Настройки сети OpenWrt

[verdad]

есть коммутатор. на один из портов приходит тегированый (vlan100) трафик. нужно его, как-то скушать.
пробую такой конфиг на роутере(tp-link841).

network

Код:

config interface 'loopback'
	option ifname 'lo'
	option proto 'static'
	option ipaddr '127.0.0.1'
	option netmask '255.0.0.0'

config globals 'globals'
	option ula_prefix 'fd40:e014:5811::/48'

config interface 'mgm'
	option ifname 'eth1.100'
	option proto 'static'
	option ipaddr '172.16.1.19'
	option netmask '255.255.255.0'
	option gateway '172.16.1.1'
	option dns '172.16.1.3 8.8.8.8'
	option macaddr '84:74:2A:54:34:35'

config interface 'lan'
	option ifname 'eth1.1'
	option type 'bridge'
	option proto 'static'
	option ipaddr '192.168.1.1'
	option netmask '255.255.255.0'
	option dns '192.168.1.1'
	option ip6assign '60'

config interface 'wan'
	option ifname 'eth0'
	option proto 'dhcp'

config switch
	option name 'eth1'
	option reset '1'
	option enable_vlan '1'

config switch_vlan
	option device 'eth1'
	option vlan '1'
	 option vid '1'
	option ports '0t 2 4'

config switch_vlan
        option device 'eth1'
        option vlan '100'
	option vid '100'
        option ports '0t 1 3'

лан работает, а mgm даже мака не видно.

firewall

Код:

# blank
# delete ipv6 rules

config defaults
	option syn_flood	1
	option input		ACCEPT
	option output		ACCEPT
	option forward		REJECT

config zone
	option name		lan
	list   network		'lan'
	option input		ACCEPT
	option output		ACCEPT
	option forward		ACCEPT

config zone
	option name		mgm
	list   network		'mgm'
	option input		REJECT
	option output		ACCEPT
	option forward		REJECT
#	option masq		1
#	option mtu_fix		1

#config forwarding
#	option src		lan
#	option dest		wan

# We need to accept udp packets on port 68,
# see https://dev.openwrt.org/ticket/4108
config rule
	option name		Allow-DHCP-Renew
	option src		wan
	option proto		udp
	option dest_port	68
	option target		ACCEPT
	option family		ipv4

# Allow IPv4 ping
config rule
	option name		Allow-Ping
	option src		wan
	option proto		icmp
	option icmp_type	echo-request
	option family		ipv4
	option target		ACCEPT

config rule
	option name		Allow-IGMP
	option src		wan
	option proto		igmp
	option family		ipv4
	option target		ACCEPT

# include a file with users custom iptables rules
config include
	option path /etc/firewall.user

# allow IPsec/ESP and ISAKMP passthrough
config rule
	option src		wan
	option dest		lan
	option proto		esp
	option target		ACCEPT

config rule
	option src		wan
	option dest		lan
	option dest_port	500
	option proto		udp
	option target		ACCEPT

[solalex]

Нужно помечать тегом тот порт, который будет соединен с тегированым на коммутаторе
в вашем конфиге нужно так

Код:

config switch_vlan
        option device 'eth1'
        option vlan '100'
	option vid '100'
        option ports '0t 1t 3'

втыкать в 1 порт, на 3 порту будет уже нетегированый
а вообще нужно полностью расписать чего вы там хотите сделать.

[papasha02]

Всем добрый день!
Рассчитываю на Вашу помощь. В ветке не нашел понятного решения.

проблема: В OpenWrt модеме не могу подключиться к админке в локальной сети в режиме client по Wifi.

Ситуация:
Есть GL iNET с OpenWrt. Планирую управлять модулями esp8266 через mqtt. При первоначальных настройках настроил mqtt на созданной им точке доступа. Тест проводил на ноутбуке через программу mqtt-spy и все работает (и через LAN кабель, подключенный к ноутбуку так же все работало). НО!

Хочется только, что бы все ESP-шки подключались к домашней сети (домашний wifi роутер) и уже через него попадали на GL iNET, который подключается в домашнему, основному роутеру по wifi.

В этом и загвоздка, GL iNET не видят ESP-шки внутри домашней сети. Не могу даже в админку зайти (Только через LAN получается). Мне не требуется, что бы GL iNET раздавал свой отдельный интернет, необходимо только, что бы он был частью домашней сети и к нему могли обращаться исполнительные устройства, т.е. задача GL iNET в домашней сети только выступать в роли устройства оказывающее сервис mosquitto.

Какие необходимы настройки сделать в Интерфейсах Lan и WWAN, режим wifi, что бы сделать вышеописанную идею? Идеально конечно согласно меню luci

p.s Уже неделю мучаюсь. Чего только не пробовал Рассчитываю на ваш профессионализм. Только изучаю эту тему и не все понятно, поэтому не пинайте

[sunny]

papasha02

Добрый ! Попробуем разобраться

Цитата:

Есть GL iNET с OpenWrt.

