Ajuda Configurar VLAN

[AlexandraT1]

Sei que o router não vale nada mas do que vi devia dar para ter VLANs a funcionar mas não estou a conseguir o router é velho e na net a maioria dos links já não dão para seguir.

O Router é um WR841N onde instalei OpenWRT e gostaria de ter duas redes lan separadas, na parte switch meti assim mas estara mal porque mal faço save aplique ou não perco logo acesso ao router.

 

[AlexandraT1]

Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Realtek PCIe GbE Family Controller
   Physical Address. . . . . . . . . : 4C-CC-**-**-**-**
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Autoconfiguration IPv4 Address. . : 169.254.132.253(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.0.0
   Default Gateway . . . . . . . . . : 0.0.0.0
   NetBIOS over Tcpip. . . . . . . . : Enabled

Alguma maneira de descobrir se naquela gama de IPs se o router anda lá?

 

[At Work]

Sei que o router não vale nada mas do que vi devia dar para ter VLANs a funcionar mas não estou a conseguir o router é velho e na net a maioria dos links já não dão para seguir.

O Router é um WR841N onde instalei OpenWRT e gostaria de ter duas redes lan separadas, na parte switch meti assim mas estara mal porque mal faço save aplique ou não perco logo acesso ao router.

Tens que criar o Layer 3 para essa interface VLAN. Endereço IP, DHCP Pool, etc.

Cumps

 

[AlexandraT1]

@At Work Obrigada pela resposta, não esta ainda a funcionar mas o problema não era esse porque eu mal aplicava o router morria, nem por cabo, nem por wireless, nem por nada. Mas era mesmo problema de firmware (ate pode ser do router) porque basicamente mal voltei a meter o firmware de origem e depois voltei a meter OpenWRT tudo funcionou.

Por funcionar entenda-se o router não morrer, já criei as VLAN já atribui IPs diferentes em cada porta, configurei Internet em duas delas e funcionam mas continuo a poder aceder a todas as redes.

Neste momento estou na porta 2 com IP por ex 192.168.3.10 e consigo pingar as outras rede e aceder ao router em todas as gamas se meter 192.168.1.1 ele dá à mesma.


Ethernet adapter Ethernet:

Connection-specific DNS Suffix . : lan
IPv4 Address. . . . . . . . . . . : 192.168.2.41
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.2.1

C:\Users\Alxt1>ping 192.168.2.1

Pinging 192.168.2.1 with 32 bytes of data:
Reply from 192.168.2.1: bytes=32 time<1ms TTL=64
Reply from 192.168.2.1: bytes=32 time<1ms TTL=64
Reply from 192.168.2.1: bytes=32 time<1ms TTL=64
Reply from 192.168.2.1: bytes=32 time<1ms TTL=64

Ping statistics for 192.168.2.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

C:\Users\Alxt1>ping 192.168.1.1

Pinging 192.168.1.1 with 32 bytes of data:
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64

Ping statistics for 192.168.1.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

C:\Users\Alxt1>ping 192.168.3.1

Pinging 192.168.3.1 with 32 bytes of data:
Reply from 192.168.3.1: bytes=32 time=1ms TTL=64
Reply from 192.168.3.1: bytes=32 time=9ms TTL=64
Reply from 192.168.3.1: bytes=32 time<1ms TTL=64
Reply from 192.168.3.1: bytes=32 time<1ms TTL=64

Ping statistics for 192.168.3.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 9ms, Average = 2ms

C:\Users\Alxt1>ping 1.1.1.1

Pinging 1.1.1.1 with 32 bytes of data:
Reply from 1.1.1.1: bytes=32 time=9ms TTL=56
Reply from 1.1.1.1: bytes=32 time=12ms TTL=56
Reply from 1.1.1.1: bytes=32 time=8ms TTL=56
Reply from 1.1.1.1: bytes=32 time=8ms TTL=56

Ping statistics for 1.1.1.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 8ms, Maximum = 12ms, Average = 9ms

 

[At Work]

@At Work Obrigada pela resposta, não esta ainda a funcionar mas o problema não era esse porque eu mal aplicava o router morria, nem por cabo, nem por wireless, nem por nada. Mas era mesmo problema de firmware (ate pode ser do router) porque basicamente mal voltei a meter o firmware de origem e depois voltei a meter OpenWRT tudo funcionou.

Por funcionar entenda-se o router não morrer, já criei as VLAN já atribui IPs diferentes em cada porta, configurei Internet em duas delas e funcionam mas continuo a poder aceder a todas as redes.

