Questão OpenWRT configura o roteador para se comunicar com a WLAN do GUEST das portas LAN do cliente, mas não da LAN principal


Eu tenho um roteador que tem OpenWRT (WRT54GL) e uma configuração especial para atuar como dispositivo "ocultar clientes WLAN da rede principal". A configuração real é a seguinte:

                                                   ^
                                                   |
                                                   |WLAN
                                                   |10.0.0.x
                                                   |
                                                   |
                                                   |
Internet    +-----------------+   LAN      +-------+--------+
<-----------+ Some secret     <------------>  Router with   |
            | network stuff   |  172.x.x.x |  OpenWRT       |
            |                 |            |                |
            +-----------------+            +---+---------+--+
                                               |         |
                                    Config     |         |LAN
                                    192.168.1.x|         |172.x.x.x
                                               |         |
                                               |         |
                                               v         v

A rede 172.x.x.x é uma rede principal (por exemplo, empresa, hotel, etc.). A rede 192.168.1.x é apenas para configuração e é mapeada para uma porta LAN. Você tem que conectar o PC nesta porta para configurar o roteador (razões de segurança). A rede 10.0.0.x é uma WLAN de CONVIDADO.

Normalmente não é um grande problema configurar como WLAN de GUEST, mas neste caso é de alguma forma especial porque:

  • A rede principal é colocada fisicamente na porta WAN, mas essa porta é reconfigurada para agir como uma porta LAN. A rede principal e a LAN do cliente devem se comunicar como se não houvesse roteador. O roteador age como um switch mudo.
  • O convidado WLAN deve ter acesso à internet e para outros convidados, mas não para a rede principal e configuração.
  • A WLAN do CONVIDADO e os dispositivos LAN do cliente devem se comunicar entre si.

O que eu fiz / alcancei até agora: Os dois primeiros pontos estão concluídos. Portanto, configurei a porta WAN para atuar como uma porta LAN. No menu de opções, criei três VLANs. Uma para as portas LAN do cliente, uma para a porta LAN principal e outra para a porta LAN de configuração.

As VLANs para cliente e LAN principal são conectadas à interface

A WLAN convidada é configurada como uma rede WIFI normal.

A configuração LAN é uma interface separada usando apenas a configuração VLAN.

Para se comunicar com a Internet, adicionei uma regra de firewall para que a rede LAN esteja no grupo WAN (porque é um switch e também é a fonte da Internet ao mesmo tempo) e a interface GUEST / CONFIG é encaminhada para WAN.

** Alguns arquivos de configuração: **

/ etc / config / wireless

config 'wifi-device' 'wl0'
    option 'type' 'broadcom'
    option 'channel' 'auto'
    option 'txpower' '18'
    option 'hwmode' '11bg'

config 'wifi-iface'
    option 'device' 'wl0'
    option 'mode' 'ap'
    option 'ssid' 'GRZUTS01'
    option 'encryption' 'psk+psk2'
    option 'key' '********'

/ etc / config / network

config 'switch' 'eth0'
    option 'enable' '1'

config 'switch_vlan' 'eth0_0'
    option 'device' 'eth0'
    option 'vlan' '0'
    option 'ports' '1 2 3 5'

config 'switch_vlan' 'eth0_1'
    option 'device' 'eth0'
    option 'vlan' '1'
    option 'ports' '4 5'

config 'interface' 'loopback'
    option 'ifname' 'lo'
    option 'proto' 'static'
    option 'ipaddr' '127.0.0.1'
    option 'netmask' '255.0.0.0'

config 'switch_vlan'
    option 'device' 'eth0'
    option 'vlan' '2'
    option 'ports' '0 5'

config 'interface' 'Config'
    option 'proto' 'static'
    option 'ifname' 'eth0.2'
    option 'ipaddr' '192.168.1.1'
    option 'netmask' '255.255.255.0'

config 'interface' 'Company'
    option 'type' 'bridge'
    option 'proto' 'dhcp'
    option 'ifname' 'eth0.0 eth0.1'

config 'interface' 'Public'
    option 'proto' 'static'
    option 'ifname' 'wl0'
    option 'ipaddr' '10.0.0.1'
    option 'netmask' '255.255.255.0'

/ etc / config / dhcp

config 'dnsmasq'
    option 'domainneeded' '1'
    option 'boguspriv' '1'
    option 'localise_queries' '1'
    option 'rebind_protection' '1'
    option 'rebind_localhost' '1'
    option 'local' '/lan/'
    option 'domain' 'lan'
    option 'expandhosts' '1'
    option 'readethers' '1'
    option 'leasefile' '/tmp/dhcp.leases'
    option 'resolvfile' '/tmp/resolv.conf.auto'

config 'dhcp' 'lan'
    option 'interface' 'lan'
    option 'ignore' '1'

config 'dhcp' 'wan'
    option 'interface' 'wan'
    option 'ignore' '1'

config 'dhcp'
    option 'start' '100'
    option 'limit' '150'
    option 'interface' 'Public'
    option 'leasetime' '72h'

config 'dhcp'
    option 'start' '100'
    option 'interface' 'Config'
    option 'limit' '10'
    option 'leasetime' '2h'

/ etc / config / firewall

config 'defaults'
    option 'syn_flood' '1'
    option 'input' 'ACCEPT'
    option 'output' 'ACCEPT'
    option 'forward' 'REJECT'
    option 'drop_invalid' '1'

config 'include'
    option 'path' '/etc/firewall.user'

config 'zone'
    option 'forward' 'REJECT'
    option 'output' 'ACCEPT'
    option 'name' 'GUEST'
    option 'input' 'REJECT'
    option 'network' 'Public'

config 'zone'
    option 'forward' 'REJECT'
    option 'output' 'ACCEPT'
    option 'name' 'WAN'
    option 'input' 'REJECT'
    option 'masq' '1'
    option 'mtu_fix' '1'
    option 'network' 'Company'

config 'forwarding'
    option 'dest' 'WAN'
    option 'src' 'GUEST'

config 'rule'
    option 'target' 'ACCEPT'
    option '_name' 'Guest DNS'
    option 'src' 'GUEST'
    option 'proto' 'tcpudp'
    option 'dest_port' '53'

config 'rule'
    option 'target' 'ACCEPT'
    option '_name' 'Guest DHCP'
    option 'src' 'GUEST'
    option 'proto' 'tcpudp'
    option 'dest_port' '67-68'

config 'zone'
    option 'forward' 'REJECT'
    option 'output' 'ACCEPT'
    option 'name' 'CONFIG'
    option 'network' 'Config'
    option 'input' 'ACCEPT'

config 'forwarding'
    option 'dest' 'WAN'
    option 'src' 'CONFIG'

config 'rule'
    option 'target' 'ACCEPT'
    option '_name' 'Config DNS'
    option 'src' 'CONFIG'
    option 'proto' 'tcpudp'
    option 'dest_port' '53'

config 'rule'
    option 'target' 'ACCEPT'
    option '_name' 'Config DHCP'
    option 'src' 'CONFIG'
    option 'proto' 'tcpudp'
    option 'dest_port' '67-68'

Agora minha pergunta:

Como posso alterar a configuração para que os clientes de WLAN possam acessar os clientes de LAN + os clientes de LAN possam acessar os clientes de WLAN MAS a porta principal de LAN está bloqueada de acessar os clientes de WLAN?


0


origem




Respostas: