Как я могу определить статические маршруты между двумя подсетями в OpenWRT / LEDE?
Вопрос перенесен сюда согласно этот. Это для покрытия беспроводной сети в отеле.
Что мне нужно объяснено Вот для DD-WRT, но я использую OpenWRT и LEDE. Мне нужно проложить маршруты (шлюзы) между подсетями, но я застрял на этом этапе. В руководстве OpenWRT сказано: https://wiki.openwrt.org/doc/recipes/routedclient
После исправления адреса WAN к точке доступа необходимо добавить статический маршрут со следующей информацией:
IP-адрес: 192.168.2.1 (IP-адрес нашего интерфейса LAN)
Destination LAN NET (требуется в DD-WRT): 192.168.2.0 (наша подсеть интерфейса LAN)
Сетевая маска: 255.255.255.0 (сетевая маска нашего интерфейса LAN)
Шлюз: 192.168.1.30 (IP-адрес нашего WAN-интерфейса)
Не сказано, как это сделать. Я знаю, что обычно есть два пути: временный и постоянный. Как я могу этого добиться? (Я понимаю, что должно произойти, просто не знаю, как это реализовать). Если кто-то захочет узнать, что я пробовал, я буду рад добавить дополнительную информацию.
В качестве попытки я попытался добавить маршрут к маршрутизатору 1 (/ etc / config / network):
# Route to router 3 subnet
config route
option interface lan
# remote subnet that route is for (called destination on dd-wrt i think)
option target 10.0.1.0
# net mask of subnet on router 3)
option netmask 255.255.255.0
# ip address of next hop to destination subnet, router 3 wan
option gateway 10.0.3.1
Если это правильно, могу ли я пинговать 10.0.1.1 с маршрутизатора 3?
Типология
Моя сетевая топология очень похожа на эту, за исключением того, что у меня 3 роутера. Я построил свои подсети по логичной, легко запоминающейся схеме:
Частная (одна подсеть на маршрутизатор; 10.0 для частных сетей)
- 10.0.1.0/24 частная подсеть 1 с маршрутизатором на 10.0.1.1/24 (это также интернет-провайдер через pppeo)
- 10.0.2.0/24 частная подсеть 2 с маршрутизатором в 10.0.2.1/24 (маршрутизируемый клиент)
- 10.0.3.0/24 частная подсеть 3 с маршрутизатором в 10.0.3.1/24 (маршрутизируемый клиент)
Гость (одна подсеть на маршрутизатор; 10,1 для гостевых сетей)
- 10.1.1.0/24 гостевая подсеть 1 с маршрутизатором в 10.1.1.1/24
- 10.1.2.0/24 гостевая подсеть 2 с маршрутизатором в 10.1.2.1/24 (маршрутизируемый клиент)
- 10.1.3.0/24 гостевая подсеть 3 с маршрутизатором в 10.1.3.1/24 (маршрутизируемый клиент)
Все маршрутизаторы подключены к беспроводной сети через внутреннюю беспроводную сеть, как показано на схеме, - каждый со статическим IP-адресом в своей глобальной сети. В моем случае основная сеть - 10.0.1.0/24 (на диаграмме это 192.168.1.0/24).
Ноты
Мне нужен способ маршрутизации (в отличие от WDS или маскарадинга) для гибкости добавления уровней безопасности (например, присоединение к гостевым подсетям через несколько точек доступа, присоединение к частным подсетям через несколько точек доступа, изоляция гостей от частной сети, предоставление всем доступа к Интернет). Я просто хочу войти в маршрутизатор 2 или 3 и запустить ping 10.0.1.1 и получите ответ! Я получаю только «pingto: sendto: Сеть недоступна».
Использование OpenWRT на Icidu (переименованный TL-wr1043ND, взломанный) и LEDE на Linksys WRT1900WC.
Маршрутизатор на 192.168.1.0/24 должен иметь маршрут для 192.168.2.0.24 через 192.168.1.30. Вы можете добавить это к отдельным устройствам в этой сети.
Беспроводной маршрутизатор должен направлять весь трафик на 192.168.1.0/24 на маршрутизатор с адресом 192.168.1.1. Однако это может быть маскирующий (NATing) трафик. Отключите маскировку для трафика на 192.168.1.1/24, если вы хотите, чтобы устройства на 192.168.1.0/24 могли подключаться к устройствам на 192.168.2.0/24.
Добавьте маршрут в панели управления роутера на 192.168.1.1, сохраните и примените. Это должно сделать его стойким. Добавление маршрута путем выполнения команды маршрутизации не будет постоянным. Однако, если вы можете добавить команды для запуска при перезагрузке, это также будет постоянным.
