Project: TURRIS - nastavení a zprovoznění VLAN

Pokud se zapojíte například do projektu SamKnows nebo třeba RIPE Atlas sond, tak nejspíše budete chtít, aby tyto sondy byly naprosto odděleny od vaší hlavní sítě a vy tak měli naprostou jistotu, že nedělají něco jiného, než by měly (i když tyto výše zmíněné by měly být zrovna OK). Návod se dá použít například i pro vytvoření virtuální sítě pro vaše hosty. Prostě fantazii využití se meze nekladou.

Pro začátek je vhodné nejprve pochopit výchozí nastavení Turrise, kdy tento v základním nastavení obsahuje celkem dvě VLAN: VLAN1 a VLAN2, které jsou spojeny do bridge, tedy do jedné sítě. VLAN1 zahrnuje porty 0 až 4 (eth1 a LAN 2 až 5) a VLAN2 zahrnuje porty 5 (LAN1) a 6 (eth0). Vše podle následujícího schematu, které jsem si dovolil vypůjčit od NIC.CZ a doupravit malůvkou, aby to bylo jednoznačné :)

TURRIS nastavení VLAN

Pro každý návod je třeba mít připojen router prostřednictvím SSH, tedy v případě Windows doporučuji například program PuTTy. Tedy v konzoli musíte vidět:

root@turris:~#

Z malůvky výše je zřejmé, že nejjednodušší cesta bude využití stávající sítě VLAN2, která se pro tento účel vysloveně vybízí. Nejdříve je tedy nutné rozpojit obě sítě a oddělit tak VLAN1 a VLAN2. Toto provedemě editací souboru '/etc/config/network' (například v konzoli přímo VI nebo třeba programem WinSPC), kde provedeme odstranění hodnoty 'eth0' z nastavení 'option ifname' u konfigurace 'lan'. Na tomto řádku tedy zbude pouze 'option ifname 'eth1''. Výsledek tedy bude vypadat (samozřejmě rozsah vlastní sítě budete mít podle vašeho nastavení, tedy zbytek neměnit!):

config interface 'lan'
	option ifname 'eth1'
	option type 'bridge'
	option force_link '1'
	option proto 'static'
	option netmask '255.255.255.0'
	option ip6assign '60'
	option ipaddr '192.168.0.254'

Následně je nutné přidat konfiguraci, tedy vytvořit novou síť, právě pro rozhraní eth0. Tedy klidně pod výše uvedené řádky ve stejném souboru přidáme následující řádky. Tím vytvoříme síť s názvem 'lanripe' (můžete pojmenovat libovolně, já zvolil síť pod názvu sondy Atlas od společnosti RIPE, pro kterou jsem toto řešil) a také rovnou nastavíme IP adresu s maskou, které nám stanoví i rozsah sítě. Všimněte si, že jsem záměrně použil síť začínající 10.0.0.x i přesto, že "hlavní" síť je 192.168.0.x. Toto je uděláno záměrně, aby bylo jednoznačně na první pohled vidět, že se jedná o naprosto jinou síť.

config interface 'lanripe'
	option ifname 'eth0'
	option proto 'static'
	option netmask '255.255.255.0'
	option ipaddr '10.0.0.254'

Dále musíme nakonfigurovat DHCP server, aby věděl, co v nově vytvořené síti 'lanripe', má poskytovat za rozsah IP adres. Zeditujeme tedy soubor '/etc/config/dhcp' a přidáme novou sekci:

config dhcp 'lanripe'
	option interface 'lanripe'
	option leasetime '12h'
	option limit '15'
	option start '1'
	list dhcp_option '6,10.0.0.254'

Hodnoty můžete pochopitelně libovolně měnit, já mám nastavený čas "líznutí" (zápůjčky) IP adresy na 12 hodin a IP bude přidělována v rozsahu 10.0.0.1 až 10.0.0.15. Klidně také můžete nastavit později v LuCi přidělení konkrétní IP adresy v závislosti na MAC (osobně preferuji a doporučuji u všech známých zařízeních ve vlastní síti).

Nakonec ještě zbývá nakonfigurovat pravidla firewallu a nastavit oddělení od stávající sítě (o to se stará parametr REJECT u položky forward). Samozřejmě v závislosti na důvodu, proč síť vytváříte si zde můžete změnit požadované parametry. Tedy zeditujeme soubor '/etc/config/firewall' a opětovně přidáme novou sekci:

config zone
	option name 'lanripe'
	option input 'ACCEPT'
	option forward 'REJECT'
	option output 'ACCEPT'
	option network 'lanripe'

A ještě do stejného souboru přidáme další sekci, která zajistí dané síti přistupovat do internetu:

config forwarding
	option src 'lanripe'
	option dest 'wan'

Nakonec provedeme reboot zařízení příkazem:

reboot

A nyní již na LAN1 máme nakonfigurovanou novou síť s DHCP serverem s rozsahem 10.0.0.x a nastavené pravidla firewalu a přístup do internetu pro tuto síť. Také tato síť zároveň nijak nevidí na naši hlavní síť v rozsahu 192.168.0.x, která je na LAN2 až 5.


Sdílet na Facebooku Sdílet na Twitteru Vytisknout



Doporučuji: MePaBlu Copyright S474N ©2004-2017