Mais um artigo da série sobre o OpenWRT.
No artigo anterior, comentei sobre o uso de múltiplas redes wireless. Hoje, vou falar sobre múltiplas redes LAN.
Em geral, os roteadores possuem duas interface de rede cabeadas: LAN e WAN. A primeira representa as portas da rede local, normalmente umas 4 ou 5 delas. A segunda é utilizada para a conexão ao enlace superior, o que normalmente é a sua conexão com a Internet. Na figura abaixo, a porta azul é a WAN, enquanto as amarelas são para a conexão LAN.
Neste roteador com OpenWRT, a eth0 "representa" o acesso as várias portas da rede local (as amarelas). Fazendo uma analogia com um computador, o que existe "dentro da caixa" é um switch de 4 portas externas e uma interna (chamada CPU), sendo esta interna conectada à interface eth0. A eth0, por padrão, é agregada com a interface wireless, wlan0, para que as duas redes troquem pacotes. Tudo isto já comentei anteriormente. A figura seguinte ilustra aproximadamente esta "rede interna".
Este arranjo também muda de equipamento para equipamento. Tem casos onde a porta WAN está neste switch e eth1 não existe, outros a wireless é eth1 e assim por diante.
Este arranjo também muda de equipamento para equipamento. Tem casos onde a porta WAN está neste switch e eth1 não existe, outros a wireless é eth1 e assim por diante.
Como qualquer interface de rede no OpenWRT, a sua finalidade pode ser reajustada de acordo com a necessidade do administrador. Caso não fosse necessário a conexão com a Internet, como no caso de um access-point, a interface eth1 poderia ser anexada junto na interface LAN, operando como uma quinta porta local. Porém, o mais interessante não é juntar as interfaces mas sim, dividi-las.
Se seu roteador suportar o recurso de VLAN (olhe a coluna VLAN no site do OpenWRT), você poderá dividir estas portas em redes isoladas. VLAN é uma tecnologia de Virtualização de Redes Locais. Ela foi criada para que o isolamento entre duas redes pudesse ocorrer dentro de um switch e não exigir toda uma estrutura em paralelo. Assim, parte das portas de um switch podem pertencem a uma rede enquanto outras pertencem a uma segunda rede, sem comunicação entre elas. A troca de pacotes entre as redes é intermediada por um roteador, que pode controlar quem troca que pacotes com quem.
Dica: recomendo que as configurações do switch interno sejam feitas pela rede wireless, uma vez que esta não participa do switch. Assim, será mais difícil que uma mudança de configuração resulte em falta de conectividade.
Para configurar, vá para a configuração de rede, switch. Se não estiver habilitado, habilite o recurso de vlan. Você notará que já existe uma vlan 1 com todas as portas marcados como "não etiquetadas/not tagged". O que é esta etiqueta? Vou tentar explicar em poucas linhas.
VLAN são identificadas por um número único na rede local, chamado de VLAN ID. A VLAN padrão nos diversos equipamentos de rede no mercado é a de número 1. As outras, 2, 3, etc, são criadas de acordo com a necessidade do administrador.
As portas do switch podem estar em 2 estados básicos: pertencer a uma VLAN (estado "não etiquetado") ou não pertencer a uma VLAN (estado "desligado"). O primeiro, "não etiquetado", faz com que a porta envie e receba pacotes da VLAN correspondente. Cada porta pode estar presente em apenas uma VLAN para não misturar os tráfegos. Se selecionar para uma mesma porta duas VLANs como "não etiquetadas", a configuração não irá salvar e você receberá uma bela mensagem de erro. O outro estado, como o nome sugere, informa que esta porta está "desligada" da VLAN.
E quanto a esta "etiqueta"? A limitação de uma VLAN por porta não resolve todos os problemas. Porém, as VLANs não podem se "misturar" em uma mesma porta. Para resolver este problema, foi criada as etiquetas (tags) do protocolo 802.1Q. As etiquetas, nada mais são que um envelope envolvendo o pacote IP e informando de qual VLAN aquele pacote pertence. Assim, os pacotes da VLAN marcada como "etiquetado" recebem uma camada extra com o ID da VLAN de destino enquanto os "não etiquetado", onde a VLAN é chamada de VLAN nativa, são enviados normalmente pela rede.
Temos então 3 opções:
- "desligado" significa porta não está naquela VLAN;
- "não etiquetado" significa porta está naquela VLAN e somente nesta;
- "etiquetado" significa porta está naquela VLAN mas todos os pacotes vindo desta ou destinados para ela serão envolvidos em um envelope.
Este "envelope" faz com que os sistemas operacionais e demais equipamentos de rede não reconheçam-no como um pacote IP normal. Contudo, tantos os switches e roteadores como os sistemas operacionais tem suporte, quando configurado, para interpretar estas etiquetas.
