельными самостоятельными интерфейсам, как будто 2 сетевухи.


FilimoniC

udhcpc -c WL500GX -H WL500GX -b -i vlan2 -p /var/run/udhcpc1.pid -s /tmp/udhcpc
WL500GX - это хост-имя роутера?
А назначение 172.20.2.240 - этот момент не понятен.
Я сам не знаю зачем -c и -H (ну -H это hostname кажется), можно без них. Но я сделал так - пусть будут. Может именно так DHCPS определяет кто к нему подключился (в табличке DHCP Leases)
Я сам не до конца разобрался, но как я понял, этот IP и эти параметры у него будут до тех пор пока он не сможет получить IP и др.параметры по DHCP. У меня тоже к модему подрубаются.

michz
21-04-2007, 23:48
У меня несколько другой случай - модем не имеет своего IP, подключен к кабельному TV через полосовой фильтр. У модема два интерфейса - USB и эзернет. Я использую эзернет. IP получает сетевой адаптер компа.

FilimoniC
22-04-2007, 07:01
У меня несколько другой случай - модем не имеет своего IP, подключен к кабельному TV через полосовой фильтр. У модема два интерфейса - USB и эзернет. Я использую эзернет. IP получает сетевой адаптер компа.

Нарисуйте (например, Friendly Pinger'ом), и пометьте, где у вас DHCP-Сервера :).

michz
23-04-2007, 08:44
FilimoniC
Не смогу нарисовать - сервер DHCP у провайдера... Для провайдера как я понимаю главный вопрос - биллинг. Как реализовано - я не в курсе. После проверки моего MAC (возможно с учетом группового оборудования, не знаю) я получаю фиксированный IP и IP прочих ресурсов (фиксированные будем считать). Возможно через маршрутизатор Cisco.
Наверное все же не по теме это обсуждение, надо завязывать. Тем более вопрос "как запустить интерфейс WAN2 в режиме автополучения IP и DNS", мне не важно подключусь ли я к провайдеру, цель - изучение роутера и управления им, ну а проблемы , незнание линукс и т.д.
К примеру
ifconfig vlan2 hw ether 16:15:14:13:12:11 up
Можно up при задании MAC?
Тем более насколько ситуация изменилась с
"неработает связка DHCP(client) + PPTP на WAN интерфейсе?"
"Почему не работает - потому что не предусмотрено такое."

FilimoniC
23-04-2007, 16:16
FilimoniC
Не смогу нарисовать - сервер DHCP у провайдера... Для провайдера как я понимаю главный вопрос - биллинг. Как реализовано - я не в курсе. После проверки моего MAC (возможно с учетом группового оборудования, не знаю) я получаю фиксированный IP и IP прочих ресурсов (фиксированные будем считать). Возможно через маршрутизатор Cisco.
Наверное все же не по теме это обсуждение, надо завязывать. Тем более вопрос "как запустить интерфейс WAN2 в режиме автополучения IP и DNS", мне не важно подключусь ли я к провайдеру, цель - изучение роутера и управления им, ну а проблемы , незнание линукс и т.д.
К примеру
ifconfig vlan2 hw ether 16:15:14:13:12:11 up
Можно up при задании MAC?
Тем более насколько ситуация изменилась с
"неработает связка DHCP(client) + PPTP на WAN интерфейсе?"
"Почему не работает - потому что не предусмотрено такое."
Разве? А я что-то слышал что там надо где-то 0.0.0.0 указать... (Сам не интересовался, не пользуюсь)

Rambalac
14-05-2007, 10:36
wl500gP, прошивка 7g
В ВАН заведен инет, в один и портов заведена локалка, в остальные и вайфай - мои компы
Как сделать чтобы у локалки не было моего инета?
Но я былбы в тойже подсетки что и локалка 192.168.0.* и с инетом?

Тоесть я бы остался как в локалки, но только у меня был инет

Учитывать то что в локалки могут и будут пробовать менять ИП и МАК своих компов

Rambalac
14-05-2007, 13:43
Тоесть нужно чтобы определенный ЛАН порт роутера не имел выхода в ВАН. Но отношения между компами висящими на всех ЛАН портах должны остаться прежними

Mam(O)n
14-05-2007, 23:15
Наверное надо смотреть в сторону vlan. Натрави поиск на слово robocfg.

Rambalac
15-05-2007, 07:09
Ну то что vlan это понятно.
Но как сделать чтоб br0 и vlan2 были в одной сетке совершенно прозрачно, какбуддто и нет никакого vlan2 а есть обычный свич, но при этом небыло связи vlan2 <-> vlan1 я немного непонимаю. Было бы просто закрыть все фаерволом по ИП, но у меня есть опасения, в сетке есть покрайней мере один человек который захочет и сможет поменять ИП и МАК для доступа к моему инету пока меня с ноутбуком (ИП и МАК) не будет в сети

Mam(O)n
15-05-2007, 15:43
Просто закрыть все фаерволом по ip недостаточно. Всегда найдутся пионэры, которые будут пытатся подменить мак/ип. Я пока вижу несколько путей решения данного вопроса:

I. Недорешения:

1. VLAN + NAT + DMZ. Совсем просто и намного дальше от поставленной задачи.
2. VLAN и роутинг. Только придется настроить маршрутизацию на всех тачках, которые будут висеть на vlan2. Опять же получаются разные подсети и не пойдет broadcast.

II. Ближе к теме, но пока только в теории.

Можно попробовать придумать новый bridge для вражеской подсети (br1: vlan2+vlan0+eth1) и с помощью iptables запретить forward пакетов инет для него. Тогда потребуется 2 ip адреса прописывать в твоей подсети - один для твоей подсети (br0: vlan0+eth1), другой для вражеской подсети (br1).

Rambalac
15-05-2007, 16:27
А как насчет такого
Свич управляемый в роутере, так наверное можно сделать как в управляемых свичах, сделать фильтрацию по ИП и МАК?

Mam(O)n
15-05-2007, 16:51
Насчет свича сомневаюсь, но можно ограничить доступ по mac с помощью iptables

Разрешить доступ для одного mac:


iptables -I FORWARD -m mac --mac-source ! 00:00:00:00:00:00 -j DROP


Разрешить доступ для нескольких mac:


iptables -N MAC_FILTER
iptables -A MAC_FILTER -m mac --mac-source 00:00:00:00:00:00 -j RETURN
iptables -A MAC_FILTER -m mac --mac-source 11:11:11:11:11:11 -j RETURN
.....
iptables -A MAC_FILTER -m mac --mac-source nn:nn:nn:nn:nn:nn -j RETURN
iptables -A MAC_FILTER -j DROP
iptables -I FORWARD -j MAC_FILTER


P.S. Ёлки моталки. Этож и через веб-морду оказывается делается (Internet Firewall-MAC Filter). Сто лет туда не заходил.
P.P.S. Эту преграду можно преодолеть подменой mac адреса!!!

Rambalac
15-05-2007, 17:15
Я знаю, пока так и работает, но вот боязно, что ктото может пролезть и "сделать пару звонков в бразилию"

Mam(O)n
15-05-2007, 18:28
А у свича похоже отсутствует данный функционал.

Romeo9128
15-05-2007, 18:42
Здравствуйте. к стати, я думаю по теме... НЕ подскажите ли как можно организовать привязку ip к маку сетевой?
Т.е. чтоб при хотя бы одном несовпадении (мак или ip не верны) пользователю либо блокировался доступ.. либо (в идеале) если от пользователя идёт запрос на 80 порт (по инету он хочет к примеру побродить), то он перенаправлялся на какой-нибудь другой адрес.
Хотя про перенаправление в одной из тем уже было...
Зарание спасибо!