Девайсина :
https://ru.aliexpress.com/store/prod...273181856.html
Есть основной роутер с локалкой 192.168.1.1(шлюз) так ?

Подключитесь по lan-у к GL iNET 192.168.8.1
И покажите скриншоты 2 страниц:
NET - Interfaces и Wi-Fi (у меня русский так, что может немного отличаться)

Или содержимое конфигов /etc/config/network /etc/config/wireless
Чтобы подключаться по ssh (в терминале) вполне возможно нужно ставить свой пароль не toor (это первое, что нужно сделать)

Чтобы подключаться к GL iNET извне нужно настраивать фаервол (не в lan-е).
Зы, у меня нет не esp8266 не GL iNET - поэтому в общих чертах.

===

Если использовать GL iNET в качестве клиента существующей сети, нужно "добавить новую сеть" - скажем назовем "Клиент" - в wi-fi во вкладке "Режим" - "Клиент"
Отключите все существующие wi-fi сети GL iNET (кроме вновь созданной).
На странице "Основные настройки" - поставить галочку на используемом интерфейсе "CLIENT" (привязать его).
Тот же пароль что и на основном роутере, в расширенных настройках - можно конкретные МАК-и разрешить.

И создать свой интерфейс.
Во вкладке Интерфейсы - "CLIENT" (назовите как угодно)
Включить "Протокол" - "DHCP-сервер" в настройках сервиса
В настройках канала связать с существующей wi-fi сетью "Клиент"
Во вкладке DHCP и DNS
"Постоянные аренды"
Можно задать постоянные адреса (хост1- 192.168.1.5 хост2 - ....1.6) для каждого девайса ...
Как альтернатива прописать строго статику...
Останется проверить настройки фаервола.

В итоге вы получите основную локалку 192.168.1.1-255 - где GL iNET будет в качестве клиента иметь свою подсеть 192.168.8.1-255.
===
Зы, у китайцев на фото LAN 192.168.8.1 ...

[papasha02]

Цитата:

Сообщение от sunny

papasha02

Добрый ! Попробуем разобраться

Девайсина :
https://ru.aliexpress.com/store/prod...273181856.html
Есть основной роутер с локалкой 192.168.1.1(шлюз) так ?

Подключитесь по lan-у к GL iNET 192.168.8.1
И покажите скриншоты 2 страниц:
NET - Interfaces и Wi-Fi (у меня русский так, что может немного отличаться)

Или содержимое конфигов /etc/config/network /etc/config/wireless
Чтобы подключаться по ssh (в терминале) вполне возможно нужно ставить свой пароль не toor (это первое, что нужно сделать)

Чтобы подключаться к GL iNET извне нужно настраивать фаервол (не в lan-е).
Зы, у меня нет не esp8266 не GL iNET - поэтому в общих чертах.

Если использовать GL iNET в качестве клиента существующей сети, нужно "добавить новую сеть" - скажем назовем "Клиент" - в wi-fi во вкладке "Режим" - "Клиент"
На странице "Основные настройки" - поставить галочку на используемом интерфейсе (привязать его).
Тот же пароль что и на основном роутере, в расширенных настройках - можно конкретные МАК-и разрешить.

И создать свой интерфейс.
Во вкладке Интерфейсы - CLIENT (назовите как угодно)
Включить "Протокол" - "DHCP-сервер" в настройках сервиса
В настройках канала связать с существующей wi-fi сетью "Клиент"
Во вкладке DHCP и DNS
"Постоянные аренды"
Можно задать постоянные адреса (хост1- 192.168.1.5 хост2 - ....1.6) для каждого девайса ...
Как альтернатива прописать строго статику...
Останется проверить настройки фаервола.
===
Зы, у китайцев на фото LAN 192.168.8.1 ...

Да, девайс этот.
Вот такие настройки по вкладкам:

скриншоты

[свернуть]

[papasha02]

Цитата:

Сообщение от papasha02

Вот такие настройки по вкладкам:

Через wifi не могу попасть в админку и ESP - не видят роутер. При этом OpenWrt интернет получает по wifi от домашнего роутера.

Что необходимо поправить согласно скринам?

