Reply With QuoteЕсли прошивка моя, то очень просто - вывести этот порт из vlan1. Поместить его в vlan2, например. Примеры как это сделать уже были. Ну или, если кратковременное объединение допустимо, то просто удалять из br0 в post-boot.
Registered User
Настройка vlan на роутере
Люди помогите пожалуйсто советом,
Асус настроен радио клиентом на радио интерфесе висит айпишник, как повесить на ван порт еще один айпишник но при этом не бриджевать его с остальными 4 портами и не бриджевать с вайфай интерфейсом
Administrator
Если прошивка моя, то очень просто - вывести этот порт из vlan1. Поместить его в vlan2, например. Примеры как это сделать уже были. Ну или, если кратковременное объединение допустимо, то просто удалять из br0 в post-boot.
Junior Member
ПРоблема в том что к одному из портов ( Vlan ) подсоединена тупая железка, которая при появлении сети сразу начинает делать свои грязные дела, коннектясь к серверу в интернете. Но т к router с задержкой коонектится к интернету ( PPPOE), то железка благополучно обламывается и пока ее не перезапустишь, она не функционирует ( ну тупая что ж сказать). Можно ли засунуть в скрипт комманду, которая после запуска pppoe "отсоединяет" vlan1 ( и сразу соединяет ), так чтобы железка подумала что пропало соединение и повторило попытку коннекта ?
Forum Guru
Можно. Для этого и есть post*-скрипты.Originally Posted by Bdfy
Но т.к. vlan1 - это "внешний" интерфейс, то его отключение вызовет разрыв PPPoE.
Junior Member
А может тогда попробывать запретить например через iptables "хождение пакетов" ? Достаточно ли этого будет для симуляции "дисконнекта" ?
Forum Guru
А это уже зависит от вашей "абстрактной" железки. Как и что оно "понимает" - для нас, не видевших его, загадка.
Однако, думаю, что все же ваше "железо" включено во внутреннюю сеть?
Кроме того, можно его включить в отдельный VLAN.
Junior Member
Ну видимо я не совсем рабозрался с этими устройствами.Однако, думаю, что все же ваше "железо" включено во внутреннюю сеть?
Кроме того, можно его включить в отдельный VLAN.
Короче говоря устройство ( VIP-157 - переходник на телефон ) включено в свободный порт из 4-х ( т е во внутреннюю сеть ). Во второй порт подключен компьютер. Инет подведен там где написано "WAN" . Т е устройство висит на отдельном порту. Можно отключить один из портов при сохранении pppoe соединения ? Если можно то как ?
Last edited by Bdfy; 21-11-2007 at 20:57.
Forum Guru
Вынесите его в отдельный VLAN, его и отключайте.
Однако, отключение vlan* не равно выдергиванию кабеля - поймет ли Ваше устройство?
С другой стороны, знаю, что все они сделаны так, что подобную ситуацию переживают вполне.
Senior Member
Это не тупая железка
Это тупой роутер, о чем я уже писал в ветке с проблемами про ip_conntrack
Решение:
В настройках файрволла в вебе запретить коннекты LAN-WAN по udp по порту 5060 (или какой там у вас) на ип адрес SIP сервера.
а потом ручками в post-firewall который вызовется в момент коннекта это правило убрать.
Junior Member
Надо попробывать - а post-firewall он же не обязательно вызовется после pppoe соединения ?
Last edited by Bdfy; 22-11-2007 at 22:28.
Forum Guru
Обязательно вызовется. При любом изменении в интерфейсах соответственно перестраиваются маршруты и подстраивается nat/фарволл. После всего этого вызывается post-firewall.
Last edited by Mam(O)n; 22-11-2007 at 23:52.
Member
Если железка определяет наличие сети по наличию Ethernet-соединения на физическом уровне, игры с iptables не помогут. Тогда нужно смотреть в сторону утилиты robocfg, позволяющей настраивать параметры отдельных портов.
К сожалению, команда robocfg port N state disabled не приводит к ожидаемому эффекту - похоже, при этом просто блокируется прохождение пакетов внутри свитча. Можно попробовать выполнить robocfg port N media auto - при этом производится повторное согласование параметров соединения (10/100, full/half duplex), что на другом конце обнаруживается как кратковременное пропадание и последующее восстановление соединения. Если этого окажется недостаточно, можно попробовать установить неверный режим через robocfg port N mdi-x MODE (сначала в on или off в зависимости от кабеля, потом после соответствующей задержки опять в auto), но это может не сработать, если устройство на другом конце тоже имеет автоопределение MDI/MDI-X (тогда опять получится кратковременное пропадание соединения, пока устройство определяет новый режим).
Junior Member
Гм в общем это помогает, - только непонятно куда вставить правило которое открывает этот порт. Т е если закрыть в веб-морде порты, а потом вручную зайти через некоторое время через телнет и открыть - то все нормально - коннект происходит через некоторое время. А вот если вставить эту строчку в post-firewall - то порты открываются ( видно через iptables -L ), а вот статус остается "Not registred". Слишком быстро вызывается post-firewall ?N по udp по порту 5060 (или какой там у вас) на ип адрес SIP сервера.
правило такое:
-A FORWARD -i br0 -p udp -s 192.168.1.3 -j DROP
соотв в post-firewall:
-D FORWARD -i br0 -p udp -s 192.168.1.3 -j DROP
Last edited by Bdfy; 24-11-2007 at 22:42.
Senior Member
возможно запись в ip_conntrack не успевает проэкспарится
можно попробовать так
sleep 30 && iptables -D FORWARD -i br0 -p udp -s 192.168.1.3 -j DROP
Forum Guru
Насколько мне не изменяет память он вызывается первый раз после поднятия интерфейса в локалку и затем еще раз после поднятия vpn туннеля. Вот еще вариант (помимо предложенного gaaronk), как можно попробовать сделать:
ifconfig | grep ppp && iptables -D FORWARD -i br0 -p udp -s 192.168.1.3 -j DROP
То есть правило снимется только тогда, когда будет поднят туннель.
Posting Permissions