Vamos então a um exemplo simples onde 2 das quatro portas serão configuradas para uma outra rede. Ainda em rede, switch, crie uma nova VLAN. O número não importa muito, desde que seja único na rede. Nesta nova VLAN, marque a porta CPU como "etiquetado/tagged", e as portas 3 e 4 como "não etiquetado/not tagged". Como somente uma VLAN pode ter a porta como "não etiquetado", configure as portas 3 e 4 na VLAN 1 como "desligado". Aplique as configurações. Isto irá criar uma nova interface, eth0.2, onde 2 é o ID da VLAN. Ela pode ainda estar abaixada mas já vamos resolver isto. E a porta 5? Todas as configurações que eu fiz nela foram inócuas. Pela pesquisa que eu fiz, é uma porta de gerenciamento.
Agora precisamos criar uma nova interface para esta rede. Vá para "Rede" e "Interfaces" e adicione uma nova interface. Você irá notar que existe uma nova interface chamada de "Interface VLAN: "eth0.2"". Selecione ela e configure a sua nova interface como desejar. Só não esqueça de utilizar uma faixa de endereços independente das demais interfaces. Ajuste o firewall "a gosto".
Agora que já passamos pelo MultiWLAN e MultiLAN, no próximo artigo vou comentar como criar uma MultiWAN, com balancemento de carga e redundância entre diversas conexões com a Internet.
Até mais.
Ola, possuo um tplink 3220 e um tplink 3420 com openwrt aa 12.09 funcionando perfeitamente. já li e reli varias vezes para estar configurando uma vlan mas não obtive sucesso. é necessário que o cabo de rede estagia conectado na respectiva porta para estar configurando uma vlan ou eu consigo estar configurando uma faixa de ip na respectiva vlan sem o cabo estar conectado nela?
ResponderExcluirJúlio, a conf não depende do link na porta. Contudo, você pode usar o cabo para mapear as portas. Nem sempre elas estão na ordem. O swconfig mostra a sua conf de vlan.
ExcluirMuito Bom
ResponderExcluirExcelente artigo ! Muito bem explicado. Obrigado.
ResponderExcluirOla Luiz
ResponderExcluirNo meu tp-link wr741nd configurei na VLAN 1 CPU, porta 1 2 3 como etiquetado e porta 4 desligado.
Na VLAN 2 coloquei a porta 4 não etiquetado.
Porém ao reiniciar o roteador fiquei sem acesso ao roteador em nenhuma porta. Ele não fornece IP.
O projeto é ligar 4 links de internet na porta WAN e nas 3 portas LAN controlado pelo multiwan e deixar a porta 4 para fornecer a internet a um swtch.
O que fiz de errado? como restauro o acesso ao meu roteador?
Não entendi... Queres usar 3 portas da LAN e a WAN para internet e a uma porta LAN ficar como estava?
ExcluirPortas etiquetas não sai reconhecidas por padrão pelos equipamentos. Linux suporta falar com elas mas precisa de conf especial. Deixe somente a porta CPU como etiquetado. Na segunda VLAN, também deixe a CPU como etiquetado.
Para acessar o roteador, pode ativar o modo de recuperação e editar /etc/config/switch ou simplesmente zerar as confs. Alternativamente, pode configurar um Windows ou Linux como uma interface virtual VLAN para etiqueta 1 (normalmente ele pega o número da TAG pelo nome). http://lmgtfy.com/?q=Configurar+VLAN+Linux#seen
Sim, quero a porta WAN original + 3 portas LAN usadas como WAN e 1 porta LAN para distribuir a internet das 4 portas na rede interna.
ExcluirFiz e refiz vários testes mas não consegui chegar nessa configuração desejada.
Acho que mesmo tendo o modulo de VLAN no meu TP-Link WR741ND v. 4.20, ele não consegue gerenciar a VLAN.
Tem outra FW que possa me atender nessa configuração?
AK, deve ter sim a vlan funcionado. É algo na sua configuração.
ExcluirVocê terá que criar uma vlan para cada porta WAN (vlan2, vlan3, vlan4, vlan5) e configurar uma interface wan nova para
cada uma delas. O que elas podem compartilhar é apenas a zona do firewall (wan).
O openwrt é suficiente para a sua necessidade. Não conheço outro que facilitasse esta configuração.
Bom dia!
ResponderExcluirComo configuro uma porta trunk para comunicar com outro roteador?
O conceito trunk varia para cada produto mas normalmente é uma porta coringa que aceita todas as vlans. É uma facilitadora para evitar que você configure todas as vlans como etiquetadas na porta de uplink. Nunca vi este conceito em Linux.