[sunny]

papasha02
Как и думал, проблема с интерфейсами..
У вас 2 интерфейса LAN и WWAN - имеют один и тот же адрес 192.168.1.1, скиньте настройки по дефолту во вкладке:
Операции с прошивкой - Выполнить сброс (Сбросить значения по умолчанию) возможно у вас англ.
И начните настройку, как я написал выше с:

Цитата:

Если использовать GL iNET в качестве клиента существующей сети

Создать:
- сеть в режиме клиента
- интерфейс Протокол - "DHCP-сервер" (надеюсь основной роутер раздает адреса автоматом - включен DHCP-сервер).
Уберите скриншоты в спойлер..
Больше ничего не трогайте

[papasha02]

Цитата:

Сообщение от sunny

papasha02
Как и думал, проблема с интерфейсами..
У вас 2 интерфейса LAN и WWAN - имеют один и тот же адрес 192.168.1.1, скиньте настройки по дефолту во вкладке:
Операции с прошивкой - Выполнить сброс (Сбросить значения по умолчанию) возможно у вас англ.
И начните настройку, как я написал выше с:


Создать:
- сеть в режиме клиента
- интерфейс Протокол - "DHCP-сервер" (надеюсь основной роутер раздает адреса автоматом - включен DHCP-сервер).
Уберите скриншоты в спойлер..
Больше ничего не трогайте

Сделал как Вы посоветовали. Но все равно не могу по wifi зайти в админку.

скриншоты

[свернуть]

[sunny]

papasha02

Да, если работаем с интерфейсом Клиент, удалите интерфейс WWAN (или вместо Клиента, также настриваете WWAN) склероз

Переключите созданный нами Клиент интерфейс на статику (лично я, задал бы конкретный адрес "роутеру клиенту" на основном роутере оставив DHCP)
Зададим "роутеру клиенту" адрес 192.168.1.10 притом, что основной роутер 192.168.1.1

Развернуть для просмотра

[свернуть]

Назначить зону сетевого экрана на вкладке "Настройки межсетевого экрана" в настройке интерфейса Клиент
Там где WAN WAN6 Клиент(здесь Camera)

Правда если для интерфейса WAN будут действительны правила интерфейса Клиент - к вам с IP провайдера смогут зайти - на вебморду роутера
Чтобы отсечь доступ с внешнего IP - назначьте отдельную зону (как на скрине Camera) - настройте ее так же как WAN (зона другая, правила теже).

Прокинем порт 80 с адреса 192.168.8.1(интерфейс LAN) на порт 80 адрес: 192.168.1.10 (интерфейс Клиент)

Развернуть для просмотра

[свернуть]

Пояснение к скринам:
Зона источник где Camera - ваш интерфейс "Клиент"

Сможете зайти с 192.168.1.10 на "роутер клиент"
===
По итогам у каждого роутера своя локалка со своим пулом адресов.
Вписать второй роутер в пул адресов первого роутера 192.168.1.1/24 можно только использовав "костыль" - это еще сложнее
Проще прокинуть порты...

[papasha02]

Цитата:

Сообщение от sunny

papasha02

В общем заработало!!! Безмерно благодарен! Неделю потратил времени, и не смог разобраться. Только Вы помогли.


Возможно будет для кого нибудь полезным, если захочется OpenWrt использовать в качестве сервиса mqtt внутри сети домашнего роутера, без создания дополнительной wifi точки доступа.

Благодаря помощи пользователя sunny сделаю инструкцию ниже.

1. После установки OpenWrt на роутер, заходим в интерфейс настройки Сети - Интефейс - Lan и ставим IPv4-адрес: 192.168.8.1 (можете любой свой), Маска сети IPv4:225.225.225.0, DHCP-сервер: я не ставил галочку на пункте "Отключить DHCP для этого интерфейса".

Настройки LAN

[свернуть]

2. В меню Сеть-Wifi-через сканирование-выбрал домашнюю wifi сеть. У меня она beeline126. В появившемся пункте Пароль WPA - вставил пароль от домашней wifi сети. Имя новой сети - оставил по умолчанию (WWAN). И нажал Применить и Сохранить. В итоге получил подсоединение в режиме Client.

Добавление клиента wifi в домашнюю сеть wifi роутера

[свернуть]

В итоге создался также интерфейс WWAN, если в меню Сеть-Интерфейс-WWAN посмотреть настройки то там протокол DHCP-клиент

Развернуть для просмотра

[свернуть]

3. В домашнем wifi роутере по MAC адресу этому OpenWrt модему присвоил статический IP адрес: 192.168.1.100
4. В меню Межсетевого экрана (firewall) у WWAN везде поставил разрешить (accept)

Развернуть для просмотра

[свернуть]

5. В Настройках Межсетевого экрана (Firewall), в подразделе "Port Forwards", через добавить new port forward сделал переброс с WWAN IP 192.168.1.100 (когда идет обращение по wifi) на Lan (на котором админка) IP 192.168.8.1. Порты там и там: 80

Переброс портов

[свернуть]

6. А сервис mqtt на OpenWrt сделал далее согласно этой статье Тесты все прошли успешно. Осталось esp8266 прикрутить, которые работают через mqtt, но это дело за малым Главное esp8266 подключаются к домашнему wifi роутеру и используют сервис с mqtt от OpenWrt модема (который подключен по wifi). Что в итоге и хотелось