Openwrt

Hálózatok általános

Sziasztok,

van egy Openwrt-vel telepített routerem.
A routeremen be van kapcsolva a DHCP 192.168.15.1 - 250 -es tartományban. A hálózatomban vannak más tartományban működő eszközök pl: kamera rendszer NVR pl: 10.1.1.1 - 250 tarományban.
Ha a DHCP tartományát akarom elérni, akkor az működik simán port foward-al, de a routerem nem "látja" a más tartományokat. Kérdésem, hogy hogyan lehet a router számára is "láthatóvá" tenni más tartományokat, illetve ezeket, hogyan lehetne port forward-ingolni, hogy kintről is el tudjam érni?

Köszi!

Kalmi

  • 1615 megtekintés

( uid_20269 | 2017. 09. 02., szo – 15:15 )

Uhhh,
Hány DHCP van a hálózaton.?
A kamerák vagy a többi eszköz honnan kap IP-t.?
--
God bless you, Captain Hindsight..

( agostonl | 2017. 09. 02., szo – 16:00 )

Ha a kamerák és a többi eszköz nem DHCP-től kapják az IP címet (ahogy azt sejtem), a route táblában meg kell magyarázni az OpenWRT-nek, hogy hol vannak az eszközök!

“- És ha… fizetést ajánlanék, hogy dolgozzon?
– Engem nem lehet megvesztegetni.”
Rejtő Jenő

( locsemege v | 2017. 09. 02., szo – 16:03 )

Most le fogok bukni azzal, hogy nem értek a hálózatokhoz. :) Szerintem egyetlen interface-nek lehet több IP címe. Ezen felül a különböző tartományok használata gondolom éppen azért van, hogy ezek logikailag függetlenek legyenek. Ha azt szeretnéd, hogy az eszközeid rálássanak egymásra - tehát hálózati forgalmat bonyolítsanak egymás között -, akkor miért nem ugyanabba a tartományba teszed az összeset?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( iattilagy | 2017. 09. 02., szo – 16:07 )

Ez így teljesen normális, a router úgy van konfigurálva, hogy a lan portjain 192.168.5.0/24 van minden mást eldob.
Az alapvető kérdés ebben az esetben, hogy mégis miért van két tartomány? Ha a két tartomány léte indokolt akkor talán két külön port based vlan bekonfigurálható rájuk openwrt-ben. Ha nem indokolt akkor meg kell szüntetni.

( renard | 2017. 09. 02., szo – 16:27 )

Egy Openwrt-t futtató routerben alapesetben van egy WAN (eth0.2) és egy LAN (eth0.1) interfész. A routerben lévő switch portjai közül az egyik a WAN portot biztosítja (itt a VLAN ID = 2, untagged), a többi pedig a belső LAN-hoz tartozik (VLAN ID = 1, untagged). Az egyiket az utóbbiak közül tedd át egy új VLAN-ba (VLAN ID = 3, untagged).
Ezután hozz létre egy új interfészt pl. KAMERA néven, amit rendelj hozzá a módosított porthoz (eth0.3). Ennél a protokoll legyen úgyanúgy "static address", mint az alapértelmezett LAN (eth0.1) esetében is. Állítsd be a router IP-címét és alhálózati maszkját úgy, hogy benne legyen a másik alhálózatban.
Ahhoz, hogy a két, egymástól most már teljesen független alhálózat lássa egymást, be kell állítanod a szükséges statikus routokat a routeredben.
A port forward ezek után pont ugyanúgy oldható meg a második alhálózatra (eth0.3), ahogy az elsőre (eth0.1) is.

De ehhez az kell, hogy a kamera kozvetlenul a routerhez legyen csatlakoztatva, vagy kulon halozat legyen neki, vagy ut kozben csak jol konfigolt, vlan-okat kezelo switch.
A nyito hozzaszolasbol nekem inkabb ugy tunik, hogy a kerdezonek van egy pokhalozata, valahol egy kameraval, ami l2-ben egyben van a tobbi dologgal, csak masik IP alhalobol kapott cimet. Ennek igy nem sok ertelme van, de ha mindenkepp igy akarja, akkor mar egyszerubb felvenni egy masodik ip-t a meglevo interfacere.

Az egyik LAN portból él az egyik alhálózata (VLAN 1), a másik LAN portból pedig a másik (VLAN 3). Nyilván több eszközt használ mindkét alhálózatban, így a 2. alhálózatban biztosan szüksége lesz egy akárhány portos switch-re, az első hálózatban pedig csak akkor, ha nem elég neki annyi port, amennyit az 1. VLAN-hoz rendelt (természetesen a portokat másképpen is feloszthatja a két alhálózat között, ez már az ő dolga, switch-ekre a felosztásnak és a csatlakoztatott eszközök mennyiségének függvényében lesz szüksége).
Két alhálózatot normálisan csak úgy lehet elválasztani, ha azok külön VLAN-ban vannak, erre meg alkalmas az Openwrt.

Azt még elfelejtettem az előző hozzászólásban leírni, hogy egy új tűzfalzónát is létre kell hozni az új interfész számára.

