|
VLANy na 92 AIO i rt-n66u
|
| lazik |
Dodano 23-05-2012 19:12
|
Power User
Posty: 356
Dołączył: 09/12/2011 13:09
|
Walczę już od kilku dnich z postawieniem 3 vlanów na 92 AIO postawionym na rt-n66u. Konfiguracja jaką mam:
- WAN w sumie sprawa drugorzędna na obecną chwilę, czyli disabled
- br0: 192.168.0.1 255.255.255.0
- br1: 192.168.3.1 255.255.255.0
- br2: 10.22.0.1 255.255.255.0
vlany dodane:
vid1: port 1,2 br0 default
vid2: WAN
vid3: port 3 br1
vid4: port 4 br2
wifi sprawa drugorzędna, ale załączone i działa w standardowych ustawieniach, czyli na br0
I teraz chcę by to wszystko chodziło mniej tak, że z br1 nie można właściwie nigdzie wyjść, br2 może wejść do br0,1 a br0 ma dostępne także wszędzie. Żaden z vlanów ma nie mieć dostępu do WANu - tutaj ma być dostępne jedynie połączenie poprzez VPN (ale to później jak się uporam z vlanami).
Wszystko skonfigurowałem tak jak wyżej ze standardowymi opcjami + DHCP. Myślałem że przy najnormalniejszym dodaniu vlanów sieci będą od siebie odseparowane, a tu niestety zonk i bez problemu przy standardowych ustawieniach pinguje z br1 to co jest w b1,br2 i br0. To samo jest w br0. Z wifi natomiast mogę jedynie pingać br0.
Jest może na forum jakaś mądra głowa lub dobra duszyczka, która mogłaby naprowadzić jak to powinno być właściwie skonfigurowane? Można przyjąć że punktem wyjściowym jest własciwie nowo wgrane tomato z czyszczeniem nvramu włącznie. |
| |
|
|
| shibby |
Dodano 23-05-2012 21:39
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
na rtn16 robilem 3 vlany i domyslnie sieci sa od siebie odseparowane. Widocznosc miedzy sieciami trzeba sobie ustawic w lan access. Takie rozwiazanie dziala od ponad miesiaca.
jutro moge sprawdzic na rtn66 ale wydaje mi sie ze tez dzialalo.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| lazik |
Dodano 23-05-2012 22:27
|
Power User
Posty: 356
Dołączył: 09/12/2011 13:09
|
Cytat shibby napisał(a):
na rtn16 robilem 3 vlany i domyslnie sieci sa od siebie odseparowane. Widocznosc miedzy sieciami trzeba sobie ustawic w lan access. Takie rozwiazanie dziala od ponad miesiaca.
jutro moge sprawdzic na rtn66 ale wydaje mi sie ze tez dzialalo.
U mnie właściwie to przez chwilę działało - nie dotykając experymentalnej funkcji z vlanów. Miałem odseparowanie i niby było wszystko OK. Niestety dotknąłem się do Lan access ustawiając br2 do br1 i po tym zabiegu we wszystkich sieciach stała się jasność. Teraz nawet wgranie tomato od nowa nic nie pomaga i zaraz po ustawieniu vlanów są one dla siebie widoczne - coś jest jak mniemam nie tak. |
| |
|
|
| kille72 |
Dodano 24-05-2012 11:23
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Wszystko dziala, sprawdzane na WNR3500Lv1 + Tomato 092.
Zrobilem 3 br tak jak u Ciebie:
- br0: 192.168.0.1 255.255.255.0
- br1: 192.168.3.1 255.255.255.0
- br2: 10.22.0.1 255.255.255.0
3 VLAN-y:
vid1: port 1,2 br0 default
vid2: WAN
vid3: port 3 br1
vid4: port 4 br2
Kompy nie moga sie pingowac z osobnych VLAN-ow. Jak w LAN Access dodalem np. Src br0 + Dst br1 pingowanie dzialalo. Po zlikwidowaniu dostepu w LAN Access znowu byly oddzielone od siebie. Wszystko dziala jak nalezy. Rekomenduje czyszczenie NVRAM. |
| |
|
|
| lazik |
Dodano 24-05-2012 11:35
|
Power User
Posty: 356
Dołączył: 09/12/2011 13:09
|
Cytat kille72 napisał(a):
Wszystko dziala, sprawdzane na WNR3500Lv1 + Tomato 092.
