Настройка гостевой VLAN на NTE-RG-1402G

[visual]

Доброго времени суток!
Прошу помощи клуба в настройке NTE-RG-1402G. Задача простая - поднять гостевую VLAN с доступом с Интернет.
Пока уперся в то, что не поднимается маршрутизация между интерфейсами.
Конфигурация интерфейсов вот такая: /etc/config/network

Код: Выделить всё

config "interface" "vlanL_0"
   option service_name   'Internet'
   option status   '1'
   option ifname   'eth2.1 wlan0'
   option type   'bridge'
   option p1member   'untagged'
   option p2member   'untagged'
   option p3member   'untagged'
   option p4member   'off'
   option ipaddr   '192.168.0.1'
   option netmask   '255.255.255.0'
   option proto   'static'
   option flag   '1'

config "interface" "vlanL_3"
   option service_name   'other'
   option status   '1'
   option ifname   'eth2.4'
   option type   'vlan'
   option p1member   'tagged'
   option p2member   'off'
   option p3member   'off'
   option p4member   'untagged'
   option flag   '1'
   option ipaddr   '192.168.68.1'
   option netmask   '255.255.255.0'
   option proto   'static'

Таблица маршрутизации

Код: Выделить всё

root@router:/etc/config# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.102      10.1.192.1      255.255.255.255 UGH   0      0        0 eth0.4094
10.0.0.101      10.1.192.1      255.255.255.255 UGH   0      0        0 eth0.4094
10.60.1.2       10.68.115.1     255.255.255.255 UGH   0      0        0 br2
x.x.x.x 0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.68.0    0.0.0.0         255.255.255.0   U     0      0        0 eth2.4
10.68.115.0     0.0.0.0         255.255.255.0   U     0      0        0 br2
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 vlanL_0
192.168.253.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1
10.1.192.0      0.0.0.0         255.255.192.0   U     0      0        0 eth0.4094
0.0.0.0         x.x.x.x 0.0.0.0         UG    0      0        0 ppp0

С маршрутизатора все интерфейсы пингуются. Интерфейс VLAN1:

Код: Выделить всё

root@router:/etc/config# ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=64 time=0.0 ms
64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=0.0 ms

интерфейс VLAN4:

Код: Выделить всё

root@router:/etc/config# ping 192.168.68.1
PING 192.168.68.1 (192.168.68.1): 56 data bytes
64 bytes from 192.168.68.1: icmp_seq=0 ttl=64 time=0.0 ms
64 bytes from 192.168.68.1: icmp_seq=1 ttl=64 time=0.0 ms

С хоста, подключенного к VLAN1, все интерфейсы маршрутизатора (VLAN1 и VLAN4) успешно пингуются

Код: Выделить всё

host1:~ visual$ ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=64 time=3.934 ms
64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=4.531 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=64 time=5.645 ms

и соответственно

Код: Выделить всё

host1:~ visual$ ping 192.168.68.1
PING 192.168.68.1 (192.168.68.1): 56 data bytes
64 bytes from 192.168.68.1: icmp_seq=0 ttl=64 time=4.078 ms
64 bytes from 192.168.68.1: icmp_seq=1 ttl=64 time=3.996 ms

но не пингуется хост, подключенный к VLAN4

Код: Выделить всё

host1:~ visual$ ping 192.168.68.21
PING 192.168.68.21 (192.168.68.21): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1

эти запросы на интерфейс VLAN1 постпупают

Код: Выделить всё

root@router:/etc/config# tcpdump -i vlanL_0 -n host 192.168.68.21     
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlanL_0, link-type EN10MB (Ethernet), capture size 65535 bytes
21:15:24.506820 IP 192.168.0.13 > 192.168.68.21: ICMP echo request, id 34706, seq 0, length 64
21:15:25.506820 IP 192.168.0.13 > 192.168.68.21: ICMP echo request, id 34706, seq 1, length 64
21:15:26.506820 IP 192.168.0.13 > 192.168.68.21: ICMP echo request, id 34706, seq 2, length 64

но на VLAN4 их уже не видно (host1 = 192.168.0.13)

Код: Выделить всё

root@router:/etc/config# tcpdump -i eth2.4 -n host 192.168.0.13
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2.4, link-type EN10MB (Ethernet), capture size 65535 bytes

