OpenWrt: @ 19২.168.1২54 @ গেটওয়ের মাধ্যমে ওয়াল্যান ক্লায়েন্ট @ 10.x ইন্টারনেট অ্যাক্সেস কীভাবে দিতে হবে


3

আমি ইন্টারনেট অ্যাক্সেস দেওয়ার সময় আমার Wi-Fi থেকে 10.0.0.x সাবনেটে সংযুক্ত অতিথিদের বিচ্ছিন্ন করতে চাই। OpenWrt রাউটারটি 19২.168.1.48 ("ওয়াইফাই" ইন্টারফেসটি 10.0.0.1) এবং আমার গেটওয়ে 19২.168.1২54 এ রয়েছে। কিভাবে আমি ওপেনওয়ার্ট সেট আপ করতে যাব যাতে অতিথিরা আমার গেটওয়ে দিয়ে ইন্টারনেট অ্যাক্সেস করতে পারে কিন্তু 10 সাবনেটে সীমাবদ্ধ থাকবে?

আমি ওপেনওয়ার্ট উইকি-এ অতিথি-ভ্লান রেসিপি পড়েছি, কিন্তু আমি কী করতে চাই তা আমি বুঝতে পারছি না। এখন পর্যন্ত আমি গেস্ট সিস্টেমের জন্য একটি DHCP সার্ভার সেট আপ করতে সক্ষম হয়েছে যা 10.x ঠিকানা সরবরাহ করে।

আমি লক্ষ্য করেছি যে আমি 10.x নেটওয়ার্কে একটি ল্যাপটপ থেকে হোস্টনামগুলি সমাধান করতে পারি। Dnsmasq লগ থেকে আমি এটি দেখতে পারি যে 19২.168.1২54 এ একটি নাম সার্ভার আছে (কারণ এটি /etc/resolv.conf আমি অনুমান করেছি)। কিন্তু কিভাবে এবং কেন প্যাকেট ফায়ারওয়াল ক্রসিং হয়?

আমি একটি WRT54GL এ ব্যাকফায়ার 10.03.1 চালাচ্ছি। গেটওয়ে একটি লিঙ্কস E4200 হয়। এই মুহূর্তে আমার OpenWrt কনফিগারেশন:

জন্য / etc / কনফিগ / DHCP

কনফিগারেশন 'dnsmasq'
        বিকল্প 'ডোমেননিডেড' '1'
        বিকল্প 'boguspriv' '1'
        বিকল্প 'filterwin2k' '0'
        বিকল্প 'localise_queries' '1'
        বিকল্প 'rebind_protection' '1'
        বিকল্প 'rebind_localhost' '1'
        বিকল্প 'স্থানীয়' / LAN / '
        বিকল্প 'ডোমেইন' 'ল্যান'
        বিকল্প 'প্রসারিত হোস্ট' '1'
        বিকল্প 'nonegcache' '0'
        বিকল্প 'আধিকারিক' '1'
        বিকল্প 'রিডেটরস' '1'
        বিকল্প 'leasefile' /tmp/dhcp.leases '
        বিকল্প 'resolvfile' '/tmp/resolv.conf.auto'

কনফিগারেশন 'dhcp' 'ল্যান'
        বিকল্প 'ইন্টারফেস' 'ল্যান'
        বিকল্প 'উপেক্ষা' '1'

কনফিগ 'dhcp' 'wan'
        বিকল্প 'ইন্টারফেস' 'WAN'
        বিকল্প 'উপেক্ষা' '1'

কনফিগারেশন 'dhcp'
        বিকল্প 'শুরু' '100'
        বিকল্প 'leasetime' 12h '
        বিকল্প 'সীমা' '150'
        বিকল্প 'ইন্টারফেস' 'ওয়াইফাই'

জন্য / etc / কনফিগ / নেটওয়ার্ক

কনফিগ 'ইন্টারফেস' 'লুপব্যাক'
        বিকল্প 'ifname' 'lo'
        বিকল্প 'প্রোটো' স্ট্যাটিক '
        বিকল্প 'ipaddr' '127.0.0.1'
        বিকল্প 'নেটমাস্ক' '255.0.0.0'