Zrobilem 3 br tak jak u Ciebie:
- br0: 192.168.0.1 255.255.255.0
- br1: 192.168.3.1 255.255.255.0
- br2: 10.22.0.1 255.255.255.0
3 VLAN-y:
vid1: port 1,2 br0 default
vid2: WAN
vid3: port 3 br1
vid4: port 4 br2
Kompy nie moga sie pingowac z osobnych VLAN-ow. Jak w LAN Access dodalem np. Src br0 + Dst br1 pingowanie dzialalo. Po zlikwidowaniu dostepu w LAN Access znowu byly oddzielone od siebie. Wszystko dziala jak nalezy. Rekomenduje czyszczenie NVRAM.
Na tym samym zestawie WNR3500Lv1 + Tomato 092 Big-VPN u mnie też działa. Problem mam na rt-n66u i 92 AIO. Opisywałem jakie są objawy. nvram też czyściłem: Erase all data in NVRAM memory (thorough) w Administration > Configuration > Restore Default Configuration
Jak potestowałem to na koniec zgłupiałem co może być nie tak. Próbowałem pingowanie blokować iptables -I FORWARD -i br1 -o br2 -j DROP ale to zupełnie nic nie daje - wpisy się tworzą (widzę linię przy iptables -L) ale brak opisu czego dotyczą i zero rezultatów. Blokadę po iptables mam tylko przy iptables -I INPUT -i br1 -j DROP - ale to chyba zupełnie nie jest rozwiązanie, bo ping nawet wewnątrz sieci nie lata. |
| |
|
|
| shibby |
Dodano 24-05-2012 15:39
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
sprawdzilem na RT-N66u na dwóch notebookach w róznych VLANach. Domyślnie się nie widzą (nie działa ping) i poprawnie reagują na wszelkie krzyzowe reguły w LAN access typu
A widzi B, B nie widzi A
B widzi A, A nie widzi B
A i B widza sie wzajemnie
I po usunięciu reguł z LAN Access oczywiście:
A i B nie widzą się wzajemnie.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| lazik |
Dodano 24-05-2012 15:46
|
Power User
Posty: 356
Dołączył: 09/12/2011 13:09
|
Cytat shibby napisał(a):
sprawdzilem na RT-N66u na dwóch notebookach w róznych VLANach. Domyślnie się nie widzą (nie działa ping) i poprawnie reagują na wszelkie krzyzowe reguły w LAN access typu
A widzi B, B nie widzi A
B widzi A, A nie widzi B
A i B widza sie wzajemnie
I po usunięciu reguł z LAN Access oczywiście:
A i B nie widzą się wzajemnie.
No dobra czyli coś u mnie jest nie tak zapewne z nvramem. jak to dokumentnie wyczyscic? Jakiś czyścik do Firmware Restoration? |
| |
|
|
| buniaczek |
Dodano 24-05-2012 16:35
|
OL Maniac
Posty: 1166
Dołączył: 28/12/2010 13:05
|
Czyścik znajdziesz w swoim tomato 
Administration -> Configuration -> Restore Default Configuration
a potem wybierasz Erase all data in NVRAM memory
Taki czyścik
Tylko ustaw potem wszystko z palca
-------------------------
Netgear WNR3500L || Tomato-K26USB-1.28 RT5x MIPSR2 101V Big-VPN ||
Asus RT-N56U || Asus firmware 3.0.0.3.135 - wygrania w konkursie na openlinksys.info||
[b]Asus RT-N10U v.B1 [small]
|
| |
|
|
| lazik |
Dodano 24-05-2012 16:47
|
Power User
Posty: 356
Dołączył: 09/12/2011 13:09
|
Cytat buniaczek napisał(a):
Czyścik znajdziesz w swoim tomato
Administration -> Configuration -> Restore Default Configuration
a potem wybierasz Erase all data in NVRAM memory
Taki czyścik
Tym czyściłem - pisałem już wcześniej, że mam wrażenie, że nie dokońca to działa.