была мысль что не пропускает firewall, но тут чисто

Код: Выделить всё

root@router:/etc/config# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW recent: UPDATE seconds: 1 hit_count: 5 name: DEFAULT side: source reject-with icmp-port-unreachable
           tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW recent: SET name: DEFAULT side: source
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:2103 reject-with icmp-port-unreachable
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:23
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53 reject-with icmp-port-unreachable
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 reject-with icmp-port-unreachable
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:23
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:23 reject-with icmp-port-unreachable
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 reject-with icmp-port-unreachable
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20 reject-with icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 reject-with icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 reject-with icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:23 reject-with icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20 reject-with icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 reject-with icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
TCPMSS     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
DROP       all  --  0.0.0.0/0           !224.0.0.0/4         
DROP       all  --  0.0.0.0/0           !224.0.0.0/4         
DROP       all  --  0.0.0.0/0           !224.0.0.0/4         
DROP       all  --  0.0.0.0/0           !224.0.0.0/4         
DROP       all  --  0.0.0.0/0           !224.0.0.0/4         
DROP       all  --  0.0.0.0/0           !224.0.0.0/4         
DROP       all  --  0.0.0.0/0           !224.0.0.0/4         
DROP       all  --  0.0.0.0/0           !224.0.0.0/4         
DROP       all  --  0.0.0.0/0           !224.0.0.0/4         
DROP       all  --  0.0.0.0/0           !224.0.0.0/4         
MINIUPNPD  all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  0.0.0.0/0            0.0.0.0/0           ! owner UID match 0

Chain MINIUPNPD (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            192.168.0.16        udp dpt:63434
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.16        tcp dpt:48350
ACCEPT     udp  --  0.0.0.0/0            192.168.0.16        udp dpt:48350

на NAT пакеты тоже не попадают

Код: Выделить всё

root@router:/etc/config# iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
MINIUPNPD  all  --  0.0.0.0/0            0.0.0.0/0           

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain MINIUPNPD (1 references)
target     prot opt source               destination         
DNAT       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:63434 to:192.168.0.16:63434
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:48350 to:192.168.0.16:48350
DNAT       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:48350 to:192.168.0.16:48350

помогите сняться с ручника pls )))
P.S. все найденные доки по OpenWRT выкурил на несколько раз. Нигде нет описания опций service_name для интерфейсов, а исходники в паблик не выкладываются.
P.S.S. ТТХ железа и софта

Код: Выделить всё

config general DeviceInfo
   option Manufacturer 'Eltex'
   option ManufacturerOUI 'A8F94B'
   option ModelName   'NTE-RG-1402G'
   option Description 'NTE-RG description'
   option ProductClass   'NTE-RG-1402G'
   option HardwareVersion '1.0'
   option SoftwareVersion   '5.3.2'

[simpl3x]

но на VLAN4 их уже не видно (host1 = 192.168.0.13)

Код: Выделить всё

root@router:/etc/config# tcpdump -i eth2.4 -n host 192.168.0.13
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2.4, link-type EN10MB (Ethernet), capture size 65535 bytes

а вы уверены что на eth2.4 у вас icmp будет с адресом 192.168.0.13

Код: Выделить всё

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0 

на построутинге у вас ВСЁ маскардится роутером, т.е. по идее, на eth2.4 вылетающий трафик должен быть как минимум с 192.168.68.1?

а что показывает tcpdump на 192.168.68.21.
у вас на 192.168.68.21 адрес шлюза вообще есть =) ? он точно 192.168.68.1? 192.168.68.1 пингуется? в какой порт маршрутизатора он включен?

[visual]

уже ни в чем не уверен, потому и прошу помощи.
после iptables -F не полегчало. DG на втором хосте точно правильный (192.168.68.1), скрины и дампы смогу только завтра выложить. патчкорд от целевого хоста воткнул в четвертый порт, там где нетегированный трафик.