Mam(O)n
16-05-2007, 01:48
----- СКРИПТ УДАЛЕН -----

ЕСТЬ РЕШЕНИЕ ПРОЩЕ И ЛУЧШЕ: http://wl500g.info/showpost.php?p=59435&postcount=19

Romeo9128
16-05-2007, 15:43
Огромное Вам спасибо. Вечерком попробую. А не подскажите ли ещё, что нужно изменить, чтобы при запросе на 80 порт была переброс на 80 порт, но на ип, отличный от адреса роутера.

Mam(O)n
16-05-2007, 15:59
Если навскидку, то в том скрипте можно попробовать заменить


$IPT -t nat -A ${pref}REDIR -p tcp --dport 80 -j REDIRECT --to-port $tport

на


$IPT -t nat -A ${pref}REDIR -p tcp --dport 80 -j DNAT --to-destination айпиадрес:порт

Rambalac
18-05-2007, 09:59
Одно плохо, встроеный в веб фильтр МАК настраивает так, что не только в инет не пускает остальных, но к самому роутеру и самбе на нем
А
iptables -I FORWARD -m mac --mac-source ! <мой мак> -j DROP
блокирует инет не только всем остальным, но и мне

и в обоих случаях можно поменять МАК

к стати, robocfg пишет, что и br0 и vlan1 помечает пакеты (tagged). Если я правильно понимаю, то помечает он их как раз номером порта? только где его можно поймать? это случаем не MARK в iptables?

Reyter
23-07-2007, 18:12
Хм... Действительно, не прочитал сначала ответ Rambalac, запустил скрипт и начал радоваться жизни... А оказалось, что данный скрипт вообще "неправильных" пользователей не пускает ни к каким ресурсам роутера. Ни к самбе, ни к ftp, ни к web на том же порту 8080. Но тогда получается и смысла как бы особого нет в этом скрипте? По mac можно отсеять гораздо более простым способом - через web-интерфейс. Перевод гостя на порт 8080 при попытке ломится на 80-й конечно прикольно, но...
Позарез нужен способ допускать любого пользователя к ресурсам самого роутера, но в то же время в инет пускать только "проверенных товарищей"! Есть такая возможность?

Mam(O)n
23-07-2007, 18:47
Этот скрипт я писал для привязки ip к mac и о том чтоб был доступ к роутеру для других не задумывался. Да и проще можно было сделать, просто какой-то мануал меня ввел в заблуждение, что мак и ip в одном правиле нельзя указывать.
Я думаю что так должно сработать:

iptables -N MAC_FILTER
iptables -A MAC_FILTER -s 000.000.000.000 -m mac --mac-source 00:00:00:00:00:00 -j RETURN
iptables -A MAC_FILTER -s 111.111.111.111 -m mac --mac-source 11:11:11:11:11:11 -j RETURN
.....
iptables -A MAC_FILTER -s nnn.nnn.nnn.nnn -m mac --mac-source nn:nn:nn:nn:nn:nn -j RETURN
iptables -A MAC_FILTER -j DROP
iptables -I FORWARD -o ! br0 -d ! $(nvram get lan_ipaddr) -j MAC_FILTER

Reyter
23-07-2007, 19:18
Mam(O)n, спасибо огромное! Все замечательно работает! :D

Reyter
24-07-2007, 14:47
Прошу совета.
Мне нужно, чтобы все 5 портов работали как свич (т.е. входили в LAN), и в то же время порт WAN поднимал PPPoE-соединение и раздавался инет.
Могу пояснить зачем. Локальная сеть с одним адресным пространством у меня находится и "внутри" и "снаружи" (т.е. со стороны порта WAN, которым я и подключен к сети). Т.е. чтобы мне без NAT работать с локалкой, порт WAN должен входить в LAN.
Что делаю:
robocfg vlan 1 ports "0 5t" vlan 0 ports "0 1 2 3 4 5t"
Что получаю. Если PPPoE уже установлен, то все работает замечательно. И локалка прекрасно видна, и инет есть.
Если же PPPoE не установлен (ну или разорвался), то установить его уже не удается.
В логах следующее:
Jul 24 16:43:08 kernel: VLAN (vlan1): Underlying device (eth0) has same MAC, not checking promiscious mode.
...skiped....
Jul 24 16:43:09 pppd[592]: Plugin rp-pppoe.so loaded.
Jul 24 16:43:09 pppd[592]: RP-PPPoE plugin version 3.3 compiled against pppd 2.4.2
Jul 24 16:43:09 pppd[593]: pppd 2.4.2 started by root, uid 0
Jul 24 16:43:44 pppd[593]: Timeout waiting for PADO packets
Jul 24 16:43:44 pppd[593]: Unable to complete PPPoE Discovery

Можно ли как-нибудь выйти из этой ситуации?

Mam(O)n
24-07-2007, 23:26
Похоже, что нельзя дублировать один порт на несколько vlan.

Reyter
25-07-2007, 07:56
Похоже, что нельзя дублировать один порт на несколько vlan.
Интересно - почему?
Я же говорю - единственный затык с проблеммой установления ppp-соединения. После того, как оно установлено, объединяю порты и все прекрасно работает. Значит в принципе это возможно!
Я даже скриптик написал, который переконфигурирует vlans в зависимости от наличия ppp-соединения. И прописал его в post-firewall и (на всякий случай) в cron на каждые 5 минут. В результате у меня у меня и инет есть, и все 5 портов как обычный свич работают.
Но это все очень некучеряво, поскольку после разрыва ppp и до момента его установления у меня "падает" локалка. В результате действия скрипта конечно.
Так что это должно работать, потому как работает. Осталось решить только проблему соединения.
И вообще - почему нельзя вешать на один порт несколько vlan? Роутер ведь (про 500gp речь идет) поддерживает до 16 vlan! А портов у нас всего 5 :) Что мешает нам повесить на один порт несколько vlan? Конечно применительно к моей ситуации случай особый - один порт входит в vlans с очень уж разными свойствами. Но тем не менее...
Ведь на ББ ничто не мешает нам "повесить" на одну сетевую плату хоть с десяток IP из разных подсетей каждый со своей маршрутизацией и устанавливать одновременно с пяток PPPoE? И никакого криминала в этом нет.

Так что уверен - какое-то решение есть. Оно не может не есть. ;)
Очень конечно хочется услышать мнение нашего гуру Oleg.

Reyter
25-07-2007, 08:08
А добавить в этот скрипт редирект на порт 8080 нельзя? Очень уж удобная штука...

Mam(O)n
25-07-2007, 11:10
Попробуй, может так сработает


iptables -t nat -N MAC_FILTER
iptables -t nat -A MAC_FILTER -s 000.000.000.000 -m mac --mac-source 00:00:00:00:00:00 -j RETURN
iptables -t nat -A MAC_FILTER -s 111.111.111.111 -m mac --mac-source 11:11:11:11:11:11 -j RETURN
.....
iptables -t nat -A MAC_FILTER -s nnn.nnn.nnn.nnn -m mac --mac-source nn:nn:nn:nn:nn:nn -j RETURN
# Редирект на порт 8080 роутера
iptables -t nat -A MAC_FILTER -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A MAC_FILTER -j DROP
iptables -t nat -I PREROUTING -d ! $(nvram get lan_ipaddr) -j MAC_FILTER

Reyter
25-07-2007, 11:23
Чевой-то у меня вот такое вот вылезает:
iptables: Chain already exists
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables v1.2.7a: Can't use -o with PREROUTING

Mam(O)n
25-07-2007, 12:08
Попробуй в последней строчке без -o ! br0.