Chcesz żebym wszystko z palca w konsoli klepał? Przecież to byłby sequel MI |
| |
|
|
| shibby |
Dodano 24-05-2012 16:48
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
Cytat Tylko ustaw potem wszystko z palca
... tylko ustaw poprawnie 
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| buniaczek |
Dodano 24-05-2012 16:50
|
OL Maniac
Posty: 1166
Dołączył: 28/12/2010 13:05
|
Czyli chcesz powiedzieć ze wyczyściłeś a potem przywróciłeś z backup-u stare ustawienia?
-------------------------
Netgear WNR3500L || Tomato-K26USB-1.28 RT5x MIPSR2 101V Big-VPN ||
Asus RT-N56U || Asus firmware 3.0.0.3.135 - wygrania w konkursie na openlinksys.info||
[b]Asus RT-N10U v.B1 [small]
|
| |
|
|
| shibby |
Dodano 24-05-2012 16:58
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
z palca czyli nie uzywal jakis backupów ustawien tylko wszystko wyklikal od nowa.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| lazik |
Dodano 24-05-2012 16:59
|
Power User
Posty: 356
Dołączył: 09/12/2011 13:09
|
Prawdę mówiąc to nie wiem co w tym można skopać. Domyślne tomato.:
1. Basic > Network > Lan
- dodaję 2 kolejne br1, br2 bez STP i z DHCP włączonym
2. Advanced > VLAN
- dla vid1 wyrzucam port 3 i port4
- dodaję vlan vid3 z portem 3 i wybieram br1
- dodaję vlan vid4 z portem 4 i wybieram br2
* po tym powinno mi nie pingować vlanów
3. Advanced > LAN Access
- dodaję src br2 i dst br1 bo to ma mi przechodzić między vlanami
* mamy ping z br2 do br1
I to tyle co robiłem. Problem mam w tym że po operacji z pkt 2 idą mi pingi między vlanami - nie ma znaczenia jakimi.
Połączony z 24 maj 2012 17:03:11:
Cytat buniaczek napisał(a):
Czyli chcesz powiedzieć ze wyczyściłeś a potem przywróciłeś z backup-u stare ustawienia?
Nie, nigdy tak nie robiłem. Czyściłem i myszką wyklikałem tak jak w poprzednim poście. Za pierwszym razem działało mi to do pkt2 bezbłędnie czyli miałem separację vlanów. Jak tylko dodałem w Lan access src br2 dst br1 zaczęło mi się wszystko pingować - WSZYSTKO. 2x potem jeszcze czyściłem nvram i już zaraz po dodaniu vlanów (pkt2) - bez dotknięcia lan access miałem pingi między vlanami. Dlatego też pytam czy może coś nie tak robię. Powalczę z tym jeszcze w niedzielę a narazie czekam na wszelkie wskazówki.
Edytowany przez lazik dnia 24-05-2012 17:03
|
| |
|
|
| shibby |
Dodano 24-05-2012 19:38
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
a dhcp w vlanach dziala ci dobrze? przydziela ipki z poprawnych sieci? Zarzuc paroma screenami z basic -> networks oraz advanced -> vlan
jak mozesz to pokaz tez /etc/iptables
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| lazik |
Dodano 24-05-2012 20:20
|
Power User
Posty: 356
Dołączył: 09/12/2011 13:09
|
Cytat shibby napisał(a):
a dhcp w vlanach dziala ci dobrze? przydziela ipki z poprawnych sieci? Zarzuc paroma screenami z basic -> networks oraz advanced -> vlan
jak mozesz to pokaz tez /etc/iptables
W niedzielę wam wrzucę screeny - teraz nie mam dostępu do routera.
Jeśli chodzi o dhcp to działa bez problemów - ipki przyznaje zgodnie z ustawieniami.