ExcluirSe colocar todas as vlans que possam passar pelo roteador como etiquetadas na porta de uplink, ele vai funcionar como uma trunk.
Bom dia, estou com um roteador Tp link wr740n v4, minha porta wan queimou, agora preciso usar a porta uma das portas lan com wan, poderia me ajudar? uso o openwrt.
ResponderExcluirOlá, eu sou iniciante no OpenWRT, estou querendo separar duas das portas do meu roteador para uma lan(Minha_Rede) e duas portas para uma VLAN(Rede_Convidado) que eu criei juntamente com outra rede WiFi(WiFi_Convidado), fiz tudo do jeito que está no tutorial mas não deu certo.
ResponderExcluirA rede WiFi consegue separar as redes certinho mas as portas físicas(switch) não conseguir separar para as duas redes.
Por padrão ele aparece assim:
=======================================================================================
ID DA VLAN | CPU | PORTA 1 | PORTA 2 | PORTA 3 | PORTA 4 |
----------------|-------------|-------------|-------------|-------------|-------------|
| | | | | |
1 | NÃO MARCADO | NÃO MARCADO | NÃO MARCADO | NÃO MARCADO | NÃO MARCADO |
=======================================================================================
Depois segundo o tutorial deverá ficar assim:
=======================================================================================
ID DA VLAN | CPU | PORTA 1 | PORTA 2 | PORTA 3 | PORTA 4 |
----------------|-------------|-------------|-------------|-------------|-------------|
| | | | | |
1 | NÃO MARCADO | NÃO MARCADO | NÃO MARCADO | DESLIGADO | DESLIGADO |
----------------|-------------|-------------|-------------|-------------|-------------|
2 | MARCADO | DESLIGADO | DESLIGADO | NÃO MARCADO | NÃO MARCADO |
=======================================================================================
Pois bem, acontece que se eu deixar alguma porta desligada na VLAN1 essa porta não conecta nenhuma rede, se eu marcar como não-etiquetado ou etiquetado alguma porta na VLAN1 também não faz diferença, pois só depende da porta CPU, Se na VLAN1 a porta CPU estiver etiquetado as portas que não estiveram rotulados como desligado conectaram a VLAN1(Rede Convidado), Se na VLAN1 a porta CPU estiver desligado nenhuma porta do switch funcionará. Se a porta da VLAN1 estiver como não-etiquetado obedecerá as configurações da VLAN2 para todas as portas que ocorrerá da mesma maneira que a VLAN1.
Também tentei fazer a configuração usando duas redes virtuais VLAN1(Minha_Rede) e VLAN2(Convidado) mas também não deu certo.
Será que você poderia me ajudar?
Desde Já agradeço, e parabéns pelos conteúdos sobre OpenWRT.
OBS: Equipamento TP-Link WR740N v.4
OK, a parte da vlan deve estar correta. O resultado é ter uma eth0 (para vlan1/lan) e eth0.2 (para vlan2).
ExcluirSem associar a eth0.2 com uma interface no OpenWRT, ela não vai ter muita utilidade mesmo. É quase equivalente a
não ter configurado a porta CPU para esta VLAN pois o OpenWRT não sabe o que fazer com ela. Serviria apenas para ligar entre si equipamentos conectados na porta 3 e 4, mas não com o roteador ou com as demais portas.
Acho que só faltou colocar a eth0.2 em brige com a wlan dos convidados. Na configuração da interface dos usuários, marque para esta criar uma ponte entre vários dispositivos e selecione tanto eth0.2 como o dispositivo da wifi com o SSID convidado.
A etiquetagem na vlan1 para portas deve torná-la sem resposta para equipamentos normais (que não entendem 802.1Q).
Marcar a vlan1 como etiquetado vai apenas trocar a eth0 para eth0.1. Se as configurações da interface LAN forem mantidas, tudo continuará a funcionar. Normalmente eu gosto de usar eth0.1 (etiquetado) no lugar de eth0 quando existir outra eth0.x (mas vai do gosto do cliente e não muda o resultado). Roteadores que só tem uma interface tanto para LAN como WAN já trabalham desta forma, com eth0.1 para LAN e eth0.2 para a porta WAN.
Ok, entendi, consegui configurar tudo certinho aqui, agora tenho 4 Interfaces configuradas, Minha_Rede,Rede_Cliente,Rede_Convidado e Internet, uso 2 portas switch para conectar Minha_Rede, 1 porta switch para conectar Rede_Convidado que também é na minha casa, deixei 1 porta switch para Rede_Cliente(Casa do vizinho, pois compartilho internet com ele) e 1 porta para WAN(Provedor de internet).