Ez akkor jo, ha van szepen kiepitett strukturalt halozatod. A gyakorlat viszont otthon, de meg kisebb cegeknel es hivataloknal is az, hogy van par otletszeruen szetszort switch, egymassal szoban/ folyoson/ablakkereten osszevezetekelve. Aztan megjon az ip megfigyelo rendszer telepitoje, jo esetben a kameraknak meg csinal egy helyre befuto kabelezest, aztan aztan mindent csatlakoztat a legkozelebbi szabad helyre.
Jartam egyszer olyan helyen, ahol a dvr egy kulteri AP - Wi-Fi repeater - Vezetek nelkuli kliens vonalon logott, mikozben ugyanezen a lancon neteztek is. Na ennek sok sikert a levalasztasahoz.

Nem tudjuk, hogy a kérdezőnél milyen a helyzet. Lehet, hogy minden rendben van a hálózatával, ilyen is elő szokott fordulni :)
Ha nincs minden rendben nála, pl. tegyük fel, hogy van 2-3 switch a hálózatában, amiket - ahogy írod - ötletszerűen tett le. Ekkor is tud segíteni az Openwrt: szerez/vesz pár olyan olcsó routert, amire fel lehet tenni az Openwrt-t (5.000Ft körül már kapsz ebay-en, de itthon is van nem sokkal többért, 7.000Ft alatt vehetsz már Mikrotiket is, ami magában bőven okosabb, mint ami ide kell), ezeket bekonfigolja csak switch-nek, VLAN-okon meg nagyjából azt visz át velük, amit akar - nyilvánvaló, hogy be kell tartania a játékszabályokat, tudnia kell, milyen kábelhosszakkal dolgozhat, hány switch-et használhat stb.
Ha nem akar ilyesmire költeni, mellette átláthatatlan a hálózata, akkor előbb azt rendbe kell tenni, amire megint csak költenie kell. Vagy kábelezni kell rendesen, vagy marad a trükközés.

Nem egy komoly hálózatról beszélhetünk, van egy része ahol gépek mehetnek fel a netre és van egy kamerás hálózat, ami NVR-en keresztül csatlakozik fel a netre. Az NVR adná a kamerák képeit. Az alap problémám, hogy valamiért az NVR-nem küld képet, ha külső domain címről csatlakozok a hálózatra, csak ha belső címet használok. Ezen egy VPN kapcsolat is segíthet, de érdekelne a port forwarding megoldás is, ha közvetlenül a kamerákat szeretném elérni.

Megpróbálom elkészíteni amit írtál bár egy két dolgot nem értek, ezért kérnék egy kis segítséget.
Kérdéseim:
1. Interfaces létrehozása ok, de nem értem az "untagged" mit jelent pontosan, hol és hogyan lehet beállítani, mitől lesz "untagged" - https://wiki.openwrt.org/doc/uci/network/switch (értem is meg nem is :) )

2. Az új interface-nek, ha jól értem, ugyan abba az IP cím tartományba kell esnie, mint a DHCP server, csak az alhálózati maszkot kell megváltoztatni a kameráknál pl: 255.0.0.0, amit a kamerák NVR-ben (ez ossza ki a DHCP címeket).

Az untagged azt jelenti, hogy a VLAN tag lekerül az ethernet keretről, mielőtt az kilépne a porton a külvilág felé. Alapesetben a PC-k ethernet adapterei nem használnak VLAN tag-eket, az ilyen beérkező kereteket el is dobják, mert hibásnak tartják (a VLAN a 802.3 kidolgozása után jelent meg, így az azt nem ismerő adapterek nem tudnak mit kezdeni azzal az értékkel, amelyik a keret hosszát leíró byte helyén jelenik meg, mert a VLAN 4 byte-ját, vagyis a VLAN taget oda szúrták be). Manapság már vannak VLAN-képes adapterek, de jobb a VLAN-ozást a switch-ekre bízni.

Az otthoni routerden belül úgy választódik szét a LAN a WAN-tól, hogy eltérő VLAN-ban vannak. Ha a WAN portot LAN portnak akarod használni, egyszerűen átteszed a portot abba a VLAN-ba, amelyikben a LAN van. Ha a WAN portod megdöglik, az egyik LAN portot átteheted abba a VLAN-ba, amelyikben eredetileg a meghibásodott WAN port volt, így nem kell kidobnod a routert (az eredeti WAN portot meg kiveszed mindegyik VLAN-ból).

Az eredeti hozzászólásodban arról írtál, hogy LAN oldalon két külön alhálózat van (192.168.15.0/24 és 10.1.1.0/24). Ha ezeket ténylegesen külön akarod kezelni, akkor ahhoz VLAN-képes switch kell, az Openwrt-s routeredben meg pont olyan van. Alapesetben az összes LAN port az egyes VLAN-ban van, a WAN port meg a kettesben. Jelölj ki egy portot a LAN portok közül, ahova a 10.1.1.0/24-es alhálózat csatlakozik. Ezt tedd a hármas VLAN-ba. A tööbit meg már leírtam korábban.
Az ne zavarjon, hogy ez utóbbi alhálózat alapvetően A osztályú szokott lenni (/8), gondolom, nincs kismillió PC abban az alhálóban, feltehetően egy /24-esben is elférnek az eszközök.
Ha ebben az új alhálózatban is kell DHCP kiszolgáló, az sem gond, a beállításoknál azt is könnyen konfigurálhatod.