Reyter
25-07-2007, 12:38
В-общем в настоящее время скрипт у меня выглядит следуующим образом:

iptables -N MAC_FILTER
iptables -A MAC_FILTER -s 192.168.60.23 -m mac --mac-source 00:08:A1:90:B8:2D -j RETURN
iptables -A MAC_FILTER -s 192.168.60.109 -m mac --mac-source 00:80:48:2B:2A:74 -j RETURN
iptables -A MAC_FILTER -s 192.168.60.198 -m mac --mac-source 00:02:78:88:01:C5 -j RETURN
iptables -t nat -A MAC_FILTER -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A MAC_FILTER -j DROP
iptables -t nat -I PREROUTING -d ! $(nvram get lan_ipaddr) -j MAC_FILTER

При его запуске выдается:

iptables: Chain already exists
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables v1.2.7a: Couldn't load target `MAC_FILTER':File not found

Mam(O)n
25-07-2007, 13:41
-t nat у тебя потерялся:

iptables -t nat -N MAC_FILTER
iptables -t nat -A MAC_FILTER -s 192.168.60.23 -m mac --mac-source 00:08:A1:90:B8:2D -j RETURN
iptables -t nat -A MAC_FILTER -s 192.168.60.109 -m mac --mac-source 00:80:48:2B:2A:74 -j RETURN
iptables -t nat -A MAC_FILTER -s 192.168.60.198 -m mac --mac-source 00:02:78:88:01:C5 -j RETURN
iptables -t nat -A MAC_FILTER -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A MAC_FILTER -j DROP
iptables -t nat -I PREROUTING -d ! $(nvram get lan_ipaddr) -j MAC_FILTER

До его запуска перегрузи роутер(вроде даже можно просто перезапустить впн соединение), дабы очистить таблицы iptables от мусора.

Reyter
25-07-2007, 14:08
Сейчас скрипт не ругается, но и не редиректит.

Mam(O)n
25-07-2007, 15:36
У меня все замечательно редиректит. Попробуй --to-port 80 и при неправильном mac-ip попадешь на веб морду роутера. Проверяй настройки веб сервера.

Reyter
18-09-2007, 08:15
Вопрос, насколько я понимаю, чайниковский, но тем не менее. Четкой инструкции то ли нет на форуме, то ли я плохо искал.
Итак задача: назначить второй IP-адрес на vlan0. Т.е. к примеру уже есть адрес 192.168.1.1 и нужно добавить еще 10.10.10.1
Понимаю, что что-то там с алиасами нужно мудрить, но может кто-то предоставит рецепт в готовом виде? :)

Mam(O)n
18-09-2007, 08:38
И чего такого сложного с алиасами-то?
ifconfig vlan0:0 10.10.10.1 netmask 255.255.255.0 # Добавить алиас
ifconfig vlan0:0 down # Удалить алиас

Reyter
18-09-2007, 09:04
И чего такого сложного с алиасами-то?
ifconfig vlan0:0 10.10.10.1 netmask 255.255.255.0 # Добавить алиас
ifconfig vlan0:0 down # Удалить алиас
Спасибо.
Правильно ли понимаю, что в этом случае появится еще один интерфейс vlan0:0, причем "умный" ifconfig поймет, что "вешать" его нужно на vlan0?
Просто хочется понимать суть происходящего.

Mam(O)n
18-09-2007, 09:11
По сути верно.


interface
The name of the interface. This is usually a driver name followed by a unit number, for example eth0 for the first Ethernet inter‐
face. If your kernel supports alias interfaces, you can specify them with eth0:0 for the first alias of eth0. You can use them to
assign a second address. To delete an alias interface use ifconfig eth0:0 down aliases are deleted, if you delete the first (pri‐
mary).

Andrey_3
03-10-2007, 08:39
В линуксе можно сделать второй интерфейс-алиас существующему и назначить ему собственный МАК и IP адрес.
Да, хотелось бы сделать именно так. Спасибо.

Действительно, как мне указали, в пункте 13 http://www.wl500g.info/showpost.php?p=20276&postcount=3 расписано как создать интерфейс-алиас для WAN и сделать первый порт свича независимым. Можно ли аналогичным образом сделать независимым Wi-Fi интерфейс?

Andrey_3
04-10-2007, 08:48
Судя по тому, что ответов нет, делаю вывод, - пока невозможно выделить Wi-Fi интерфейс по аналогии с одним из поротов свича.

Mam(O)n
04-10-2007, 09:18
По аналогии нет. Vlan0(LAN) и eth1(WIFI) объединены в br0(bridge) и далее в роутере везде используется он. Можно попробовать из бриджа вывести интерфейс eth1 и назначить ему ip адрес. Управление бриджем ведется командой brctl.

upd

Если конкретнее, то у меня сейчас роутер схавал следующие команды:


brctl delif br0 eth1
ifconfig eth1 192.168.0.11/24

но результат проверить пока нечем...

Andrey_3
04-10-2007, 16:46
По аналогии нет. Vlan0(LAN) и eth1(WIFI) объединены в br0(bridge) и далее в роутере везде используется он. Можно попробовать из бриджа вывести интерфейс eth1 и назначить ему ip адрес. Управление бриджем ведется командой brctl.
Спасибо за ответ. Попробую поковырять в этом направлении. А где можно поподробнее почитать про настройки бриджа и используемые им порты?

Mam(O)n
04-10-2007, 17:50
Спасибо за ответ. Попробую поковырять в этом направлении. А где можно поподробнее почитать про настройки бриджа и используемые им порты?

Интерфейс eth0 это ethernet порты роутера. Если точнее, то это порт, называемый cpu port, встроенного управляемого свитча. Сам свич настраивается с помощью утилиты robocfg. По умолчанию на интерфейс eth0 приходят пакеты, помеченные свичем, согласно настройкам(robocfg), для дальнейшего разруливания их по vlan'ам. В линуксе vlan'ы настраиваются с помощью команды vconfig. По дефолту свитч и вланы настроены следующим образом: vlan0 - порты LAN, vlan1 - порт WAN. Интерфейс eth1 это wifi. Для того чтоб лан порты и wifi были единым целым интерфейсы vlan0 и eth1 объединили в br0 и назначили ему ip адрес.

Маны: brctl (http://linux.die.net/man/8/brctl) vconfig (http://linux.die.net/man/8/vconfig)

Про robocfg инфу можно найти только на этом форуме, т.к. это разработка Олега.

Andrey_3
05-10-2007, 11:33
To Mam(O)n
Большое спасибо за время, потраченное на ответ.

Насколько я понял, в целом схема выглядит примерно так:

SW BCH5325E
-----
| 0 |--- vlan1 - WAN port
| 1 |--- vlan0 - LAN port 1
| 2 |--- vlan0 - LAN port 2
| 3 |--- vlan0 - LAN port 3
| 4 |--- vlan0 - LAN port 4
| 5 |--- vlan0/1 - CPU port (eth0) ---> to CPU BCM4704
-----

CPU BCM4704
-----
| x |<--- form SW BCH5325E
| x |----| VT6212L |--- 2 USB ports
| x |----| BCM4318E |---| SiGe 2521A60 |--- Wi-Fi ant.
-----

Не совсем понял про физическую (или логическую) организацию бриджа. Как реализовано объединение Vlan0(LAN) и eth1(WIFI) в br0(bridge)? Где почитать?
Заранее спасибо.