[visual]

simpl3x, ларчик просто открывался - ломиком (с)анек
еще раз внимательное смотрим на iptables, только с другими опциями

Код: Выделить всё

root@router:~# iptables -L -n -v --line-numbers
Chain INPUT (policy ACCEPT 25 packets, 5022 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW recent: UPDATE seconds: 1 hit_count: 5 name: DEFAULT side: source reject-with icmp-port-unreachable
2        1    52            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW recent: SET name: DEFAULT side: source
3        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2103 reject-with icmp-port-unreachable
4        0     0 ACCEPT     tcp  --  eth0.4094 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
5        0     0 ACCEPT     tcp  --  eth0.4094 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:23
6        0     0 ACCEPT     tcp  --  eth0.4094 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
7        0     0 REJECT     tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 reject-with icmp-port-unreachable
8        0     0 ACCEPT     tcp  --  vlanL_0 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
9        1    52 REJECT     tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 reject-with icmp-port-unreachable
10       0     0 ACCEPT     tcp  --  vlanL_0 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:23
11       0     0 REJECT     tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:23 reject-with icmp-port-unreachable
12     116  9461 ACCEPT     tcp  --  vlanL_0 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
13       0     0 REJECT     tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 reject-with icmp-port-unreachable
14       0     0 ACCEPT     tcp  --  vlanL_0 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:20
15       0     0 ACCEPT     tcp  --  vlanL_0 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
16       0     0 REJECT     tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:20 reject-with icmp-port-unreachable
17       0     0 REJECT     tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21 reject-with icmp-port-unreachable
18       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 reject-with icmp-port-unreachable
19       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:23 reject-with icmp-port-unreachable
20       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:20 reject-with icmp-port-unreachable
21       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21 reject-with icmp-port-unreachable
22       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 19 packets, 2491 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      348 17768 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
2        0     0 DROP       all  --  vlanL_0 !ppp0   0.0.0.0/0           !224.0.0.0/4         
3        0     0 DROP       all  --  ppp0   !vlanL_0  0.0.0.0/0           !224.0.0.0/4       
4        0     0 DROP       all  --  eth2.2 !eth0.2  0.0.0.0/0           !224.0.0.0/4         
5        0     0 DROP       all  --  eth0.2 !eth2.2  0.0.0.0/0           !224.0.0.0/4         
6        0     0 DROP       all  --  br1    *       0.0.0.0/0           !224.0.0.0/4         
7        0     0 DROP       all  --  *      br1     0.0.0.0/0           !224.0.0.0/4         
8        0     0 DROP       all  --  vlanL_3 !eth0.4  0.0.0.0/0           !224.0.0.0/4         
9        0     0 DROP       all  --  eth0.4 !vlanL_3  0.0.0.0/0           !224.0.0.0/4     
10       0     0 DROP       all  --  br2    *       0.0.0.0/0           !224.0.0.0/4         
11       0     0 DROP       all  --  *      br2     0.0.0.0/0           !224.0.0.0/4         
12     541  111K MINIUPNPD  all  --  ppp0   !ppp0   0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 19 packets, 2173 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       all  --  *      eth0.4094  0.0.0.0/0            0.0.0.0/0           ! owner UID match 0

Chain MINIUPNPD (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        1    47 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.0.16        udp dpt:39366
2        1    52 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.0.16        tcp dpt:39366

стоило отключить правила с номерами 2,3,8,9 в FORWARD, как гостевая сеть увидела и VLAN1, и ppp0.
теперь пытаюсь понять почему на VLAN4 не хочет работать DHCP. в настройках на первый взгляд все норм. вот настройки DHCP:

Код: Выделить всё

root@router:/etc/config# cat dhcp
config "dhcp" "vlanL_0"
        option enabled  '1'
        option start    '192.168.0.2'
   option limit   '254'
        option lease    '720m'

config "config" "general"

config "dhcp" "vlanL_3"
   option enabled   '1'
   option start   '192.168.68.2'
   option limit   '254'
   option lease   '720m'

вот настройки интерфейсов

Код: Выделить всё

root@router:/etc/config# cat network
config "interface" "vlanL_0"
   option service_name   'Internet'
   option status   '1'
   option ifname   'eth2.1 wlan0'
   option type   'bridge'
   option p1member   'untagged'
   option p2member   'untagged'
   option p3member   'untagged'
   option p4member   'off'
   option ipaddr   '192.168.0.1'
   option netmask   '255.255.255.0'
   option proto   'static'
   option flag   '1'

config "interface" "vlanL_3"
   option service_name   'other'
   option status   '1'
   option ifname   'eth2.4'
   option type   'bridge'
   option p1member   'tagged'
   option p2member   'off'
   option p3member   'off'
   option p4member   'untagged'
   option flag   '1'
   option ipaddr   '192.168.68.1'
   option netmask   '255.255.255.0'
   option proto   'static'


