类型学

tag-icon tag-icon firewall routing wifi subnet openwrt
类型学

根据以下链接将问题迁移到这里。这是用于酒店无线覆盖。

我需要解释这里对于 DD-WRT,但我使用的是 OpenWRT 和 LEDE。我需要在子网之间建立路由(网关),但我卡在这一步。OpenWRT 指南说要这样做:https://wiki.openwrt.org/doc/recipes/routedclient

固定 WAN 地址后,必须向接入点添加静态路由,其信息如下:

IP地址:192.168.2.1(我们的LAN接口的IP地址)

目标 LAN NET(DD-WRT 中需要):192.168.2.0(我们的 LAN 接口子网)

网络掩码:255.255.255.0(我们的 LAN 接口的网络掩码)

网关:192.168.1.30(我们的 WAN 接口的 IP 地址)

它没有说明如何做到这一点。我知道通常有两种方法:一种是临时的,一种是持久的。我该如何实现这一点?(我知道需要发生什么,我只是不知道如何实现它)如果有人想知道我尝试过什么,我很乐意添加更多信息。

作为一种尝试,我尝试添加一条到路由器 1 (/etc/config/network) 的路由:

# Route to router 3 subnet
config route
  option interface lan
  # remote subnet that route is for (called destination on dd-wrt i think)
  option target     10.0.1.0
  # net mask of subnet on router 3)
  option netmask    255.255.255.0
  # ip address of next hop to destination subnet, router 3 wan
  option gateway    10.0.3.1

如果正确的话,我应该能够从路由器 3 ping 10.0.1.1 吗?

类型学

我的网络拓扑与此非常相似,只是我有 3 个路由器。我使用合乎逻辑且易于记忆的方案构建子网:

在此处输入图片描述

私有(每个路由器一个子网;10.0 用于私有网络)

  1. 10.0.1.0/24 私有子网 1,路由器位于 10.0.1.1/24(这也是通过 pppeo 提供的互联网提供商)
  2. 10.0.2.0/24 私有子网 2,路由器位于 10.0.2.1/24(路由客户端)
  3. 10.0.3.0/24 私有子网 3,路由器位于 10.0.3.1/24(路由客户端)

访客(每个路由器一个子网;访客网络为 10.1)

  1. 10.1.1.0/24 来宾子网 1,路由器位于 10.1.1.1/24
  2. 10.1.2.0/24 来宾子网 2,路由器位于 10.1.2.1/24(路由客户端)
  3. 10.1.3.0/24 来宾子网 3,路由器位于 10.1.3.1/24(路由客户端)

所有路由器都通过后端无线网络无线连接,就像图中一样——每个路由器在其 WAN 上都有一个静态 IP 地址。在我的例子中,主网络是 10.0.1.0/24(在图中代表 192.168.1.0/24)。

在此处输入图片描述

笔记

我希望采用路由方式(而不是 WDS 或伪装方式),以便灵活地添加安全层(例如,跨多个接入点加入访客子网、跨多个接入点加入私有子网、将访客与私有网络隔离、为所有人提供互联网访问权限)。我只希望登录路由器 2 或 3 并运行ping 10.0.1.1并得到答案!我只得到“pingto:sendto:网络无法访问”。

在 Icidu(更名为 TL-wr1043ND,已被黑客入侵)上使用 OpenWRT,在 Linksys WRT1900WC 上使用 LEDE。

答案1

192.168.1.0/24 上的路由器应该有一条通过 192.168.1.30 到达 192.168.2.0.24 的路由。您可以将其添加到此网络上的单个设备。

无线路由器应将所有到 192.168.1.0/24 的流量路由到地址为 192.168.1.1 的路由器。但是,这可能是伪装 (NATing) 流量。如果您希望 192.168.1.0/24 上的设备能够连接到 192.168.2.0/24 上的设备,请禁用到 192.168.1.1/24 的流量伪装。

在 192.168.1.1 路由器的控制面板中添加路由,保存并应用。这应该会使其持久。通过执行路由命令添加路由不会持久。但是,如果您可以添加在重启时运行的命令,那么它也会持久。