Mam(O)n
05-10-2007, 12:10
Не совсем понял про физическую (или логическую) организацию бриджа. Как реализовано объединение Vlan0(LAN) и eth1(WIFI) в br0(bridge)? Где почитать?
Заранее спасибо.
Бридж софтофо, в ядре линукса организован. Ну а почитать наверное в гугле можно...

UPD
Я тут кстати у чехов нашел замечательную иллюстрацию по этой теме:

http://wl500.kvalitne.cz/wl500gx-net-schema.jpg

Reyter
20-10-2007, 20:26
Прошивка в подписи. Но пробовал и на 1.9.2.7-7g
Необходимо роутить пакеты из одной сети в другую.
WAN-итерфейс получает адрес по DHCP из диапазона 10.10.0.0 255.255.0.0
LAN интерфейс - 192ю.168.60.1 255.255.255.0
Включен режим Router. С самого роутера прекрасно сети видны в обе стороны. Но пакеты не роутятся!
При попытке пропинговать из LAN хост в сети WAN получаю сообщение:
"Ответ от 192.168.60.1: Заданный узел недоступен." Этот же хост с самого роутера прекрасно пингуется.
Файрвол и фильтры как отключались так и включались. Ноль эффекта.
Очищаю все, что можно:
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -Z

Без эффекта.
Явно разрешаю ВСЕ:
iptables -I INPUT -i br0 -j ACCEPT
iptables -I INPUT -i vlan1 -j ACCEPT
iptables -I OUTPUT -o br0 -j ACCEPT
iptables -I OUTPUT -o vlan1 -j ACCEPT
iptables -I FORWARD -i br0 -o vlan1 -j ACCEPT
iptables -I FORWARD -i vlan1 -o br0 -j ACCEPT
Не помогает. Смотрим iptables:

[root@(none) root]$ iptables -vxn -L
Chain INPUT (policy ACCEPT 141 packets, 15673 bytes)
pkts bytes target prot opt in out source destination
24 2324 ACCEPT all -- vlan1 * 0.0.0.0/0 0.0.0.0/0
58 3740 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 115 packets, 6700 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- vlan1 br0 0.0.0.0/0 0.0.0.0/0
184 10490 ACCEPT all -- br0 vlan1 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 49 packets, 4427 bytes)
pkts bytes target prot opt in out source destination
2 135 ACCEPT all -- * vlan1 0.0.0.0/0 0.0.0.0/0
27 2280 ACCEPT all -- * br0 0.0.0.0/0 0.0.0.0/0
Видим, что пакеты из LAN в WAN форвардятся, а вот обратно никак.
Нашел тему (http://wl500g.info/showthread.php?t=2790) с аналогичной проблемой. Человек смог решить ее только перейдя на прошивку OpenWRT. Но я жутко не хочу переползвать с прошивки Олега, я уже с ней сроднился. :)

Неужели нельзя заставить роутер работать в режиме роутера (о как!) на прошивке Олега? :(

Reyter
21-10-2007, 12:18
Вопрос временно отзывается. Пока нет уверенности в наличии правильной маршрутизации со стсороны wan-сети.

Вопрос снимается окончательно. После прописывания правильных маршрутов в сети wan все заработало.
Но таблицы все-таки лучше чистить :)

qman
08-12-2007, 21:56
Здравствуйте,
у меня asus WL500gp мне нужно решить следующую задачу:
1) к порту wan подключен интернет
2) к порту LAN1 подключен сервак
3) на WAN включен брандмауэр (firewall). Мне нужно чтобы пакеты ходили из WAN на LAN1 по правилам брандмауэра(firewall). Пакеты входящие из WAN не должны знать ничего про порты LAN2, LAN3, LAN4.
4) Обеспечить прохождение пакетов между портами LAN2, LAN3, LAN4.

если я правильно понимаю мне нужно создать 2 VLANа. Первый будет объединять LAN1 и WAN. Второй будет объединять LAN2, LAN3, LAN4.
Но какими командами и конфигурационные файлы используются для такой задачи.
Большое всем спасибо за любую информацию.

Oleg
08-12-2007, 22:05
Т.е. Вам надо LAN2-4 вообще отцепить от всего, в т.ч. от роутера?

qman
09-12-2007, 12:10
Т.е. Вам надо LAN2-4 вообще отцепить от всего, в т.ч. от роутера?

Абсолютно верно. (создать типа новое виртуальное устройство)

Oleg
09-12-2007, 12:35
nvram set vlan0ports="1 5*"
nvram set vlan2ports="2 3 4"
nvram set vlan2hwname=et0
nvram commit

Единственно, нумерация там может быть другая и получится, что вместо LAN1 будет LAN4.

qman
02-01-2008, 10:28
nvram set vlan0ports="1 5*"
nvram set vlan2ports="2 3 4"
nvram set vlan2hwname=et0
nvram commit

Единственно, нумерация там может быть другая и получится, что вместо LAN1 будет LAN4.
Уважаемый Олег,
я ввел выше указанные команды и протестирвоал свой асус. Для тестирования подключил сервер к порту LAN1 а ноут к порту lan2, lan3, lan4, при любом подключении пинги с ноута на адрес сервера успешно проходили. Т.е. моя задача по созданию виртуальной сети не была решена.
подскажите пожалуйста в чем я ошибаюсь? Где есть информация по команде nvram.
Большое Вам Спасибо

ABATAPA
02-01-2008, 10:46
Уважаемый Олег,
Для тестирования подключил сервер к порту LAN1 а ноут к порту lan2, lan3, lan4, при любом подключении пинги с ноута на адрес сервера успешно проходили.

А почему они НЕ должны ходить-то?

Oleg
02-01-2008, 14:32
Уважаемый Олег,
я ввел выше указанные команды и протестирвоал свой асус. Для тестирования подключил сервер к порту LAN1 а ноут к порту lan2, lan3, lan4, при любом подключении пинги с ноута на адрес сервера успешно проходили. Т.е. моя задача по созданию виртуальной сети не была решена.
подскажите пожалуйста в чем я ошибаюсь? Где есть информация по команде nvram.
Большое Вам Спасибо
robocfg show

что говорит? Пробовали сервер подключать к LAN4?

qman
02-01-2008, 20:01
robocfg show

что говорит? Пробовали сервер подключать к LAN4?

извините за неправильно предоставленную ранее информацию.
выключил асус, включил через пару часов ситация изменилась.
Ситуация такая:
1) порты 2,3,4, wifi похоже, что работают в одном vlane (то что нужно)
но при подключении ноута с портам 2,3,4 не пингуется асус, что есть не хорошо. так нужен доступ с этих портов к асусу.
или было бы великолепно иметь возможность ограничить подключение одним портом.
интересно но асус пингуется при подключении по вайфай. пингование с wifi тоже нужно отключить.
2) при подключении к порту 1 пингуется асус, но хотелось бы чтобы он не пинговался при подключении к этому порту.
как устранить прохождение ответов пингов с асуса при подключении к первому порту?