Neste momento estou na porta 2 com IP por ex 192.168.3.10 e consigo pingar as outras rede e aceder ao router em todas as gamas se meter 192.168.1.1 ele dá à mesma.


Ethernet adapter Ethernet:

Connection-specific DNS Suffix . : lan
IPv4 Address. . . . . . . . . . . : 192.168.2.41
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.2.1

C:\Users\Alxt1>ping 192.168.2.1

Pinging 192.168.2.1 with 32 bytes of data:
Reply from 192.168.2.1: bytes=32 time<1ms TTL=64
Reply from 192.168.2.1: bytes=32 time<1ms TTL=64
Reply from 192.168.2.1: bytes=32 time<1ms TTL=64
Reply from 192.168.2.1: bytes=32 time<1ms TTL=64

Ping statistics for 192.168.2.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

C:\Users\Alxt1>ping 192.168.1.1

Pinging 192.168.1.1 with 32 bytes of data:
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64

Ping statistics for 192.168.1.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

C:\Users\Alxt1>ping 192.168.3.1

Pinging 192.168.3.1 with 32 bytes of data:
Reply from 192.168.3.1: bytes=32 time=1ms TTL=64
Reply from 192.168.3.1: bytes=32 time=9ms TTL=64
Reply from 192.168.3.1: bytes=32 time<1ms TTL=64
Reply from 192.168.3.1: bytes=32 time<1ms TTL=64

Ping statistics for 192.168.3.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 9ms, Average = 2ms

C:\Users\Alxt1>ping 1.1.1.1

Pinging 1.1.1.1 with 32 bytes of data:
Reply from 1.1.1.1: bytes=32 time=9ms TTL=56
Reply from 1.1.1.1: bytes=32 time=12ms TTL=56
Reply from 1.1.1.1: bytes=32 time=8ms TTL=56
Reply from 1.1.1.1: bytes=32 time=8ms TTL=56

Ping statistics for 1.1.1.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 8ms, Maximum = 12ms, Average = 9ms

Tens de criar uma ACL / Firewall Rules a impedir a conectividade entre as redes (VLANs).

Vê os seguintes links:
https://forum.openwrt.org/t/unable-to-block-inter-vlan-traffic/74351
https://forum.openwrt.org/t/solved-vlan-isolation-and-router-access-questions/32296
https://forum.openwrt.org/t/block-traffic-between-two-vlans/27425

Cumps

 

[AlexandraT1]

Obrigada, isto é mais uma experiência antes de me meter num router mais caro, de momento consigo pingar o router de qualquer gama mas não os equipamentos nessa VLAN, provavelmente isso será +- normal, estando eu no Computador da VLAN 1 tenho isto.

Active DHCP Leases
Hostname    IPv4-Address    MAC-Address    Leasetime remaining
?             192.168.3.36    D0:39:**:**:**:**    11h 55m 2s
?             192.168.2.21    1C:5A:**:**:**:**    11h 45m 32s
Alxt1-i7   192.168.1.16    4C:CC:**:**:**:**    11h 44m 5s

C:\>ping 192.168.2.21

Pinging 192.168.2.21 with 32 bytes of data:
Reply from 192.168.1.1: Destination port unreachable.
Reply from 192.168.1.1: Destination port unreachable.
Reply from 192.168.1.1: Destination port unreachable.
Reply from 192.168.1.1: Destination port unreachable.

Ping statistics for 192.168.2.21:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss)

C:\>ping 192.168.3.36

Pinging 192.168.3.36 with 32 bytes of data:
Reply from 192.168.1.1: Destination port unreachable.
Reply from 192.168.1.1: Destination port unreachable.
Reply from 192.168.1.1: Destination port unreachable.
Reply from 192.168.1.1: Destination port unreachable.

Ping statistics for 192.168.3.36:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss)

 

[At Work]

Obrigada, isto é mais uma experiência antes de me meter num router mais caro, de momento consigo pingar o router de qualquer gama mas não os equipamentos nessa VLAN, provavelmente isso será +- normal, estando eu no Computador da VLAN 1 tenho isto.