запросы от клиентской машины сыпятся, но в ответ тишина

Код: Выделить всё

root@router:/etc/config# tcpdump -i eth2.4 -vvv -s 1500 '((port 67 or port 68) and (udp[8:1] = 0x1))'
tcpdump: WARNING: eth2.4: no IPv4 address assigned
tcpdump: listening on eth2.4, link-type EN10MB (Ethernet), capture size 1500 bytes
23:10:11.231414 IP (tos 0x0, ttl 128, id 16723, offset 0, flags [none], proto UDP (17), length 328)
    169.254.126.143.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from e8:11:32:69:62:cc (oui Unknown), length 300, xid 0xf777dc17, Flags [none] (0x0000)
     Client-Ethernet-Address e8:11:32:69:62:cc (oui Unknown)
     Vendor-rfc1048 Extensions
       Magic Cookie 0x63825363
       DHCP-Message Option 53, length 1: Discover
       Client-ID Option 61, length 7: ether e8:11:32:69:62:cc
       Hostname Option 12, length 12: "NB01Shumakov"
       Vendor-Class Option 60, length 8: "MSFT 5.0"
       Parameter-Request Option 55, length 12:
         Subnet-Mask, Domain-Name, Default-Gateway, Domain-Name-Server
         Netbios-Name-Server, Netbios-Node, Netbios-Scope, Router-Discovery
         Static-Route, Classless-Static-Route, Classless-Static-Route-Microsoft, Vendor-Option
       END Option 255, length 0
       PAD Option 0, length 0, occurs 9
23:10:14.561414 IP (tos 0x0, ttl 128, id 16730, offset 0, flags [none], proto UDP (17), length 328)
    0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from e8:11:32:69:62:cc (oui Unknown), length 300, xid 0xf777dc17, secs 1024, Flags [none] (0x0000)
     Client-Ethernet-Address e8:11:32:69:62:cc (oui Unknown)
     Vendor-rfc1048 Extensions
       Magic Cookie 0x63825363
       DHCP-Message Option 53, length 1: Discover
       Client-ID Option 61, length 7: ether e8:11:32:69:62:cc
       Hostname Option 12, length 12: "NB01Shumakov"
       Vendor-Class Option 60, length 8: "MSFT 5.0"
       Parameter-Request Option 55, length 12:
         Subnet-Mask, Domain-Name, Default-Gateway, Domain-Name-Server
         Netbios-Name-Server, Netbios-Node, Netbios-Scope, Router-Discovery
         Static-Route, Classless-Static-Route, Classless-Static-Route-Microsoft, Vendor-Option
       END Option 255, length 0
       PAD Option 0, length 0, occurs 9
23:10:22.971414 IP (tos 0x0, ttl 128, id 16831, offset 0, flags [none], proto UDP (17), length 328)

при этом на VLAN1 с DHCP все ok.
any ideas?

[Dirks G]

Сообщите цель данной настройки, для чего Вам это? Пришлите схему сети которую хотите организовать с указанием всех элементов и адресов.

[visual]

Dirks G, хочу сделать гостевую Wi-Fi сеть для друзей, которые приходят в гости, исключив для них доступ к домашним медиа-ресурсам, но разрешив выход в Интернет. схему сети на выходных набросаю, если не добью тему. сейчас покрутил конфиги udhcpd, заставил его обслуживать гостевой VLAN, но некоторые мелочи не дают считать тему закрытой.

[visual]

Вот теперь тему можно считать закрытой, гостевая Wi-Fi подсеть заработала. Что-бы заставить dnsmasq и udhcpd обслуживать гостевую VLAN, пришлось немного подправить код в dns_loop и dhcpd_loop соответственно. Плюс подправил configure_firewall чтобы из гостевой VLAN был доступен Internet. Остальные мелочи по ходу дела отшлифуются. спасибо клубу за вопросы/предположения, которые помогли сняться с ручника
P.S. Dirks G, в Apple AirPort Extreme гостевая Wi-Fi сеть работает через теггированный VLAN, вот и озадачился. правда теперь наступил на другие "грабли" - AirPort Extreme режет полосу на download для гостевой сети, что на данном этапе даже хорошо.