কনফিগারেশন 'ইন্টারফেস' 'ল্যান'
        বিকল্প 'ifname' 'eth0.0'
        বিকল্প 'প্রোটো' স্ট্যাটিক '
        বিকল্প 'নেটমাস্ক' 255.255.255.0 '
        বিকল্প 'ipaddr' '192.168.1.48'
        বিকল্প 'গেটওয়ে' 19২.168.1২54 '
        বিকল্প 'ডিএনএস' 19২.168.1২54 '

কনফিগ 'ইন্টারফেস' 'WAN'
        বিকল্প 'ifname' 'eth0.1'
        বিকল্প 'প্রোটো' 'dhcp'

কনফিগ 'ইন্টারফেস' 'ওয়াইফাই'
        বিকল্প 'প্রোটো' স্ট্যাটিক '
        বিকল্প 'ipaddr' '10.0.0.1 '
        বিকল্প 'নেটমাস্ক' 255.255.255.0 '

জন্য / etc / কনফিগ / বেতার

config 'wifi-device' 'wl0'
        বিকল্প 'টাইপ' 'Broadcom'
        বিকল্প 'চ্যানেল' '11'

কনফিগ 'wifi-eface'
        বিকল্প 'ডিভাইস' 'wl0'
        বিকল্প 'মোড' 'ap'
        বিকল্প 'ssid' 'OpenWrt'
        বিকল্প 'এনক্রিপশন' 'কিছুই'
        বিকল্প 'নেটওয়ার্ক' 'ওয়াইফাই'

/ etc / config / firewall (ডিফল্ট থেকে এটি পরিবর্তন করা হয়নি)

কনফিগার ডিফল্ট
        বিকল্প syn_flood 1
        অপশন ইনপুট ACCEPT
        অপশন আউটপুট ACCEPT
        বিকল্প প্রত্যাখ্যান
# আইপিভি 6 বিধি নিষ্ক্রিয় করার জন্য এই লাইনটিকে অস্বীকৃতি জানান
# বিকল্প disable_ipv6 1

কনফিগারেশন অঞ্চল
        বিকল্প নাম ল্যান
        বিকল্প নেটওয়ার্ক 'ল্যান'
        অপশন ইনপুট ACCEPT
        অপশন আউটপুট ACCEPT
        বিকল্প প্রত্যাখ্যান

কনফিগারেশন অঞ্চল
        অপশন নাম wan
        বিকল্প নেটওয়ার্ক 'WAN'
        বিকল্প ইনপুট প্রত্যাখ্যান
        অপশন আউটপুট ACCEPT
        বিকল্প প্রত্যাখ্যান
        বিকল্প মাস্ক 1
        বিকল্প mtu_fix 1

কনফিগ ফরওয়ার্ডিং
        বিকল্প src lan
        বিকল্প dest wan

# আমাদের 68 পোর্টে udp প্যাকেট গ্রহণ করতে হবে,
# দেখুন https://dev.openwrt.org/ticket/4108
কনফিগারেশন নিয়ম
        অপশন নাম অনুমতি দিন - DHCP - পুনর্নবীকরণ
        বিকল্প src wan
        বিকল্প প্রোটো udp
        বিকল্প dest_port 68
        অপশন লক্ষ্য ACCEPT
        বিকল্প আইপিভি 4

# আইপিভি 4 পিংকে অনুমতি দিন
কনফিগারেশন নিয়ম
        অপশন নাম অনুমতি-পিং
        বিকল্প src wan
        বিকল্প প্রোটো icmp
        বিকল্প icmp_type ইকো-অনুরোধ
        বিকল্প আইপিভি 4
        অপশন লক্ষ্য ACCEPT

# DHCPv6 উত্তর দেওয়ার অনুমতি দিন
# দেখুন https://dev.openwrt.org/ticket/10381
কনফিগারেশন নিয়ম
        অপশন নাম অনুমতি দিন-DHCPv6
        বিকল্প src wan
        বিকল্প প্রোটো udp
        বিকল্প src_ip fe80 :: / 10
        বিকল্প src_port 547
        বিকল্প dest_ip fe80 :: / 10
        বিকল্প dest_port 546
        বিকল্প আইপিভি 6
        অপশন লক্ষ্য ACCEPT