Active DHCP Leases
Hostname    IPv4-Address    MAC-Address    Leasetime remaining
?             192.168.3.36    D0:39:**:**:**:**    11h 55m 2s
?             192.168.2.21    1C:5A:**:**:**:**    11h 45m 32s
Alxt1-i7   192.168.1.16    4C:CC:**:**:**:**    11h 44m 5s

C:\>ping 192.168.2.21

Pinging 192.168.2.21 with 32 bytes of data:
Reply from 192.168.1.1: Destination port unreachable.
Reply from 192.168.1.1: Destination port unreachable.
Reply from 192.168.1.1: Destination port unreachable.
Reply from 192.168.1.1: Destination port unreachable.

Ping statistics for 192.168.2.21:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss)

C:\>ping 192.168.3.36

Pinging 192.168.3.36 with 32 bytes of data:
Reply from 192.168.1.1: Destination port unreachable.
Reply from 192.168.1.1: Destination port unreachable.
Reply from 192.168.1.1: Destination port unreachable.
Reply from 192.168.1.1: Destination port unreachable.

Ping statistics for 192.168.3.36:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss)

Não precisas de gastar uma fortuna num router. Tens MikroTik ou Ubiquiti (preferencialmente a gama Edge) por bons preços e que fazem muita coisa

Para não pingares as gateways da outras redes, podes criar uma regra a impedir ICMP.

Cumps

 

[AlexandraT1]

Antes de mais obrigada pela ajuda @At Work , continuo de volta deste porque queria mesmo conseguir meter a funcionar para depois replicar as configurações no novo mas não está nada fácil, responde-me só se o problema onde cheguei tem solução porque ando há uma semana sem o conseguir resolver.

O meu ISP é a Vodafone, não tenho ONT separado e não tenho opção de bridge. Por muitas limitações que meta na firewall e as mesmas funcionam na rede local mal dou acesso à WAN consigo aceder aos PC's na Lan do Router principal e eu não queria.

Basicamente tenho isto assim, mas os PC's das VLANs do segundo router conseguem pingar e aceder aos da rede principal [192.168.200.5 / 192.168.20.10 / etc]. Antes de dar acesso à WAN não conseguem, mas mal dou acesso à WAN passam a conseguir, consigo evitar isto por Firewall/Iptables?

Obrigada.

 

[At Work]

Antes de mais obrigada pela ajuda @At Work , continuo de volta deste porque queria mesmo conseguir meter a funcionar para depois replicar as configurações no novo mas não está nada fácil, responde-me só se o problema onde cheguei tem solução porque ando há uma semana sem o conseguir resolver.

O meu ISP é a Vodafone, não tenho ONT separado e não tenho opção de bridge. Por muitas limitações que meta na firewall e as mesmas funcionam na rede local mal dou acesso à WAN consigo aceder aos PC's na Lan do Router principal e eu não queria.

Basicamente tenho isto assim, mas os PC's das VLANs do segundo router conseguem pingar e aceder aos da rede principal [192.168.200.5 / 192.168.20.10 / etc]. Antes de dar acesso à WAN não conseguem, mas mal dou acesso à WAN passam a conseguir, consigo evitar isto por Firewall/Iptables?

Obrigada.

Já percebi aqui pelo fórum que o router da Vodafone não tem a funcionalidade de brigde mode.
Poderás tentar com DMZ mas não acredito que funcione. A não ser que a DMZ isole o segundo router da rede principal. Testa e verifica se funciona.

Quando dás acesso à WAN no segundo router é normal que consiga aceder à rede 192.168.200.0/24. Tem uma rota diretamente ligada à qual consegue chegar a todos os devices nessa mesma rede.

Com regras na firewall consegues bloquear ou permitir o que quiseres.

Basicamente,
Allow 10.5.10.0/24 -> 192.168.200.100/32
Deny 10.5.10.0/24 -> 192.168.200./0

A primeira regra permite o acesso ao IP 192.168.200.100/32 que é a gateway do segundo router e a segundo regra bloqueia o acesso à rede 10.5.10.0/24.
A ordem das regras é muito importante. Se bloqueias e depois permites, como as regras são lidas de cima para baixo, já tem um deny anterior vai bloquear tudo.

Cumps

 

[XUTOS-83]

Estando na DMZ ou não na Vodafone não altera nada.

Nunca tinha pensado nisso da ordem mas faz todo o sentido.

 

[AlexandraT1]

@At Work Estava claramente a complicar o que é simples, anda a mexer por ssh, iptables que não percebo nada.

A única coisa que fica a faltar mas já disseste que era no IMCP é não aceder as gateways das outras VLANs, neste momento estou na 10.5.11.x e a mexer no config do router pelo ip 10.5.10.1

Obrigada