ExcluirAté aí está uma maravilha, porém quando falta energia ou quando preciso desligar o roteador, ele não inicia automaticamente as rede, apenas inicia a Minha_Rede, as demais tenho que acessar pela web e clicar em conectar para elas ficarem ativas.
Minha dúvida é, tem alguma maneira de fazer elas iniciarem automaticamente?
Tem algum comando que eu possa colocar no campo do Menu Startup?
Naquela caixa com nome:Local Startup
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
exit 0
A interface, em avançado, tem a opção de iniciar junto com o sistema. Deve ser isso que falta.
ExcluirDe qualquer forma, o comando para levantar manualmente a interface (equivale ao conectar) seria 'ifup nomeDaInterface'
Obrigado Luiz deu certo aqui, agora um novo desafio, seria instalar e configurar um servidor FTP no OpenWRT, é possível?
ExcluirSó lembrando que o meu roteador é um WR740N (não possui porta USB).
Sim, é possível instalar um FTP no OpenWRT. Só normalmente não tem muito motivo. Você já pode copiar arquivos pelo scp sem qualquer mudança. Se quiser hospedar conteúdo, também tem um servidor HTTP rodando. Fora outras opções como CIFS.
ExcluirFTP (em qualquer ambiente) é uma desgraça. :) Tem problema com NAT, firewall, segurança, proxy, etc. Enfim, não foi pensado para a infraestrutura atual. Se precisa de algo mais simples, WebDAV é um substituto natual.
De qualquer forma, no seu roteador você deve ter no máximo uns 300kBytes livres. Talvez não tenha nem o espaço para a instalação do servidor FTP e, mesmo se tiver, não tem espaço para armazenar arquivos. Mesmo os roteadores melhores têm armazenamento medido em dezenas de MBytes. Nada útil para hospedar conteúdo. Então, se quer um roteador com esta função, vai precisar de uma USB.
OK, desisti da ideia de FTP, gostaria de fazer um controle da banda internet entre as redes que criei pela interface LUCI, como posso está fazendo para instalar e configurar esse controle de banda?
ExcluirDesde já agradeço.
Podes "equilibrar a rede" se recorreres ao QoS..
Excluir(o SQM requer mais espaço e esse router é limitado .. e por experiência própria o QoS faz o serviço)
FTP como já foi dito é mau .. mas OpenVPN é um excelente recurso nos OpenWRT/LEDE
Pierre,
ExcluirAcho que você não terá espaço nem para instalar os módulos de kernel necessários e o gerenciador "tc". Se conseguir, qualquer tutorial linux sobre esse tema ou receita de bolo usando o tc deveria funcionar. Se for usar uma script, sugiro colocar em /etc/firewall.user.
Muito bom, eu fiz aqui com meu openwrt criei a rede 192.168.1.0/24 e 10.1.10/30 no entanto as duas redes se comunicam entre si. Isso não entendi pois a VLAN é justamente para as redes não se comunicarem. Tem alguma configuração adicional no openwrt ? Obrigado.
ResponderExcluirOwercrash, sim, você precisa desativar o encaminhamento entre as vlans. Edite uma delas e desabilite o encaminhamento de e para a outra vlan. Se elas só precisam falar com a internet mas não entre elas, só vai ficar o encaminhamento para a wan.
ExcluirVocê também pode optar por deixar um dos sentidos do encaminhamento habilitado, caso queira que 192.168.1.0/24 conecte na 10.1.10/30 mas não o inverso.
Olá, tenho um TP LINK WR741N com OPENWRT, segui os passos para criar uma VLan, mas ao aplicar, o roteador fica inacessível. Tenho que fazer um reset para ele voltar a configuração padrão para conseguir acessa-lo novamente, você sabe me dizer o porque desse erro? E como abrir portas por ele também?
ResponderExcluirOlá Unknown,
ExcluirInfelizmente é complicado dizer o que está errado. Ao fazer as mudanças na interface web, você pode salvar sem aplicar. Lá no topo ele tem um botão para mostrar as mudanças. Talvez com essa informação eu consiga te ajudar. Provavelmente você modificou algo na porta CPU da vlan 1, que não deve ser alterada. A wifi é independente da vlan e deve estar funcionando mesmo com a vlan1 fora. Você pode utilizá-la para tentar diagnosticar o problema.
Os tl-wr740/741 não precisam do recurso de vlan para o uso normal pois a wan tem uma segunda interface dedicada. Acho que até em versões não muito velhas, a vlan nem estava ativada por padrão. Se for o caso, talvez algo a mais esteja sendo alterado, como o dispositivo da interface lan (ex: eth0 para eth0.1).
Olá Luiz,
ResponderExcluirCheguei a abrir um post no fórum do OpenWRT.. (https://forum.openwrt.org/viewtopic.php?pid=364944#p364944) sobre este assunto.