# প্রয়োজনীয় ইনকামিং আইপিভি 6 আইসিএমপি ট্রাফিক অনুমতি দিন
কনফিগারেশন নিয়ম
        বিকল্প নাম অনুমতি দিন- ICMPv6-ইনপুট
        বিকল্প src wan
        বিকল্প প্রোটো icmp
        তালিকা icmp_type ইকো-অনুরোধ
        তালিকা icmp_type গন্তব্য-পৌঁছাতে পারবেন
        তালিকা icmp_type প্যাকেট-খুব বড়
        ICMP_type সময়-অতিক্রম তালিকা
        icmp_type খারাপ হেডার তালিকা
        তালিকা icmp_type অজানা-হেডার-টাইপ
        তালিকা icmp_type রাউটার-অনুরোধ
        icmp_type প্রতিবেশী-অনুরোধ তালিকা
        বিকল্প সীমা 1000 / সেকেন্ড
        বিকল্প আইপিভি 6
        অপশন লক্ষ্য ACCEPT

# প্রয়োজনীয় ফরোয়ার্ড আইপিভি 6 আইসিএমপি ট্রাফিক অনুমতি দিন
কনফিগারেশন নিয়ম
        বিকল্প নাম অনুমতি দিন- ICMPv6- ফরওয়ার্ড
        বিকল্প src wan
        অপশন dest *
        বিকল্প প্রোটো icmp
        তালিকা icmp_type ইকো-অনুরোধ
        তালিকা icmp_type গন্তব্য-পৌঁছাতে পারবেন
        তালিকা icmp_type প্যাকেট-খুব বড়
        ICMP_type সময়-অতিক্রম তালিকা
        icmp_type খারাপ হেডার তালিকা
        তালিকা icmp_type অজানা-হেডার-টাইপ
        বিকল্প সীমা 1000 / সেকেন্ড
        বিকল্প আইপিভি 6
        অপশন লক্ষ্য ACCEPT

# ব্যবহারকারী কাস্টম iptables নিয়ম সঙ্গে একটি ফাইল অন্তর্ভুক্ত করুন
কনফিগার অন্তর্ভুক্ত
        বিকল্প পথ /etc/firewall.user


### উদাহরণ কনফিগ বিভাগ
# একটি নির্দিষ্ট আইপি ভ্যান অ্যাক্সেস করার অনুমতি দেয় না
#config নিয়ম
# বিকল্প src lan
# বিকল্প src_ip 192.168.45.2
# বিকল্প dest ভ্যান
# বিকল্প প্রোটো টিসিপি
# বিকল্প লক্ষ্য প্রত্যাখ্যান

# Wan একটি নির্দিষ্ট ম্যাক ব্লক
#config নিয়ম
# বিকল্প dest ভ্যান
# বিকল্প src_mac 00: 11: 22: 33: 44: 66
# বিকল্প লক্ষ্য প্রত্যাখ্যান

# একটি জোন উপর আগত ICMP ট্রাফিক ব্লক
#config নিয়ম
# বিকল্প src lan
# বিকল্প প্রোটো ICMP
# বিকল্প টার্গেট ড্রপ

# পোর্ট পুনর্নির্দেশ বন্দর ভান উপর আসছে পোর্ট
#config পুনঃনির্দেশ
# বিকল্প src wan
# বিকল্প src_dport 80
# বিকল্প ভাগ্যবান
# বিকল্প dest_ip 192.168.16.235
# বিকল্প dest_port 80
# বিকল্প প্রোটো টিসিপি


### সম্পূর্ণ কনফিগ বিভাগ
#config নিয়ম
# বিকল্প src lan
# বিকল্প src_ip 192.168.45.2
# বিকল্প src_mac 00: 11: 22: 33: 44: 55
# বিকল্প src_port 80
# বিকল্প dest ভ্যান
# বিকল্প dest_ip 194.25.2.129
# বিকল্প dest_port 120
# বিকল্প প্রোটো টিসিপি
# বিকল্প লক্ষ্য প্রত্যাখ্যান

#config পুনঃনির্দেশ
# বিকল্প src lan
# বিকল্প src_ip 192.168.45.2
# বিকল্প src_mac 00: 11: 22: 33: 44: 55
# বিকল্প src_port 1024
# বিকল্প src_dport 80
# বিকল্প dest_ip 194.25.2.129
# বিকল্প dest_port 120
# বিকল্প প্রোটো টিসিপি