Маршрутизируемое сетевое решение с OpenWRT или LEDE.
Возможно, самое сложное - это настройка дополнительных маршрутизаторов. Здесь я в качестве примера привожу свои изменения (а не файлы целиком) для маршрутизатора 3.
Маршрутизатор 3
/etc/config/network
Настройте LAN-сеть: я хочу, чтобы клиенты на маршрутизаторе 3 получали IP-адрес от маршрутизатора 3 (IP-адрес отличается от IP-адреса других маршрутизаторов:
config interface 'lan'
option ifname 'eth1'
option type 'bridge'
option proto 'static'
option ipaddr '10.0.3.1'
option netmask '255.255.255.0'
Обратите внимание, что WAN остается в режиме DHCP, поэтому он может получить IP-адрес (10.0.1.3) от маршрутизатора 1.
# WAN ACQUIRES IP FROM ROUTER 1
config interface 'wan'
option ifname 'eth0'
option proto 'dhcp'
Добавьте статические маршруты к другим подсетям (целями являются другие подсети)
# ADD STATIC ROUTE TO ACCESS SUBNET 10.0.1.0 from 10.0.3.0
config route
option interface 'lan'
option target '10.0.1.0'
option netmask '255.255.255.0'
option gateway '10.0.1.3'
# ADD STATIC ROUTE TO ACCESS SUBNET 10.0.2.0 from 10.0.3.0
config route
option interface 'lan'
option target '10.0.2.0'
option netmask '255.255.255.0'
option gateway '10.0.1.2'
# Gateway - This must be set to the IP address of the next hop to the
# destination subnet which in this case is the WAN IP of Router2 and Router3.
# In networks with more devices the next hop may not be the device that is
# directly connected to the subnet.
/etc/config/dhcp
Пришлось внести незначительные изменения в dnsmasq конфигурация. Здесь я избавляюсь от необходимости управлять DNS на всех клиентах, перенаправляя все запросы на маршрутизаторе 3 на один DNS на маршрутизаторе 1. К сожалению, у меня все еще оставалось вручную разрешить перепривязку домена для некоторых вещей, что противоречит цели.
config dnsmasq
option domainneeded '1'
option boguspriv '1'
option filterwin2k '0'
option localise_queries '1'
option rebind_protection '1'
option rebind_localhost '1'
option local '/lan/'
option domain 'lan'
option expandhosts '1'
option nonegcache '0'
option cachesize '1000'
option authoritative '1'
option readethers '1'
option leasefile '/tmp/dhcp.leases'
option resolvfile '/tmp/resolv.conf.auto'
option localservice '1'
# CHANGE
list server '10.0.1.1'# Clients will still call 10.0.3.1 but dns list is at router 1
list rebind_domain '.mydomain.com' # Allow rebind to web server hosted on 10.0.1.x
list rebind_domain 'plex.direct'
/etc/config/firewall
Это самая сложная часть, потому что если вы все испортите, ничего не получится. Поскольку маршрутизатор 3 находится за маршрутизатором 1, и я знаю, что маршрутизатор 1 безопасен (моя другая подсеть в отличие от Интернета), я открыл WAN, чтобы разрешить межсетевое взаимодействие.
config zone
option name 'wan'
list network 'wan'
list network 'wan6'
# CHANGE FOR AUX ROUTER WAN. NORMALLY REJECT.
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
# CHANGE. NO NEED TO MASQUERADE WHEN ROUTING.
option masq '0'
option mtu_fix '1'
# CHANGE. ADDED FOR SUBNET 1 TO SUBNET 3 COMM
config forwarding
option src 'wan'
option dest 'lan'
config forwarding
option src 'lan'
option dest 'wan'
# CHANGE. ADDED TO TRY AND FORCE ALLOW LAN PING
config rule
option name 'Allow-Ping-LAN'
option src 'lan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
Вам также необходимо добавить этот материал на все маршрутизаторы, поэтому расходы на обслуживание возрастут.
config rule
option name 'Allow-Avahi'
option src 'lan'
option dest 'lan'
option dest_port '5353'
option proto 'udp'
option target 'ACCEPT'
option src_port '5353'
config rule
option name 'Allow-PlexLocalStuff'
option src 'lan'
option dest 'lan'
option dest_port '32410 32412 32413 32414 1900 3005 32469 8324'
option proto 'udp'
option target 'ACCEPT'
option src_port '32410 32412 32413 32414 1900 3005 32469 8324'