Estava tentando fazer um Double NAT.. operadora Vivo (RTF3507VW-N1), mas desisti, e decidi partir para VLANs.
Meu OpenWRT é um TL-WR1043ND v1.x com Chaos Calmer 15.05.1.
Configurei uma nova interface adicionando a uma VLAN 3 como DHCP client, marquei Default Gateway e a mesma zona de firewall da LAN. Seria para a porta 4, assim deixei tudo em Off, exceto pela porta 4 untagged, bem como a CPU que deixei em tagged.
O OpenWRT pega IP do router da Vivo, e cria uma rota default para a interface br-vivo com Default Gateway 192.168.15.1 (/24) (Router Vivo), porém a LAN (192.168.1.0/24) não alcança este IP... Quase não tenho experiência com a parte de rede em Linux. Saberia dizer o que estou errando?
Obrigado
opa, lendo algumas respostas eu deveria deixar as vlans 1 e 3 em bridge, posteriormente eu poderia filtrar com o firewall. Vou tentar mais tarde, obrigado.
Excluirao colacar a interface lan em bridge com a nova interface, a nova não pega ip. Mesmo se colocar manualmente o ip, ele não reconhece. Ao dar route -n a interface não aparece. Quando segmento.. o route -n aparece como deveria, mas o Openwrt não divulga a nova rede para a LAN...
ExcluirOlá fpasetto,
ExcluirA VIVO está entregando só ip falso para você? https://en.wikipedia.org/wiki/Carrier-grade_NAT ?
Antes, com IP real, funcionava o acesso de fora e agora com o NAT da VIVO não?
Se for isso, não tenho muitas esperanças para você.
Não tem IPv6 funcionando?
Então... quando mapeio o NAT da porta X para meu PC (enquanto na rede do roteador da Vivo), consigo chegar na aplicação. Sobre o Double-NAT joguei o NAT para o IP da WAN do OpenWRT, e traduzi de lá para o meu IP interno, que não funciona (se tento conectar direto na porta de WAN do WRT funciona)... mas double NAT é um problema mesmo. Enquanto mapeio as VLANs, cheguei a criar uma rota estática no router da Vivo para a interface interna, mas não vai.
ExcluirEstou pensando em usar a mesma rede, e tentar filtrar o firewall por porta.
fpasetto, se existir uma NAT na vivo que você não controla, provavelmente você não terá como encaminhar uma porta do endereço IP real para seu equipamento.
ExcluirSe tiver IPv6 tanto neste ponto como do local onde você vai querer conectar, tudo fica mais fácil. Todos os endereços IPs são reais e o acesso só é filtrado pelo firewall do seu roteador. Hoje em dia, é interesse das operadoras oferecer IPv6. Então, se você precisar e não estiver funcionando, dá uma ligada para eles. Talvez precise trocar alguma coisa.
Olá Luiz, tudo bem ?
ResponderExcluirAmigo estou tendo um problema ao fazer o VLAN no Openwrt 15.05 funcionar
A forma que estou a fazer é o seguinte:
1- Crio as interfaces Wlan com os respectivos SSID's
2- Crio as interfaces Vlan na opação Switch dai fica VLAN ID 1, 2, 3, 4
3- Crio as 4 interfaces diferentes Network c/ IP e DHCP p/ os clientes depois marco a opçao "creates a bridge over specified interface" e marco WLAN + Vlan sendo um par p/ cada vlan id
4- Volto p/ opção switch e ficaram assim:
=======================================================================================
ID DA VLAN | CPU | PORTA 1 | PORTA 2 | PORTA 3 | PORTA 4 |
-----------|--------|----------|-----------|-------------|-------------|-------------|
1 | TAGGET | UNTAGGET | OFF | OFF | OFF |
-----------|--------|----------|-----------|-------------|-------------|-------------|
2 | TAGGET | OFF | UNTAGGET | OFF | OFF |
-----------|--------|----------|-----------|-------------|-------------|-------------|
3 | TAGGET | OFF | OFF | UNTAGGET | OFF |
-----------|--------|----------|-----------|-------------|-------------|-------------|
4 | TAGGET | OFF | OFF | OFF | UNTAGGET |
=======================================================================================
Ao resumo, nos Wlan's consigo fazer funcionar mais no Vlan apenas 1 que funciona, porta funciona
as demais portas do router, nao conseguem gerar IP p/ os clientes
e sempre que que dou reboot ao voltar o router não da o start nem na unica vlan que ficou ok, dai volta a rede pro modo default 192.168.1.1
sendo que em cada interface criada eu deixei ativa a função " Bring up on boot "
Gostaria de saber aonde estou errando, desde já muito obrigado
fico aguardando sua ajuda.