[xxx@xxx root]$ robocfg show
Switch: enabled
Port 0(W): DOWN enabled stp: none vlan: 1 mac: 00:00:00:00:00:00
Port 1(4): 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 2(3): 100FD enabled stp: none vlan: 2 mac: 00:00:00:00:00:00
Port 3(2): DOWN enabled stp: none vlan: 2 mac: 00:00:00:00:00:00
Port 4(1): DOWN enabled stp: none vlan: 2 mac: 00:00:00:00:00:00
Port 5(C): 100FD enabled stp: none vlan: 1 mac: 00:00:00:00:00:00
VLANs: BCM5325/535x enabled mac_check mac_hash
vlan0: 1 5t
vlan1: 0 5t
vlan2: 2 3 4
vlan3:
vlan4:
vlan5:
vlan6:
vlan7:
vlan8:
vlan9:
vlan10:
vlan11:
vlan12:
vlan13:
vlan14:
vlan15:
[xxx@xxx root]$
интересно что значит:
Port 5(C): 100FD enabled stp: none vlan: 1 mac: 00:00:00:00:00:00
VLANs: BCM5325/535x enabled mac_check mac_hash
vlan0: 1 5t
vlan2: 2 3 4
P.S. номера портов указаны согласно номерам на корпусе
Спасибо.

Oleg
02-01-2008, 22:56
Дальше играйтесь сами. :) Я уже дал достаточно информации. Ну разве, что добавить: порт 5 - это сам роутер, а вай-фай внутри прошивки бриджуется с vlan0.

Дальше поиск поможет.

qman
04-01-2008, 11:38
порт 5 - это сам роутер, а вай-фай внутри прошивки бриджуется с vlan0.

как сделать такую, на мой взгляд не сложную схему. файл вложен.

qman
04-01-2008, 17:34
Дальше играйтесь сами. :) Я уже дал достаточно информации. Ну разве, что добавить: порт 5 - это сам роутер, а вай-фай внутри прошивки бриджуется с vlan0.

Дальше поиск поможет.
Можно firewall и DHCP (DNS) сервер разнести по разным VLAN? Или они всегда вместе на одном порту (5)?

Oleg
04-01-2008, 18:06
Моё мнение (как бы поступил я). Раз уж вин2000 обеспечивает интернет, то кабель воткнуть в него напрямую. Если боитесь за дыры, то поставьте софтовый фаервол, а самое главное не используйте его как обычный компьютер. Это самая главная проблема форточек. АСУС можно использовать в режиме роутера, тогда, даже если сломают форточки (хотя кому это надо?) доступа ко внутренней сети они не получат.

GA$
19-01-2008, 15:27
Роутер wl500gP
Хочу сделать отдельный vlan для WiFi и одного порта, доступ к WAN по WiFi не нужен.
Полазив по форуму пробовал следующее:

nvram set vlan0ports="1"
nvram set vlan1ports="0 2 3 4 5"

после перезагрузки не смог попасть на роутер - пришлось сбрасывать настройки :(

Mam(O)n
19-01-2008, 19:36
Вобщето WiFi не виланится.. Это отдельный от управляемого свитча интерфейс - eth1. Он забриджен в br0 с vlan1. Тут нужно выносить нужный порт на свитче в отдельный vlan, выводить eth1 из br0 и создавать новый br1, куда занести eth1 и созданный vlan.

А порт 5 это порт CPU.

Renixa
27-02-2008, 13:11
например: wan_mtu = l2tp_mtu ?
если нет, то при поднятом л2тп мту как поменять?

di.gi.t
27-02-2008, 13:22
в консоли ifconfig - список всех интерфейсов

Renixa
27-02-2008, 13:48
))))
спасибо

Renixa
27-02-2008, 16:30
как бы да. это самое.

а как поменять мту на ппп0 ?

пишу нврам сет ппп0_мту=512 и собственно ничего не происходит.
ифконфиг пишет что ппп0 мту=1072.

я собственно чего дергаюсь то, до этого был роутер длинк, там я писал "мту=500" и работало значительно быстрее чем с другими значениями.

al37919
27-02-2008, 16:43
а если:
nvram commit && reboot

Кстати, а может лучше установку mtu в дополнительных опциях pppd поискать?

Renixa
27-02-2008, 19:55
разумеется нврам коммит и ребут я делал после каждого изменения.

а может лучше установку mtu в дополнительных опциях pppd поискать?да наверняка.
а как?

angel_il
27-02-2008, 20:25
если опции задаются в файле опций то туда нужно добавить строку
mtu 512

al37919
27-02-2008, 20:34
http://www.opennet.ru/man.shtml?topic=pppd&category=8&russian=2
по идее в вебе есть строка additional pppd options. Я бы попробовал добавить туда, а потом посмотреть в файле /tmp/ppp/options.wan0 (или похожем) куда оно встанет

P.S. Кстати, а в вебе mtu выставить не пробовали --- может он потому и не сохраняется, что оттуда каждый раз считывается?

Reyter
04-03-2008, 19:53
Провайдер поменял метод аутентификации. Используется протокол CHAP.
С ББ подключается без проблем, а вот роутер теперь соединиться не может.
Конфиг моего ppptp:

noauth refuse-eap
user 'MyLogin'
password 'MyPass'
connect true
pty '/usr/sbin/pptp gw.myprov.ru --nolaunchpppd --nobuffer'
lock
nomppe-stateful mtu 1400
maxfail 0
usepeerdns
persist
ipcp-accept-remote ipcp-accept-local noipdefault
ktune
default-asyncmap nopcomp noaccomp
novj nobsdcomp nodeflate
lcp-echo-interval 10
lcp-echo-failure 6
unit 0
В логах вылезает следующее:

Serial connection established.
Mar 4 19:21:10 pppd[164]: Using interface ppp0
Mar 4 19:21:10 pppd[164]: Connect: ppp0 <--> /dev/pts/0
Mar 4 19:21:14 pppd[164]: MS-CHAPv2 Success packet is badly formed.
Mar 4 19:21:16 pppd[164]: Modem hangup
Mar 4 19:21:16 pppd[164]: Connection terminated.


Непонятно при чем тут MS-CHAPv2. Видимо его нужно запретить? Короче - подскажите где и что крутить.

Oleg
04-03-2008, 20:05
Позвонить провайдеру и сказать, чтобы запретили MS-CHAP, раз они его не поддерживают.

На своей стороне можете вписать

-mschap-v2 -mschap

В Additional pppd options.

Reyter
04-03-2008, 20:30
Спасибо, помогло. Правда теперь в логах появляется такая вот фигня:

03:00:11 pppd[161]: CHAP authentication succeeded: Welcome
Jan 1 03:00:11 kernel: mppe_decomp_alloc: options rejected: o[0]=12, o[1]=06, o[2]=00, o[3]=00, o[4]=00, o[5]=00

, но инет теперь есть. :)

Oleg
04-03-2008, 20:58
Допишите nomppc

Reyter
04-03-2008, 21:39
Спасибо :)

mav_sm
26-03-2008, 18:28
Позвонить провайдеру и сказать, чтобы запретили MS-CHAP, раз они его не поддерживают.

На своей стороне можете вписать

-mschap-v2 -mschap

В Additional pppd options.

а Вы не могли бы попдробней указать как добраться к Additional pppd options ?

lly
26-03-2008, 18:41
а Вы не могли бы попдробней указать как добраться к Additional pppd options ?
А заглянуть на страничку Web-интерфейса роутера "IP Config" -> WAN & LAN было слабо???
поле становится доступным только при включении PPPoE, PPTP или L2TP

mav_sm
26-03-2008, 19:48
А заглянуть на страничку Web-интерфейса роутера "IP Config" -> WAN & LAN было слабо???
поле становится доступным только при включении PPPoE, PPTP или L2TP
нет такого поля у меня
извините забыл добавить что у меня wl 700

lly
26-03-2008, 19:59
нет такого поля у меня
извините забыл добавить что у меня wl 700
Ну так с этого и надо было начинать ;)
Боюсь, в оригинальном Wl700 этого пункта может не быть вообще(проверить, извини, негде).
добавлено:
Глянул в соседнем форуме - без апгрейда флеша тебе единственный путь http://wl700g.homelinux.net/

Korse
21-04-2008, 17:11
После прочтения http://wl500g.info/showthread.php?t=13632
появился вопрос что такое интерфейс br0 и sit0 если eth0-LAN eth1-WAN eth2-Wi-fi
Причем по br0 трафик есть , а по eth2 нет (wi-fi горит но к нему никто не подключен)
sit0 так вообще без MAC'a

Может разъяснит кто-нибудь ?