আমি মনে করি এটি একটি ওপেনওয়ার্ট প্রশ্ন চেয়ে একটি সাধারণ নেটওয়ার্কিং প্রশ্ন বেশি, তবে আমি মনে করি আমার ওপেনওয়ার্ট উল্লেখ করা উচিত। আমার কিছুটা ধারণা আছে যে এই কাজটি কিছু আইপিটিবল কালো জাদু জড়িত, কিন্তু আমি সঠিক পদার্থগুলি খুঁজে বের করতে পারি না, তাই আমি সাহায্য চাইতে চাই।

আগাম ধন্যবাদ!

উত্তর:


3

আপনার মত সঠিক পরিস্থিতি ছিল, গেটওয়ে ছাড়াও (সিস্কো RV042G)। যাইহোক, আমার সমাধান সম্ভবত হারিয়ে যাওয়া বৈশিষ্ট্য কারণে E4200 কাজ করবে না। অন্য পদ্ধতি ব্যবহার করে যদি এটি সম্ভব হয়, তাহলে এটি আমার জ্ঞান অতিক্রম করে। আমি অন্যদের জন্য উত্তর যোগ করছি যা এইরকম সমাধানটির সন্ধান করতে পারে।

ধরুন 10.0.0.0/24 হল আপনার প্রধান নেটওয়ার্ক গেটওয়ে ঠিকানা 10.0.0.1 এবং 10.0.1.0/24 অতিথি নেটওয়ার্ক। আমার সমাধান পুনরুত্পাদন করার জন্য পদক্ষেপ:

  • গেটওয়েতে অতিথির জন্য একটি ভিন্ন সাবনেট তৈরি করুন। গেটওয়েটি এই বৈশিষ্ট্যটিকে সমর্থন করতে হবে কারণ এটি উপযুক্ত সাবনেটে ইন্টারনেট ট্র্যাফিক রাউটিংয়ের জন্য একাধিক NAT টেবিল তৈরি করে।
  • গেটওয়েতে 10.0.1.0/24 থেকে 10.0.0.0/24 পর্যন্ত সমস্ত ট্র্যাফিক অবরোধের জন্য একটি ফায়ারওয়াল নিয়ম যুক্ত করুন।
  • কার্নেল 2.6+ এর সাথে একটি OpenWrt বিল্ড ব্যবহার করুন। brcm-2.4 বিল্ড ebtables সমর্থন অভাবের কারণে হবে না। ডিফল্ট brcm47xx কনফিগের উপর ভিত্তি করে একটি কনফিগারেশনের সাথে আমি একটি 12.06 বিল্ড ব্যবহার করেছি। ডিফল্ট চিত্র opkg কাজ করার সময় ব্যর্থ হয় 10.03 চেষ্টা করে না। আমি build2ot এর জন্য একটি ডেবিয়ান 7 i386 সুপারিশ করি কারণ এটি amd64 এবং বিভিন্ন র্যান্ডম কম্পাইল ত্রুটিগুলির সাথে আমার জীবনের যথেষ্ট ঘন্টা নষ্ট করেছে। আপনি ImageBuilder ব্যবহার করতে পারেন, আমি মনে করি, কিন্তু আমি এটি চেষ্টা করে নি। Ebtables জন্য নিম্নলিখিত প্যাকেজগুলি প্রয়োজন: ebtables, ebtables-utils, kmod-ebtables-ipv4। কার্নেল মডিউল স্বয়ংক্রিয়ভাবে নির্ভরতা হিসাবে যোগ করা হয় না , তাই সতর্কতা অবলম্বন করা আবশ্যক।
  • গেটওয়ে থেকে DHCP ব্রডকাস্ট ব্লক করার জন্য এই ebtables নীচের থেকে /etc/firewall.user এ নিয়ম করে, যদি গেটওয়ে একাধিক DHCP পুল সমর্থন করে না। RV042G না। OpenWrt ফোরামে তাদের সন্ধান করা হয়েছে, তাদের 12.06 এর জন্য অভিযোজিত করা হয়েছে যা ল্যান VLAN এর ইন্টারফেস নাম হিসাবে eth0.0 ব্যবহার করে।