Połączony z 27 maj 2012 11:53:38:
Wracam do tematu i problemu. Poniżej kroki jakie robię zaraz po czyszczeniu nvram (czyściłem 3x pod rząd tak dla pewności) - nie było żadnych innych zmian w oprogramowaniu - stan domyślny + to co na screenach. Dla opisy dodam, że już po dodaniu 2 vlana pingować mogę z klienta wpiętego do 192.168.3.1 adres 192.168.1.1. Przy dodaniu vlan3 pingi idą też wszędzie. /etc/iptables na końcu zrzucone po wszystkim.
Chain INPUT (policy DROP)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
shlimit tcp -- anywhere anywhere tcp dpt:ssh state NEW
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
Chain FORWARD (policy DROP)
target prot opt source destination
all -- anywhere anywhere account: network/netmask: 192.168.1.0/255.255.255.0 name: lan
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
wanin all -- anywhere anywhere
wanout all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain shlimit (1 references)
target prot opt source destination
all -- anywhere anywhere recent: SET name: shlimit side: source
DROP all -- anywhere anywhere recent: UPDATE seconds: 60 hit_count: 4 name: shlimit side: source
Chain wanin (1 references)
target prot opt source destination
Chain wanout (1 references)
target prot opt source destination
Chain INPUT (policy DROP)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
shlimit tcp -- anywhere anywhere tcp dpt:ssh state NEW
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
Chain FORWARD (policy DROP)
target prot opt source destination
all -- anywhere anywhere account: network/netmask: 192.168.1.0/255.255.255.0 name: lan
all -- anywhere anywhere account: network/netmask: 192.168.3.0/255.255.255.0 name: lan1
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
wanin all -- anywhere anywhere
wanout all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain shlimit (1 references)
target prot opt source destination
all -- anywhere anywhere recent: SET name: shlimit side: source
DROP all -- anywhere anywhere recent: UPDATE seconds: 60 hit_count: 4 name: shlimit side: source
Chain wanin (1 references)
target prot opt source destination
Chain wanout (1 references)
target prot opt source destination
Chain INPUT (policy DROP)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
shlimit tcp -- anywhere anywhere tcp dpt:ssh state NEW
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
Chain FORWARD (policy DROP)
target prot opt source destination
all -- anywhere anywhere account: network/netmask: 192.168.1.0/255.255.255.0 name: lan
all -- anywhere anywhere account: network/netmask: 192.168.3.0/255.255.255.0 name: lan1
all -- anywhere anywhere account: network/netmask: 10.22.0.0/255.255.255.0 name: lan2
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
wanin all -- anywhere anywhere
wanout all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain shlimit (1 references)
target prot opt source destination
all -- anywhere anywhere recent: SET name: shlimit side: source
DROP all -- anywhere anywhere recent: UPDATE seconds: 60 hit_count: 4 name: shlimit side: source
Chain wanin (1 references)
target prot opt source destination
Chain wanout (1 references)
target prot opt source destination
Chain INPUT (policy DROP)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
shlimit tcp -- anywhere anywhere tcp dpt:ssh state NEW
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
Chain FORWARD (policy DROP)
target prot opt source destination
all -- anywhere anywhere account: network/netmask: 192.168.1.0/255.255.255.0 name: lan
all -- anywhere anywhere account: network/netmask: 192.168.3.0/255.255.255.0 name: lan1
all -- anywhere anywhere account: network/netmask: 10.22.0.0/255.255.255.0 name: lan2
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
wanin all -- anywhere anywhere
wanout all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain shlimit (1 references)