PS:Только начинаю вникать

tchaynik
23-04-2008, 08:34
Имеем wl-500gP c 1.9.2.7-10 от Олега (за что Олегу - агроменное спасибо)
Есть следующая задача.
Нужно поднять две локальные сетки.
Есть PPPoE соединение с инетом (модем висит на ВАН порте IP сетки для доступа в к админке модема 10.0.1.0/24)
WiFi и, скажем, все lan 1 и lan 2 порты - это br0 и имеет адреса 10.0.2.0/24
Требуется на lan 3 организовать сеть с адресами 172. 16.0.0/24

Роутер, по идее имеет следующие адреса
На ppp0 - динамический
на wan(lan0) - 10.0.1.2
на br0 (lan1+wifi)- 10.0.2.1 (по DHCP раздает параметры и является шлюзом по умолчанию)
на требуемой доп локалке(lan2) - 172.16.0.1 (просто является шлюзом по умолчанию)

Так вот вапрос именно в том как создать эту доп локалку(lan2), и как настроить так чтобы в ней был инет но в первую локалку (lan1+wifi) она доступа не имела, и соотведственно в первой локалке тоже был инет но вторую локалку она не видила

В будущем еще планируется на 4й порт повесить второй ВАН c 192.168.0.0/16 адресом и в него заварачивать трафит токо этого диапазона адресов (сетка раенного масштаба)

Зарание прошу, не кидайте по веткам форума а пешите по существу.
Потому как примерно представляю себе что это все реализовать возможно, но немогу собрать все воедино. Основной вапрос как это все в iptables прописать, потому как в нем я не бум-бум :(

Korse
23-04-2008, 11:06
Так что никто не знает ?

Ладно пререфразирую с дополнением. Dот кусок лога:


Jan 1 03:00:02 kernel: eth0: Broadcom BCM47xx 10/100 Mbps Ethernet Controller 4.150.10.16
Jan 1 03:00:02 kernel: eth1: Broadcom BCM47xx 10/100 Mbps Ethernet Controller 4.150.10.16
Jan 1 03:00:02 kernel: PCI: Enabling device 01:02.0 (0004 -> 0006)
Jan 1 03:00:02 kernel: 802.11 Wireless Controller 4.150.10.16
Jan 1 03:00:02 kernel: device eth0 entered promiscuous mode
Jan 1 03:00:02 kernel: device eth2 entered promiscuous mode
Jan 1 03:00:02 kernel: br0: port 2(eth2) entering learning state
Jan 1 03:00:02 kernel: br0: port 1(eth0) entering learning state
Jan 1 03:00:02 kernel: br0: port 2(eth2) entering forwarding state
Jan 1 03:00:02 kernel: br0: topology change detected, propagating
Jan 1 03:00:02 kernel: br0: port 1(eth0) entering forwarding state
Jan 1 03:00:02 kernel: br0: topology change detected, propagating

(promiscuous: пер. смешанный, разный, неоднородный)

Что в итоге : 2 контролера ethernet (eth0 и eth1)
br0 является "мифическим " или логическим, объединяя (eth0 eth2) .

то есть обращаясь с br0 можно контролировать wifi+lan порты ,
и по-отдельности eth0 - LAN , eth2 - wifi , eth1 соответственно WAN

Если так на самом деле, то что произойдет с br0 если вырубить скажем eth0 , он станет аналогом eth2.

Есть мысли по этому поводу?

AndreyPopov
23-04-2008, 15:18
Так что никто не знает ?

Ладно пререфразирую с дополнением. Dот кусок лога:


Jan 1 03:00:02 kernel: eth0: Broadcom BCM47xx 10/100 Mbps Ethernet Controller 4.150.10.16
Jan 1 03:00:02 kernel: eth1: Broadcom BCM47xx 10/100 Mbps Ethernet Controller 4.150.10.16
Jan 1 03:00:02 kernel: PCI: Enabling device 01:02.0 (0004 -> 0006)
Jan 1 03:00:02 kernel: 802.11 Wireless Controller 4.150.10.16
Jan 1 03:00:02 kernel: device eth0 entered promiscuous mode
Jan 1 03:00:02 kernel: device eth2 entered promiscuous mode
Jan 1 03:00:02 kernel: br0: port 2(eth2) entering learning state
Jan 1 03:00:02 kernel: br0: port 1(eth0) entering learning state
Jan 1 03:00:02 kernel: br0: port 2(eth2) entering forwarding state
Jan 1 03:00:02 kernel: br0: topology change detected, propagating
Jan 1 03:00:02 kernel: br0: port 1(eth0) entering forwarding state
Jan 1 03:00:02 kernel: br0: topology change detected, propagating

(promiscuous: пер. смешанный, разный, неоднородный)

Что в итоге : 2 контролера ethernet (eth0 и eth1)
br0 является "мифическим " или логическим, объединяя (eth0 eth2) .

то есть обращаясь с br0 можно контролировать wifi+lan порты ,
и по-отдельности eth0 - LAN , eth2 - wifi , eth1 соответственно WAN

Если так на самом деле, то что произойдет с br0 если вырубить скажем eth0 , он станет аналогом eth2.

Есть мысли по этому поводу?


если вы отключите eth0, то просто перестанут работать все LAN порты.

br0 - это устройство Bridge, которое просто объединяет все интерфейсы в один виртуальный.

принцип работы Bridge (или hub'а еще можно сказать - концентратора)- пакет пришедший на один из портов устройства транслируется на все остальные порты, входящие в состав Bridge.

BORODA(C)
13-11-2008, 11:49
Как однозначно определить, кто есть кто из интерфейсов (eth0, eth1, vlan0, vlan1, br0) через CLI?

Alexander B.
13-11-2008, 12:26
Посмотреть вывод ifconfig

BORODA(C)
13-11-2008, 12:55
Посмотреть вывод ifconfig

ifconfig не покажет, кто из eth есть WiFi, что является свичём, что в BR0 засунули и т.д.

Alexander B.
13-11-2008, 13:16
ifconfig не покажет, кто из eth есть WiFi, что является свичём, что в BR0 засунули и т.д.
Ну тогда
nvram get wan_ifname
nvram get lan_ifnames
nvram get wl0_ifname

BORODA(C)
01-12-2008, 08:43
Ну тогда
nvram get wan_ifname
nvram get lan_ifnames
nvram get wl0_ifname

$ nvram get wan_ifname
vlan1
$ nvram get lan_ifnames
vlan0 eth1
$ nvram get wl0_ifname
eth1

при этом:

$ ifconfig | grep HWaddr
br0 Link encap:Ethernet HWaddr 00:18:F3:32:88:5F
eth0 Link encap:Ethernet HWaddr 00:18:F3:32:88:5F
eth1 Link encap:Ethernet HWaddr 00:18:F3:32:88:5F
vlan0 Link encap:Ethernet HWaddr 00:18:F3:32:88:5F
vlan1 Link encap:Ethernet HWaddr 00:18:F3:32:88:5F

В логе:
Jan 1 03:00:07 kernel: vlan1: Setting MAC address to 00 18 f3 32 88 5f.
Jan 1 03:00:07 kernel: VLAN (vlan1): Underlying device (eth0) has same MAC, not checking promiscious mode.