Olá colega, eu também uso OpenWRT, e acho que posso te ajudar, só não sei se entendi direto o que vc está tentando fazer, quer deixar 4 redes clientes? Cada uma delas com direito a uma porta no switch e uma rede wireless? Isso é fácil de resolver, mas vc não falou sobre a internet, vai querer compartilhar internet que chega na porta wan por exemplo? Se sim vc terá que definir no firewall, ficará com redes independentes (com ip diferentes em cada interface).
ExcluirMas a princípio sobre as Vlan vc deixa assim:
Vlan1 CPU:Untagged port1:Untagged port2/port3/port4:OFF
Vlan2 CPU:Tagged port2:Untagged port1/port3/port4:OFF
Vlan3 CPU:Tagged port3:Untagged port1/port2/port4:OFF
Vlan4 CPU:Tagged port4:Untagged port1/port2/port3:OFF
e lembrando de deixar a opção acima marcada (Enable VLAN functionality).
Ainda tem uma observação a fazer, aconselho vc ir conectando um cabo em cada uma das portas e observar o número da porta correspondente porque a port1 1 na configuração poderá ser equivalente a porta Lan4 do roteador, a port2 da configuração poderá ser a porta Lan1. Isso é só um exemplo, no meu está assim a ordem das portas:
Lan1=port2 Lan2=port3 Lan3=port4 Lan4=port1
As dúvidas que surgirem coloca aí que se deu puder ajudarei, se não deixarei pra o Luiz que é Expert no assunto.
Olá Pierre, amigo inicialmente desde já quero lhe agradecer por sua ajuda, é assim que funciona mesmo no mundo OPENSOURCE um ajuda o outro ! Lo/ Eu sou novo no mundo Linux, mais todos os dias estudo mundo, p/ poder um dia chegar ao ponto de ajudar os novatos e assim por diante.
ExcluirPierre, fiz os pressets a forma que vc falou, e funcionou perfeitamente nas VLAN 2,3 e 4 no caso a minha VLAN 1 ela ainda ficou no modo default 192.168.1.1
Bem diferente de ontem que estavam a funcionar aleatoriamente, e sei bem que ontem ainda encontrei mais um erro nas minhas configurações.
Ontem ao criar as interfaces, baseado em uma documentação que achei no forum OpenWRT que lá fui orientado a deixar o IPv4 broadcast: ***.***.***.254
dai lá no modo DHCP da interface era pra deixar no modo default sendo do .100 até .150
mais percebi que as vezes que o meu VLAN conectava ele leberava ip pros clientes com o final ***.***.***.222
dai vi essa falha, e corrigir no DHCP dos clientes para ficar sempre do .100 até o .254
se tem muito haver ou não eu nao sei rsrs, mais foi a hora que ele realmente passou a funcionar melhor rsrsrs
mais voltando ao assunto, aqui no meu LAB tenho varios Routers pra teste
e pude perceber que alguns ficam com as suas portas Fisicas mapeadas no firmware de forma aleatoria, mais é de boa é só indentificar direitiinho e ja era rsrsrs
Ai aqui no meu LAB. DE TESTES ficou assim:
SSID: 01.ADMINISTRATIVO
VLAN PORT01: 01ADMINISTRATIV
IP: 192.168.10.1
SSID: 02.COMERCIAL
VLAN PORT02: 02COMERCIAL
IP: 192.168.20.1
SSID: 03.FINANCEIRO
VLAN PORT03: 03FINANCEIRO
IP: 192.168.30.1
SSID: 04.ATENDIMENTO
VLAN PORT04: 04ATENDIMENTO
IP: 192.168.40.1
Como eu disse, as VLAN's 2,3 e 4 ficaram otimas ! Mais tarde vou criar mais VLAN's neste Router e Vou testar com um Swicth VLAN 24P que tenho aqui, dai quero ver se o OPENWRT aguenta gerenciar muitas redes ! rsrsrs
Outra Duvida que continuo a ter é na parte dos Firewall, eu não mexi em nada dentro do OPENWRT, o que devo fazer? la nas documentações
no forum tem explicando mais, eu não entendi o conceito aplicado.
Poderia me ajudar ??
Vou pedir licença para entrar na conversa :)
ExcluirComo dica geral, sugiro que faça passo a passo cada mudança para descobrir onde o que você fez não surtiu o efeito desejado. Faça backups também. Eles ajudam em muito a voltar ao passo anterior. Nestes testes, é legal não aplicar as mudanças e aplicar de uma vez (clicando no aviso superior direito), pois ele vai dizer exatamente o que está sendo modificado. É ótimo para reverter sem precisar zerar tudo.