target prot opt source destination
all -- anywhere anywhere recent: SET name: shlimit side: source
DROP all -- anywhere anywhere recent: UPDATE seconds: 60 hit_count: 4 name: shlimit side: source
Chain wanin (1 references)
target prot opt source destination
Chain wanout (1 references)
target prot opt source destination
Chain INPUT (policy DROP)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
shlimit tcp -- anywhere anywhere tcp dpt:ssh state NEW
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
Chain FORWARD (policy DROP)
target prot opt source destination
all -- anywhere anywhere account: network/netmask: 192.168.1.0/255.255.255.0 name: lan
all -- anywhere anywhere account: network/netmask: 192.168.3.0/255.255.255.0 name: lan1
all -- anywhere anywhere account: network/netmask: 10.22.0.0/255.255.255.0 name: lan2
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
wanin all -- anywhere anywhere
wanout all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain shlimit (1 references)
target prot opt source destination
all -- anywhere anywhere recent: SET name: shlimit side: source
DROP all -- anywhere anywhere recent: UPDATE seconds: 60 hit_count: 4 name: shlimit side: source
Chain wanin (1 references)
target prot opt source destination
Chain wanout (1 references)
target prot opt source destination
/etc/iptables:
*mangle
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:WANPREROUTING - [0:0]
-A PREROUTING -i vlan2 -d 192.168.1.1/255.255.255.0 -j DROP
-A PREROUTING -i vlan2 -d 192.168.3.1/255.255.255.0 -j DROP
-A PREROUTING -i vlan2 -d 10.22.0.1/255.255.255.0 -j DROP
-A POSTROUTING -o vlan2 -j MASQUERADE
-A POSTROUTING -o br0 -s 192.168.1.1/255.255.255.0 -d 192.168.1.1/255.255.255.0 -j SNAT --to-source 192.168.1.1
-A POSTROUTING -o br1 -s 192.168.3.1/255.255.255.0 -d 192.168.3.1/255.255.255.0 -j SNAT --to-source 192.168.3.1
-A POSTROUTING -o br2 -s 10.22.0.1/255.255.255.0 -d 10.22.0.1/255.255.255.0 -j SNAT --to-source 10.22.0.1
COMMIT
*filter
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-N shlimit
-A shlimit -m recent --set --name shlimit
-A shlimit -m recent --update --hitcount 4 --seconds 60 --name shlimit -j DROP
-A INPUT -p tcp --dport 22 -m state --state NEW -j shlimit
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i br1 -j ACCEPT
-A INPUT -i br2 -j ACCEPT
-A INPUT -p udp --sport 67 --dport 68 -j ACCEPT
:FORWARD DROP [0:0]
-A FORWARD -m account --aaddr 192.168.1.0/255.255.255.0 --aname lan
-A FORWARD -m account --aaddr 192.168.3.0/255.255.255.0 --aname lan1
-A FORWARD -m account --aaddr 10.22.0.0/255.255.255.0 --aname lan2
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -i br1 -o br1 -j ACCEPT
-A FORWARD -i br2 -o br2 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
:wanin - [0:0]
:wanout - [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i br0 -o br1 -j DROP
-A FORWARD -i br0 -o br2 -j DROP
-A FORWARD -i br1 -o br0 -j DROP
-A FORWARD -i br1 -o br2 -j DROP
-A FORWARD -i br2 -o br0 -j DROP
-A FORWARD -i br2 -o br1 -j DROP
-A FORWARD -i vlan2 -j wanin
-A FORWARD -o vlan2 -j wanout
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -i br1 -j ACCEPT
-A FORWARD -i br2 -j ACCEPT
COMMIT
Połączony z 28 maj 2012 18:50:17:
Krótka aktualizacja: dzisiaj próbowałem jeszcze wgrać OFW i potem tomato - może coś siedzie gdzieś w nvramie. Zrobiłem tak że po OFW i tomato poszedłem najpierw do czyszczenia nvramu i oczywiście reboot. Po takim zabiegu i dodaniu brków i vlanów sytuacja jest analogiczne jak pisałem wcześniej. Normalnie dochodzę do przekonania, że to najzwyczajniej bug w oprogramowaniu - tomato. Funkcjonalność ta jest mi niezmiernie potrzebna i teraz pytanie, czy jeśli na tomato dla rt-n 66u jest bug to inne firmware ma ten ficzer i na nim to działa? W sumie potrzebne mi poprawnie działające vlany i vpn. Jakieś podpowiedzi?