Почему MAC у всех одинаковый?

lagshmi
01-12-2008, 09:15
Устройство очень наглядно описано в родственом проекте:

http://www.dd-wrt.com/wiki/images/6/64/Ddwrtlogicview.jpg

оригинал: http://www.dd-wrt.com/wiki/index.php/Default_Configuration_Overview

BORODA(C)
01-12-2008, 10:19
Устройство очень наглядно описано в родственом проекте:
[skip]


Действительно наглядно, спасибо! Однако, схема не объясняет одного MAC на все езернеты, виланы и бридж. Порты свитча (eth0) разбиты на два вилана. vlan1 - wan. vlan0 объединён бриджем с wifi (eth1) и составляет lan. А почему один mac на всех? Шутка от Олега?

vectorm
01-12-2008, 13:34
Действительно наглядно, спасибо! Однако, схема не объясняет одного MAC на все езернеты, виланы и бридж. Порты свитча (eth0) разбиты на два вилана. vlan1 - wan. vlan0 объединён бриджем с wifi (eth1) и составляет lan. А почему один mac на всех? Шутка от Олега?
Если НЕ задавать МАС ручками в веб морде, он будет один на всех интерфейсах, о чем в логе и сообщает строчка Underlying device (eth0) has same MAC, not checking promiscious mode.

AndreyPopov
01-12-2008, 14:40
Действительно наглядно, спасибо! Однако, схема не объясняет одного MAC на все езернеты, виланы и бридж. Порты свитча (eth0) разбиты на два вилана. vlan1 - wan. vlan0 объединён бриджем с wifi (eth1) и составляет lan. А почему один mac на всех? Шутка от Олега?

MAC адрес устройства приклеен на коробке роутера - потому и один!!

и для большинства задач и ПОЛЬЗОВАТЕЛЕЙ больше одного и не надо!

BORODA(C)
01-12-2008, 16:16
Если НЕ задавать МАС ручками в веб морде, он будет один на всех интерфейсах, о чем в логе и сообщает строчка Underlying device (eth0) has same MAC, not checking promiscious mode.

А если задавать в web-морде, то будет два разных?

BORODA(C)
01-12-2008, 16:30
MAC адрес устройства приклеен на коробке роутера - потому и один!!


Я про физику процесса. Типа ARP всё равно работает строго своём сегменте и друг-другу не мешают?.. В теории, вроде нормально...

AndreyPopov
01-12-2008, 16:39
Я про физику процесса. Типа ARP всё равно работает строго своём сегменте и друг-другу не мешают?.. В теории, вроде нормально...

реально у роутера есть режим Access Point - когда ВСЕ интерфейсы объединены в ОДИН Bridge - br0 - и тогда устройству с головой и хватает этого одного MAC адреса.

собственно точно также работают миллионы концентраторов, коммутаторов и точек доступа.

когда вы превращает коммутатор(точку доступа) в маршрутизатор вот тогда появляется некая необходимость разделить MAC адреса, но ведь маршрутизация работает на более высоком уровне и ему нужны IP адреса, а не MAC.
один порт - один IP адрес!

Dimka955
18-12-2008, 09:12
asus 500gp
Понадобилось подключить приставку iptv
Читаю faq
nvram set vlan0ports="1 2 3 5*"
nvram set vlan1ports="0 4 5"
nvram commit
reboot

Подскажите для общего развития что такое
5* в первой строке
5 во второй

Заранее спасибо

Less
18-12-2008, 10:36
asus 500gp
...
5* в первой строке
5 во второй
...


Вот схемка схема роутера (http://wl500g.info/showpost.php?p=121774&postcount=6)

Есть такое словечко тегированый (это как раз о 5-м порту).

Для всех этих портов(веланов) есть 1 общий тегированый порт 5 (5*или 5t).
А дальше как говорится Ask Google Mom!

Les's
18-12-2008, 22:53
Столкнулся с несложной (на первый взгляд), но нетривиальной задачей.
Дано.
1. ASUS WL-500gP v2, подключенный в домосеть (выход в Интернет по PPPoE через эту же сеть).
2. В этой же домосети есть роутер c FreeBSD (пока что без выхода в Интернет).
Все это хозяйство находится в одном плоском ethernet'е домосети.
Вопрос к аксакалам.
Каким образом сконфигурировать роутер WL-500g таким образом, чтобы на его WAN-порте были три интерфейса – LAN домосети, WAN (PPPoE) и VLAN, по которому (VLAN) необходимо организовать выход сервера домосети в Интернет и еще пробросить на него пару портов (22 и 80)?

P.S. Если кто сможет решить задачку - опишите, пожалуйста, подробно, т.к. я понимаю во FreeBSD, а в Linux'e пока не достаточно. Заранее благодарен!

DfDf
19-12-2008, 00:42
Уточнение - * - это vlan по умолчанию, т.е. vlan куда попадут нетегированные пакеты.

Dimka955
19-12-2008, 07:26
История такая
wl500-gp прошивка 1.9.2.7-8 безбедно работающий.
Понадобилось Lan порт перенести в WAN для приставки.
Комп воткнут в Lan3 остальные пустые, ну за исключением wan.

Читаю faq
nvram set vlan0ports="1 2 3 5*"
nvram set vlan1ports="0 4 5"
nvram commit
reboot
Таким образом LAN4 (или LAN1, в зависимости от устройства) окажется в одной сети с WAN.

После этого у меня порт0 (wan) оказывается в обоих виланах:confused:
И корбина заслуженно банит меня за флуд dhcp.
Все абзац.
Раутер доступен только по wifi.
Как такое могло получится??? И как теперь мне это пофиксить?
И самое главное как избежать повтора?

Dimka955
23-12-2008, 15:04
Всем спасибо, сам разобрался.
С прошивкой 1.9.2.7-10 заработало.
Модераторы поправьте FAQ!!!!
Или прокоментируйте

DfDf
23-12-2008, 19:08
А чего тут комментировать-то? После .7-10 есть еще чешская и модифицированная .7-10. Они новее, и на форуме уже не раз это все обсуждалось...

AndreyPopov
23-12-2008, 19:17
Всем спасибо, сам разобрался.
С прошивкой 1.9.2.7-10 заработало.
Модераторы поправьте FAQ!!!!
Или прокоментируйте

в каком FAQ интересно вы это нашли?

MrGalaxy
23-12-2008, 19:46
После .7-10 есть еще чешская и модифицированная .7-10. Они новее,
Ссылку на .7-10 модифицированную от Олега - в студию!

Dimka955
23-12-2008, 20:10
в каком FAQ интересно вы это нашли?

