¿Cómo puedo ENMASCARARme entre puentes VLAN?

tag-icon tag-icon iptables router vlan openwrt
¿Cómo puedo ENMASCARARme entre puentes VLAN?

He creado dos puentes VLAN en un sistema basado en openwrt que tiene una única interfaz física.

*) eth0->lan->br-lan
*) br-lan->br-lan.2(VLAN INTF)->br-vlan2(BRIDGE INTF)
*) br-lan->br-lan.20(VLAN INTF)->br-vlan20(BRIDGE INTF)

Estoy ejecutando un servidor DHCP en una máquina Ubuntu.

Estoy intentando enrutar entre la VLAN para abrir la comunicación entre VLAN. Pero no pude tener éxito.

lo que hice es

 iptables -t nat -I POSTROUTING -o br-vlan2 -j MASQUERADE

 iptables -A FORWARD -i br-vlan2 -o br-vlan20 -mstate --state RELATED,ESTABLISHED -j ACCEPT

 iptables -A FORWARD -i br-vlan20 -o br-vlan2 -j
 ACCEPT

 echo 1 > /proc/sys/net/ipv4/ip_forward

Y he intentado actualizar /etc/config/firewall con reglas de reenvío

config zone
        option name 'vlan2'
        list network 'br-lan.2'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

config zone
        option name 'vlan20'
        list network 'br-lan.20'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

config forwarding
        option src 'br-lan.2'
        option dest 'br-lan.20'

config forwarding
        option src 'br-lan.20'
        option dest 'br-lan.2'

¿Que esta mal aquí? Y soy un principiante en los conceptos de enrutadores.

Editar:

Así es como se ve mi configuración

             IP:  192.168.2.10     192.168.20.10
             GW:  192.168.2.1      192.168.20.1
                   |client 1|       |client 2|
                         ^              ^
                     ____|______________|________
                    |  br-vlan2   |   br-vlan20  |    
 _____________      |192.168.2.2  | 192.168.20.2 |   
|             |     |_____________|______________|
| 192.168.1.1 |     |    |br-lan  IP: 192.168.1.2|
|   router    |---->|eth0|   GW: 192.168.1.1     |
|_____________|     |____|_______________________|          
                    |    x86 machine as AP       |
                    |____________________________|

Respuesta1

El enrutador OpenWRT normal generalmente tiene una única interfaz Ethernet en la CPU que está conectada internamente a un chip de "interruptor inteligente". Otros puertos del conmutador están disponibles en el exterior como conectores, uno normalmente etiquetado como "WAN" y otros como "LAN". El conmutador se configura de la siguiente manera: el enlace CPU-conmutador es troncal (todas las VLAN están etiquetadas), un puerto ("WAN") se convierte en una VLAN sin etiquetar y el resto de los puertos ("LAN") se convierten en otras VLAN sin etiquetar. Esta es esencialmente una configuración estándar de "enrutador en un dispositivo", donde el conmutador funciona como un simple extensor de puerto para un enrutador con un número bajo de puertos.

El resto se ve exactamente como su caso, la computadora Linux que tiene una única interfaz Ethernet. Para complementar la configuración del conmutador, se divide en subinterfaces VLAN. Luego, esas subinterfaces se configuran según su función: la LAN se coloca en un puente con interfaz(es) WLAN, mientras que la WAN se configura sin puentes.

Esta configuración se parece a la siguiente (eth0 es la única interfaz del enrutador):

  • eth0 tiene dos subinterfaces VLAN, .1 y .2
  • eth0.1 y wlan0 y wlan1 se combinan en br-lan que tiene una dirección IP asignada y colocada en la zona LAN
  • eth0.2 también tiene una dirección asignada.

En caso de que realmente necesites puentes, este es el camino a seguir:

config interface 'vlan20'
        option ifname 'eth0.20'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ipaddr '192.168.20.1'

config interface 'vlan2'
        option ifname 'eth0.2'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ipaddr '192.168.2.1'

Esto se traduciría en: Se crearán dos subinterfaces VLAN a partir de eth0y se crearán dos puentes br-vlan20y br-vlan2. Cada subinterfaz VLAN participará en su propio puente. Luego, a los puentes se les asignan direcciones IP.

Si no necesita un puente (por ejemplo, no planea agregar otras interfaces), simplemente elimine option type 'bridge'la línea de la definición.

¡Cuidado, el dispositivo al otro lado del eth0enlace en este caso debe estar preparado para manejar fotogramas etiquetados!

La configuración del firewall para este caso podría verse así:

config zone
        option name 'zone20'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option network 'vlan20'

config zone
        option name 'zone2'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option masq '1'
        option network 'vlan2'

config forwarding
        option src 'zone20'
        option dest 'zone2'

config forwarding
        option src 'zone2'
        option dest 'zone20'

Observe cómo las opciones zonede networken el firewall corresponden a interfacelos nombres en el networkarchivo de configuración. Los nombres de las interfaces de Linux solo aparecen una vez en el networkarchivo de configuración y en ningún otro lugar. forwarding's srcy dstoptions, sin embargo, corresponden a las opciones zonede ' name.

información relacionada