Sziasztok!
OpenWRT alatt hogyan lehet teljesen szétválasztani a vezetékes és a vezeték nélküli hálózatot? Külön hálózatot szeretnék eltérő eszközökkel és IP cím tartománnyal, hogy eltérő tűzfal-szabályokat alkalmazhassak. Plusz pont, ha megmarad a LAN, amibe mindkét hálózat beletartozik és közösen lehet rájuk tűzfal-szabályokat alkalmazni.
Grafikus felület nincs, szóval valahogy az UCI-val kellene megalkotni.
Köszi!
- 448 megtekintés
Hozzászólások
Szerintem erre lesz szükséged: https://openwrt.org/docs/guide-user/network/vlan/switch_configuration
Csak óvatosan, mert könnyen kizárhatod magad az eszközből és lehet reset-elni és elöről kezdeni a konfigurálást.
- A hozzászóláshoz be kell jelentkezni
Írni kell rá egy scriptet, amelyik adott timeout elteltével visszamásolja a működő firewall configot, majd újratölti azt. Aztán, ha jó a faragott config, akkor már nem kell ez a script.
tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE
- A hozzászóláshoz be kell jelentkezni
Kösz a linket!
A magyar ember jelképe a hátrafelé nyilazás. Vakon rohanunk a semmibe, miközben a múltunkat támadjuk.
- A hozzászóláshoz be kell jelentkezni
elölről*
- A hozzászóláshoz be kell jelentkezni
egy vm-ben kisakkoznam grafikus feluleten hogy kene lennie, majd az ucival atraktanam a masikra. de az uci is az /etc/config/* fajlokat modositgatja, igy csak ott kell megfeleloen atirogatni.
amugy br-lan bele a vezetekes halozatot, br-wifi bele a wifit, aztan a szokasos ip beallitasok. aztan hogy a LAN cimket hova rakod az mar rajtad all.
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Köszi, ez egy jó ötlet volt, segített.
A magyar ember jelképe a hátrafelé nyilazás. Vakon rohanunk a semmibe, miközben a múltunkat támadjuk.
- A hozzászóláshoz be kell jelentkezni
Miért nincs Luci? Nincs elég hely? Fel kell tenni a luci-t tartalmazó fw-t, be kell konfigolni, aztán leszedni a luci-t, tesztelni majd menteni a konfigot, és jöhet a lecsupaszított fw és konfig.
Amúgy nem is nagyon érdemes olyan routerrel bajlódni, amire ennyire le kell csupaszítani az OpenWRT-t. Használtan 10e alatt újonnan meg 15-20-ért már értelmes routereket kapni OpenWRT támogatással. Aminek meg sok hely kell (Adguard), érdemes rá tartani legalább egy SBC-t.
- A hozzászóláshoz be kell jelentkezni
Azért nincs luci, mert inkább más hasznos csomagokat tettem fel. Ez a szerelős routerem, amit kb. évente egyszer kapcsolok be, ha gépet hoznak javítani, meg kell figyelni valami mobiltelefon adatforgalmát, vagy valami miatt teljesen elszeparált, internet nélküli hálózat kell. A gép egy TP-Link 1043 v1, amit régen valaki megokososított, hogy kétszer annyi memória legyen benne. Plusz leszerelhetőek az antennái: jól szállítható és lehet rá házi cantennát csatlakoztatni.
A magyar ember jelképe a hátrafelé nyilazás. Vakon rohanunk a semmibe, miközben a múltunkat támadjuk.
- A hozzászóláshoz be kell jelentkezni
Én ezt használnám akkor arra tovább, amire eddig, és szereznék mellé valami olcsóbb AC-s vagy AX-es routert (lehetőleg DSA képeset!!!), amin meg belőném ezt a hálózatot. Amúgy csak hasznos a Luci, ha anélkül ennyire nehézkes a belövése VLAN-oknak. Nem mondom, szokni kellett az újabb routereken a DSA beállítását és logikáját, de ma már pikk pakk húzok fel VLAN-okat a grafikus felületről, anélkül, hogy várni kelljen 90 másodpercet a visszaállításra :D
- A hozzászóláshoz be kell jelentkezni
Ezt egyszer beállítom és úgy marad. Az elmúlt két évben nem is használtam ezt a routert.
Megnéztem egy másik routeren, hogy miket állít a luci és az alapján megcsináltam.
A magyar ember jelképe a hátrafelé nyilazás. Vakon rohanunk a semmibe, miközben a múltunkat támadjuk.
- A hozzászóláshoz be kell jelentkezni
## Separate wired and wireless network
# /etc/config/dhcp
uci set dhcp.wifi=dhcp
uci set dhcp.wifi.interface='wifi'
uci set dhcp.wifi.start='100'
uci set dhcp.wifi.limit='150'
uci set dhcp.wifi.leasetime='12h'
uci add_list dhcp.wifi.ra_flags='none'
uci del dhcp.wifi.ra_flags
uci add_list dhcp.wifi.ra_flags='none'
uci del dhcp.wifi.ra_flags
uci add_list dhcp.wifi.ra_flags='none'
uci del dhcp.wifi.ra_flags
uci add_list dhcp.wifi.ra_flags='none'
# /etc/config/firewall
uci add firewall zone # =cfg15dc81
uci set firewall.@zone[-1].name='wifi'
uci set firewall.@zone[-1].input='ACCEPT'
uci set firewall.@zone[-1].output='ACCEPT'
uci set firewall.@zone[-1].forward='REJECT'
uci add_list firewall.@zone[-1].network='wifi'
uci add firewall forwarding # =cfg16ad58
uci set firewall.@forwarding[-1].src='wifi'
uci set firewall.@forwarding[-1].dest='wan'
uci set firewall.cfg15dc81.forward='ACCEPT'
# /etc/config/network
uci set network.wifi=interface
uci set network.wifi.proto='none'
uci set network.lan.device='eth0.1'
uci set network.wifi.proto='static'
uci set network.wifi.device='wlan0'
uci set network.wifi.ipaddr='192.168.4.1'
uci set network.wifi.netmask='255.255.255.0'
uci set network.lan.ipaddr='192.168.3.1'
# /etc/config/wireless
uci set wireless.default_radio0.network='wifi'A magyar ember jelképe a hátrafelé nyilazás. Vakon rohanunk a semmibe, miközben a múltunkat támadjuk.
- A hozzászóláshoz be kell jelentkezni