Edytowany przez lazik dnia 28-05-2012 18:50
|
| |
|
|
| kille72 |
Dodano 28-05-2012 18:57
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
To musi byc indywidualny problem na 66u. Na 3500Lv1 i 3500Lv2 VLAN-y dzialaja poprawnie. Bug z wykonywaniem skryptow shellowych tez tylko wystepuje na 66u...czarna magia :/
@shibby, bedziesz miec czas wytestuj vlany na swoim 66u. |
| |
|
|
| lazik |
Dodano 29-05-2012 10:02
|
Power User
Posty: 356
Dołączył: 09/12/2011 13:09
|
Próbuję teraz z innymi softami. Wgrałem Tomato Firmware v1.28.0495 MIPSR2-Toastman-VLAN-RT-N K26 USB VPN i sprawa jest identyczna. Naprawdę nie mam wytłumaczenia jak tylko bugiem w tomato. Może shibby się odezwie i coś powie.
@kille72: tak na moim 3500Lv1 też nie ma z tym problemu i działa jak należy. To tylko na 66u jest taka kicha. |
| |
|
|
| shibby |
Dodano 29-05-2012 15:26
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
@kille72 - post nr 6
@lazik - tyle ze u mnie ten problem nie wystepuje. Zdarzają sie indywidualne problemy, tak jak np u mnie na rt-n16 nie dziala multissid. Siec co prawda widac ale nie mozna sie do niej podlaczyc. I to tylko na moim egzemplarzu to nie dziala. Sprawdzilem na 6 innych routerach i jest ok. Czego to wina? Sam Teaman tego nie wie. Podobnie może byc u ciebie z vlanami. Trafiłeś na jeden przypadek na milion. Bede mial chwilke moze jutro to sprawdze jeszcze raz ale jak dotąd vlany robilem na rtn15u, rtn16, rt-n66 i netgear 3500Lv2 i na kazdym dzialaja poprawnie.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| kille72 |
Dodano 29-05-2012 15:31
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Sorry, juz widze Wiec tak jak piszesz, moze to indywidualny przypadek... |
| |
|
|
| lazik |
Dodano 29-05-2012 16:16
|
Power User
Posty: 356
Dołączył: 09/12/2011 13:09
|
Cytat shibby napisał(a):
@kille72 - post nr 6
@lazik - tyle ze u mnie ten problem nie wystepuje. Zdarzają sie indywidualne problemy, tak jak np u mnie na rt-n16 nie dziala multissid. Siec co prawda widac ale nie mozna sie do niej podlaczyc. I to tylko na moim egzemplarzu to nie dziala. Sprawdzilem na 6 innych routerach i jest ok. Czego to wina? Sam Teaman tego nie wie. Podobnie może byc u ciebie z vlanami. Trafiłeś na jeden przypadek na milion. Bede mial chwilke moze jutro to sprawdze jeszcze raz ale jak dotąd vlany robilem na rtn15u, rtn16, rt-n66 i netgear 3500Lv2 i na kazdym dzialaja poprawnie.
OK, rozumiem wytłumaczenie, chociaż nie rozumiem przyczyn - że tak akurat musi być w tym moim egzemplarzu. Normalnie z kupnem trefnego sprzętu mam większe szczęście niż z próbami wygrania w totka. 
Z tych zrzutów jakie podałem cokolwiek wogóle wynika? Coś jest źle?
Czy w v93 było coś w tym grzebane i może ona cokolwiek zmieni?
Połączony z 29 maj 2012 23:47:36:
No to teraz kolejny bug lub kamyczek do ogródka rt-n66u. Skonfigurowałem sobie wszystko od początku tak jak mam w 3500Lv1. Na koniec zostawiłem VPNa. Przed dodaniem VPN mam:
Total / Free NVRAM: 32.00 KB / 3056 (9.33%)
Po dodaniu certyfikatów nvram schodzi do 0 i tomato burzy się by wyczyścić nvram. Co ciekawe przy identycznej konfiguracji 3500L z vpnem pokazuje jeszcze 2556 (7,80%) wolnego nvramu.
Może mi ktoś powiedzieć co to za dziadostwo ten asus?
Edytowany przez lazik dnia 29-05-2012 23:47
|
| |
|
' target='_blank'>Link