А их много?
http://www.wl500g.info/showthread.php?t=2391

Dimka955
23-12-2008, 20:17
А чего тут комментировать-то? После .7-10 есть еще чешская и модифицированная .7-10. Они новее, и на форуме уже не раз это все обсуждалось...
Ну это понятно. Но если воспользоваться фирмваре визардом то получиш
не 10ю прошивку. По логике вещей в фак надо дописать "Актуально для прошивки N******** "
IMHO

Чтобы не быть голословным. Вот что получилось на 1.9.2.7-8
Switch: enabled
Port 0: DOWN enabled stp: none vlan: 1 mac: 00:00:00:00:00:00
Port 1: DOWN enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 2: DOWN enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 3: 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 4: DOWN enabled stp: none vlan: 1 mac: 00:00:00:00:00:00
Port 5: 100FD enabled stp: none vlan: 1 mac: 00:00:00:00:00:00
VLANs: BCM5325/535x enabled mac_check mac_hash
0: vlan0: 0 5t
1: vlan1: 0 4 5t
2: vlan2:
3: vlan3:
4: vlan4:
5: vlan5:
6: vlan6:
7: vlan7:
8: vlan8:
9: vlan9:
10: vlan10:
11: vlan11:
12: vlan12:
13: vlan13:
14: vlan14:
15: vlan15:

cipipi
17-01-2009, 03:31
Различные IP на vlan1 - понятно. Добавляем через ifconfig vlan1:0... Но как назначить второй мак для vlan1:0 ?

IOException
18-05-2009, 01:20
Заранее извиняюсь за нечёткость постановки вопроса. Это из-за того что я задумал какой то изврат и сам не до конца понимаю реально это или не очень.
Провайдер - корбина, в аттаче две картинки, первая - это что типа топологии моей домашней сети, на второй логическая схема интерфейсов роутера, сверху то что по дефолту, а с низу то что я хотел изобразить. Смысл этого в том, что бы разделить роутер на два логических устройства: 1 - роутер без WiFi с 1 WAN и 3 LAN. 2 - WiFi точка доступа с WiFi интерфейсом и 1 LAN портом для подключения к сети.

Зачем
Дело в том что на "комп" установлен DC++ клиент который в локаль корбины раздаёт файло с "NAS". При этом даже если с меня качают во всю трубу 100Mb у меня остаётся ещё 90% от гигабитного канала до "NAS" что позволяет мне вполне комфортно работать с хранимыми на нём файлами. Но! Только с "комп", а с "laptop" (читай с WiFi клиентов) всё гораздо хуже, так как участок "роутер" - "1Gb свич" забит по самые небалуйся. Ну и собственно всё это извращение нужно для того что бы WiFi клиенты имели отдельный 100Mb канал (больше не надо ибо таких клиентов по существу всего 1, наладонник не в счёт) до "NAS".

Комментарии к второму рисунку
br0 сохранён, что бы роутер не просёк разницы с дефолтным раскладом в смысле работы с проводными клиентами (1й порт соединяет роутер со свичём).

Теперь что касается br1. По идее это и должно быть то самое второе логическое устройство, т.е. WiFi точка доступа. Вроде как, объединение eth1 и vlan2 интерфейсов в мост, должно сделать этот участок прозрачным для WiFi клиентов и всей остальной локалки. Соответственно провод из 4 порта (vlan2) втыкается в гигабитный свич и вуаля.

Что получилось, а что нет
С помощью robocfg, vconfig и brctl полусилось состряпать то что изображено в нижней части второго рисунка и вроде даже при соединениее 4порта на роутере с свичём не возникло кольца. По крайней мере не считая WiFi вся сеть нормально работала (производительность не проверял, ИМХО - рано =) ). А вот с WiFi всё было грустно. Её видно, но подключчиться так и не удалось. Была мысля что проблема в настройках iptables из-за чего WiFi клиент не может получть настройки с DHCP, но прописывание настроек TCP\IP на клиеннте ручками тоже не помогло.

Вопросы:
То что я затеял вообще реально?
Что делать? =) Что бы заработало, если таки реально. =)

P.S. Можно смеяться - я не обижусь. В любом случае спасибо, хотя бы за внимание =).

Less
18-05-2009, 16:39
Скорее всего ефекта Вы не увидете по той простой причине что когда Вы с компа работаете с "сетевым диском" обращения идут напрямую через свитч. Когда с Вашего "сетевого диска" тянут файло в большом количестве прос на роутере загружен + загружен канал вот ваше слабое место.

IOException
18-05-2009, 19:38
Скорее всего ефекта Вы не увидете по той простой причине что когда Вы с компа работаете с "сетевым диском" обращения идут напрямую через свитч. Когда с Вашего "сетевого диска" тянут файло в большом количестве прос на роутере загружен + загружен канал вот ваше слабое место.

Тут дело уже не толко в эффекте =) если бы был важен толко эффект. я бы достол из стола вифи точку доступа и воткнул её в свич... =))))

Всё интереснее и интереснее.... Оказывается, что к WiFi не подключиться, если исключить интерфейс eth1 из br0 . То есть это достаточное условие..... хм....

m0xf
18-05-2009, 20:15
wifi связан с lan через мост, весь трафик идёт через процессор. Если он перегружен будет тормозить.

IOException
18-05-2009, 21:35
wifi связан с lan через мост, весь трафик идёт через процессор. Если он перегружен будет тормозить.

Это не вызывает никаких сомнений. С дефолтной конфигурацией, в той ситации которая имеет место быть в моём случае, при ~100% загрузке канала, загрузка процессора роутера ниже 100%.

И вообще не о том речь.

GUID
19-05-2009, 15:30
Всё интереснее и интереснее....
ход ваших мыслей приятно поражает масштабностью.

Eyeless77
09-06-2009, 12:56
Здравствуйте. Планирую использовать инет от двух провайдеров. Для реализации имеется коммутатор D-Link DES-2108 (поддерживает VLAN'ы и мультикаст IGMP) и роутер Linksys WRT-54G. Как я понял, на порты, в которые втыкаются провода провайдеров, прописывается по отдельному вилану, а на порт, который уходит на роутер, прописываются оба этих vlan'а. На самом роутере настраиваются субинтерфейсы, на каждый из них прописывается по адресу провайдера. Оба провайдера работают через PPPoE.

Подскажите, можно ли настроить на линксисе субинтерфейсы? Или лучше выбрать другой роутер, который может предоставить нужные мне сервисы?

IOException
09-06-2009, 23:16
Я в панике. Кто нибудь может мне обьяснить почему я немогу подключиться к wifi на роутере, как только дам команду:

brctl delif br0 eth1
на клиенте выдан фиксированный ip, никакие настройки wifi на роутере не меняются.

Hunter84
04-04-2010, 09:45
Есть, такая же проблема как у автора темы. Представляю ее решение в общих чертах. Нужно отделить о свитча порт и поднять на нем vlan2, но возникает вопрос, какие правила прописывать в iptables.

Omega
27-09-2010, 02:22
Различные IP на vlan1 - понятно. Добавляем через ifconfig vlan1:0... Но как назначить второй мак для vlan1:0 ?
Добавляем, назначаем и запускаем ... :rolleyes:

ifconfig vlan1:0 192.168.2.1 netmask 255.255.255.0
ifconfig vlan1:0 hw ether 00:11:22:33:44:55 <- 'MAC-адрес'
ifconfig vlan1:0 192.168.2.1 broadcast 192.168.2.255 netmask 255.255.255.0 up
Для замены MAC-адреса "на лету" : ;)

ifconfig vlan1:0 down
ifconfig vlan1:0 hw ether 00:11:22:33:44:55 <- 'MAC-адрес'
ifconfig vlan1:0 up
UPD -- Насчёт картинок: ;)
http://img502.imageshack.us/img502/1650/asusinternalsdefaultsm.png

http://voidmain.is-a-geek.net/i/WRT54_sw1_internal_architecture.png
http://voidmain.is-a-geek.net/i/WRT54_sw2_internal_architecture.png

http://www.dd-wrt.com/wiki/index.php/Switched_Ports
http://wiki.openwrt.org/oldwiki/openwrtdocs/hardware/asus/wl500gp :)