ebtables -F

ebtables - একটি INPUT - ইন-ইন্টারফেস eth0.0 --protocol ipv4 --ip-protocol udp -ip-source-port 67:68 -j DROP

ebtables - একটি INPUT - ইন-ইন্টারফেস eth0.0 - প্রোটোকল ipv4 --ip-protocol udp -ip-destination-port 67:68 -j DROP

ebtables - একটি ফরওয়ার্ড - ইন-ইন্টারফেস eth0.0 - প্রোটোকল ipv4 --ip-protocol udp -ip-destination-port 67:68 -j DROP

ebtables - একটি ফরওয়ার্ড - ইন-ইন্টারফেস eth0.0 - প্রোটোকল ipv4 --ip-protocol udp -ip-source-port 67:68 -j DROP

  • ঐচ্ছিক: সেকেন্ডারি সাবনেটের জন্য ল্যান ইন্টারফেস কনফিগার করুন। গেটওয়ে এবং OpenWrt উভয় ডিফল্ট ব্যবহার করে যদি আপনি ঠিকানাটি পরিবর্তন করতে চান (19২.168.1.1)।

কনফিগ ইন্টারফেস ল্যান

অপশন টাইপ সেতু

বিকল্প ifname "eth0.0"

বিকল্প প্রোটো স্ট্যাটিক

বিকল্প ipaddr 10.0.1.2

বিকল্প নেটমাস্ক 255.255.255.0

বিকল্প গেটওয়ে 10.0.1.1

বিকল্প dns "8.8.8.8 8.8.4.4"

  • ডিএইচসিপি সার্ভারকে বলুন যে গেটওয়ে সম্প্রচার হিসাবে এটি সাধারণত ল্যান ইন্টারফেস কনফিগারেশন থেকে ipaddr ব্যবহার করবে:

কনফিগারেশন dhcp ল্যান

অপশন ইন্টারফেস ল্যান

অপশন শুরু 100

বিকল্প সীমা 100

বিকল্প leasetime 1h

তালিকা 'dhcp_option' '3,10.0.1.1'

  • একটি নিয়মিত অ্যাক্সেস পয়েন্ট হিসাবে বেতার কনফিগার করুন। ঐচ্ছিক: এনক্রিপশন (প্রস্তাবিত), ক্লায়েন্ট বিচ্ছিন্নতা (এছাড়াও সুপারিশ)।

আমি এই সেটআপের সাথে শুধুমাত্র একটি সমস্যা খুঁজে পেয়েছি: যে নেটওয়ার্কে সাবনেটটি "অনুমান করা" থাকে এবং নেটওয়ার্ক কনফিগারেশন বেতার ইন্টারফেসের জন্য নিজে সম্পন্ন হলে অতিথি আপনার প্রধান নেটওয়ার্কটি প্রবেশ করতে পারে। অতিথিরা এখনও প্রধান নেটওয়ার্কে এআরপি সম্প্রচারগুলি দেখতে পাচ্ছেন, এটি পূর্বের বিবৃতিটি বোঝার পক্ষে কঠিন নয়। আমি মনে করি এটি কিছু ফায়ারওয়াল নিয়মগুলির সাথে OpenWrt এপি তে সংশোধন করা যেতে পারে, তবে আমাকে সেই অংশটি গবেষণা করতে হবে।


আমি এটা পাশাপাশি ডবল NAT সঙ্গে সম্পন্ন করা হতে পারে। কয়েকবার OpenWrt ডিভাইসগুলির সাথে এটি ব্যবহার করে দেখুন: wiki.openwrt.org/doc/recipes/routedclient - একই ধারণা, গেস্ট নেটওয়ার্কে ভ্যান ঠিকানা হিসাবে একটি প্রধান ল্যান ঠিকানা ব্যবহার করে, WiFi লিঙ্কের পরিবর্তে কেবল সংযোগ, এবং অবরোধ গেটওয়েতে প্রবাহিত ট্র্যাফিক ছাড়া এবং গেটওয়ে থেকে আসা অতিথি এপি-তে সমস্ত ট্র্যাফিক। ম্যানুয়াল ঠিকানা কনফিগারেশন সমস্যা ঠিক করা উচিত। আমি এটা চেষ্টা করব এবং অন্য উত্তর দিয়ে ফিরে আসব।
সল্টওয়াটারসি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.