Na sua primeira mensagem, aparentemente está tudo OK. Deveria continuar funcionado desde que a porta CPU fosse originalmente tagged. Se você teve que mudar de untagged para tagged, vai precisar também trocar na interface vlan de eth0 para eth0.1. Depois do reboot, deve ainda estar funcionando na primeira porta/SSID.
A dica do PIERRE é boa, de usar um cabo para detectar a porta. Nem sempre está certo o mapeamento. E se não estiver, é bom reportar o bug.
Se não souber o que está fazendo e o porquê, nunca mude o endereço de broadcast. Ele vai gerar uns efeitos engraçados...
Quanto ao DHCP, a faixa deveria ser respeitada. Se não está, é alguma outra coisa. Podemos tentar resolver isso mais adiante se ainda for um problema.
Não existe um limite artificial de quantas redes o OpenWRT pode aguentar. Na verdade, não é o número de redes que vai importar, mas o número de conexões que seu hardware vai conseguir gerenciar, em especial quando tem NAT envolvido. Até mesmo o número de vlans não precisa se limitar pelo número de portas físicas (como você configurou). Se o switch tiver suporte para 802.1Q (vlan tag), pode passar todas por um único cabo, com as vlans tagged.
A parte do firewall é fundamental. A princípio as interfaces não tem uma zona de firewall configurada e não vão se falar nem falar com a internet. Você precisa colocar as novas interfaces em uma zona do firewall. Se você quer que todas as vlans falem com todas as outras sem restrição, pode botar todas na zona lan. Contudo, quando quiser restringir alguma coisa (ex: máquinas do atendimento não falam com o financeiro), vai precisar criar uma nova zona para cada grupo.
Um bom princípio é copiar as regras da zona lan e controlar a comunicação da vlan com a internet e com as outras vlans.
No Firewall vc pode configurar permissão de acesso a portas e dispositivos através dos protocolos de rede, inclusive pode liberar o acesso ao roteador através da internet se ele estiver recebendo ip da internet diretamente, pode deixar essas rede que vc criou utilizando VLAN todas isoladas umas das outras, para isso basta definir uma zona de firewall diferente para cada uma das interfaces criadas, como exemplo vc pode clicar para editar lan sem fazer alterações, apenas para vc vê como está configurado para adicionar as outras zonas de firewall que serão as redes isoladas. Não sei se essa configuração é interessante para vc, para mim é, pois eu tenho no meu roteador 3 redes isoladas, uma para meu uso pessoal onde compartilho informações com meus dispositivos em bridge uma uma interface wifi (MINHA REDE), outra eu deixo apenas para quem chega aqui em casa e quer o wifi que está em bridge com uma VLAN só para acesso wifi mas está em outra rede isolada sem acesso aos meus dispositivos (REDE CONVIDADO), e uma terceira rede na qual eu compartilho minha internet com um vizinho onde a mesma está isolada da minha rede e da rede convidado (REDE CLIENTE). Vale lembrar que mesmo estando em uma faixa de IP diferente vc consegue ter acesso aos dispositivos que não estiverem em zonas de firewall diferentes, pois estão conectados fisicamente, para testar ser vc tem acesso a outro dispositivo em outra rede é só dar um comando de PING para o ip deste dispositivo. Em resumo é isso o firewall serve para dar permissão de acesso a interfaces, portas, redirecionamentos e muito mais, só depende da configuração que vc quer no seu roteador.
ResponderExcluirPIERRE,
ExcluirObrigado pela ajuda ao Hugo. Fique a vontade para palpitar. Nem sempre eu consigo ser tão responsivo como gostaria.
boa tarde, parabéns pela iniciativa e pelo conhecimento !!
ResponderExcluirsou entusiasta de redes e já tenho o openwrt em meus 2 roteadores aqui em casa (WDR4300 - TP LINK) estou na iminência de mudar de residência e pretendo utilizar 1 dos meus roteadores somente como repetidor porém preciso utilizar todas as 5 portas como LAN e gostaria de saber como faço para transformar a minha porta WAN em LAN.
formato da rede:
1) Modem~Router NET em brigde> router (1) WDR4300 openwrt > router (2) wdr4300 openwrt trabalhando como repetidor
grato,
Marcos
Olá Marcos,
ExcluirÉ bem fácil. Todas as portas do seu roteador fazem parte de um switch, que foi dividido em dois por vlan. Vá na configuração network/switch. Deve existir uma vlan 2 que tem somente ligado as portas WAN (untagged) e CPU (tagged). Mude a WAN para desligado. Na vlan 1, mude a mesma porta WAN de desligado para untagged/etiquetado. A parte de switch está pronta.