答案2

采用OpenWRT或LEDE的路由网络解决方案。

也许最难的部分是设置辅助路由器。这里我以路由器 3 为例提供我的更改(不是全部文件)。

路由器 3

/etc/config/network

设置局域网:我希望路由器 3 上的客户端从路由器 3 获取一个 IP 地址(与其他路由器不同的 IP 地址:

config interface 'lan'
    option ifname 'eth1'
    option type 'bridge'
    option proto 'static'
    option ipaddr '10.0.3.1'
    option netmask '255.255.255.0'

请注意,WAN 保持在 DHCP 模式,以便它可以从路由器 1 获取 IP 地址 (10.0.1.3)。

# WAN ACQUIRES IP FROM ROUTER 1
config interface 'wan'
    option ifname 'eth0'
    option proto 'dhcp'

添加到其他子网的静态路由(目标是其他子网)

# ADD STATIC ROUTE TO ACCESS SUBNET 10.0.1.0 from 10.0.3.0
config route
    option interface 'lan'
    option target '10.0.1.0'
    option netmask '255.255.255.0'
    option gateway '10.0.1.3'

# ADD STATIC ROUTE TO ACCESS SUBNET 10.0.2.0 from 10.0.3.0
config route
    option interface 'lan'
    option target '10.0.2.0'
    option netmask '255.255.255.0'
    option gateway '10.0.1.2'

# Gateway - This must be set to the IP address of the next hop to the 
# destination subnet which in this case is the WAN IP of Router2 and Router3. 
# In networks with more devices the next hop may not be the device that is 
# directly connected to the subnet.

/etc/config/dhcp

我不得不对dnsmasq配置进行一些小的调整。在这里,我通过将路由器 3 上的所有请求转发到路由器 1 上的单个 DNS,免去了在所有客户端上管理 DNS 的麻烦。不幸的是,我仍然必须手动允许某些内容的域重新绑定,这违背了目的。

config dnsmasq
    option domainneeded '1'
    option boguspriv '1'
    option filterwin2k '0'
    option localise_queries '1'
    option rebind_protection '1'
    option rebind_localhost '1'
    option local '/lan/'
    option domain 'lan'
    option expandhosts '1'
    option nonegcache '0'
    option cachesize '1000'
    option authoritative '1'
    option readethers '1'
    option leasefile '/tmp/dhcp.leases'
    option resolvfile '/tmp/resolv.conf.auto'
    option localservice '1'
    # CHANGE
    list server '10.0.1.1'# Clients will still call 10.0.3.1 but dns list is at router 1
    list rebind_domain '.mydomain.com' # Allow rebind to web server hosted on 10.0.1.x
    list rebind_domain 'plex.direct'

/etc/config/firewall

这是最棘手的部分,因为如果你搞砸了,什么都行不通。因为路由器 3 位于路由器 1 后面,而且我知道路由器 1 是安全的(我的另一个子网,而不是互联网),所以我打开了 WAN 以允许网络间通信。

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    # CHANGE FOR AUX ROUTER WAN. NORMALLY REJECT.
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'
    # CHANGE. NO NEED TO MASQUERADE WHEN ROUTING.
    option masq '0'
    option mtu_fix '1'

# CHANGE. ADDED FOR SUBNET 1 TO SUBNET 3 COMM
config forwarding
    option src 'wan' 
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'wan'

# CHANGE. ADDED TO TRY AND FORCE ALLOW LAN PING
config rule
        option name 'Allow-Ping-LAN'
        option src 'lan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

您还需要在所有路由器上添加这些内容,因此维护成本就会增加。

config rule
        option name 'Allow-Avahi'
        option src 'lan'
        option dest 'lan'
        option dest_port '5353'
        option proto 'udp'
        option target 'ACCEPT'
        option src_port '5353'

config rule
        option name 'Allow-PlexLocalStuff'
        option src 'lan'
        option dest 'lan'
        option dest_port '32410 32412 32413 32414 1900 3005 32469 8324'
        option proto 'udp'
        option target 'ACCEPT'
        option src_port '32410 32412 32413 32414 1900 3005 32469 8324'

相关内容