Para se tornar um AP, precisa ainda:
1) desligar(ignorar) dhcp para a rede LAN
2) desligar fornecimento de ipv6 para a rede LAN
3) configurar um IP não conflitante mas da mesma rede para a LAN (ou mudá-la para ser um cliente DHCP).
Pode desligar o firewall pois a LAN, por padrão, aceita tudo mesmo (mas vai do gosto do cliente).
Mais info:https://wiki.openwrt.org/doc/recipes/dumbap
(No artigo da wiki, ele desliga o multicast_snooping. Nunca precisei fazer isso)
Olá Luiz, muito obrigado pela explicação e mais uma vez parabéns pelo conhecimento e presteza em ajudar. Vou executar o passo a passo e qualquer novidade eu posto novamente.
ResponderExcluirObgdo, grande abraço
Marcos
Boa tarde amigo, quero criar 2 lans de uma única wan, porém dá conflito ao usar por exemplo a playstore e instagram, simplesmente não carrega, existe alguma maneira das 2 lans serem distintas? Eu sei criar mas elas parecem se enxergarem; obrigado
ResponderExcluirSim Pedro. Só criar. Cada uma pode ter uma ssid associada e portas dedicadas. É o tema do artigo. É algo bem corriqueiro, como em rede de convidados.
ExcluirQue conflito você vê?
Este comentário foi removido pelo autor.
ResponderExcluirExcelente artigo . Uma dúvida bem tosca (não ria, meu conhecimento em redes é uns 20% rsrsr)
ResponderExcluirÉ possível separar duas redes wifi (de forma que elas não se enxerguem) apenas usando um roteador ligado no meu modem do provedor ?
Esse não enxergar é apenas para que o chromecast da casa de baixo não seja visto em minha casa.
Vou comprar um roteador com maior alcance e que suporte o openwrt, porém gostaria de saber se tem algum modelo com esse recurso (se é que existe), a ideia é usar o mínimo de equipamentos, e se possível passar essa separação para a casa de baixo sem cabos . Pode informar algum modelo caso exista isso ? Ou o que deve procurar nas especificações dos roteadores?
Testei um roteador linksys e2500 aqui que possibilita criar duas ssid (com frequências diferentes ), porém os dispositivos de ambas as redes se enxergaram .
Grato pela ajuda
Praticamente todos os equipamentos atuais atenderiam. No OpenWrt, o "enxergar" é escolha sua. Cada wifi está ligada na LAN por uma ponte. Se a ligação das duas wifi forem com a mesma LAN, os nós das duas wifi se falam. Caso sejam em redes LAN diferentes, eles não irão estar na mesma rede (já é suficiente para o chromecast não ser detectado automaticamente). Você pode ir ainda além. As duas LAN podem ou não encaminhar pacotes entre si. Isso é feito na conf do firewall. Elas podem falar com a internet mas não encaminhar pacotes da LAN1 para a LAN2. Você pode ainda permitir que a LAN1 fale com a LAN2 mas não o inverso. Normalmente faço isso com a rede principal e a de visitantes.
ExcluirVocê é que decide.
Obrigado pela resposta. Eu acabei de comprar o roteador wifi ac2600 mu-mimo trendnet tew-827dru. Está com um bom desconto no cartão americanas . Vi que ele não tem o recurso de vlan, mas irei ver se dá pra fazer algo...
ExcluirSegue emulador dele : https://www.trendnet.com/emulators/TEW-827DRU_v1.0R/basic_status.html
ExcluirO emulador vai mostrar o que a firmware original pode fazer, não o que o HW pode fazer. Ele tem suporte a VLAN https://openwrt.org/toh/hwdata/trendnet/trendnet_tew-827dru_v1.0r e 99,9% de também funcionar múltiplos SSID. Só não na firmware de fábrica. ;)
ExcluirLuiz, parabéns pelo esforço em no ajudar.
ResponderExcluirUso o OpenWrt há algum tempo, já implementei swap, torrent, dlna, multiwan, multilan, samba, nas, ddns, vpnserv e vpnclient, hoje, busco o seguinte cenário: criei duas vlan, uma para vpn (192.168.30.0/24 na eth1.3) e outra não-vpn (192.168.10.0/24 na eth1.1), Consegui conectar o openwrt ao serviço protonvpn na vlan eth1.3, no entanto quando inicio o serviço, a conexão da eth1.1 deixa de sair pela wan. Observei que são criadas rotas default para 0.0.0.0/1 via 10.7.3.1 dev tun0 entre outras rotas. Preciso estudar roteamento em vpns e linux XD
Luiz, consegui um paliativo com:
Excluirecho "1 redeLAN" >>/etc/iproute2/rt_tables
ip route add default via 192.168.168.168 table redeLAN
ip rule add from 192.168.10.117 table redeLAN
O problema aqui é que vou ter que adicionar ip por ip