Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

OpenWrt i bridge WAN<->Wifi

11 views
Skip to first unread message

heby

unread,
Feb 7, 2021, 11:18:48 AM2/7/21
to
Cześć.

Mam OpenWRT, jakaś nowa wersja bo to też nowe hardware. Ogólnie działa
bez problemów większych.

Jednak chciałbym skonfigurować go troche nietypowo.

Dziurka WAN będzie wpiąta do mojej wewnętrznej sieci. Dziurka LAN do
jednego komputera który chce wyseparować.

Dodatkowo chciałbym WiFi zbridgeować z WAN coby podziałał jako AP w
odległym miejscu dla reszty świata.

I tutaj d..a.

Co bym nie zrobił, bridge między WAN i WiFi nie działa. Ponieważ mo tym
WANie latają normalne pakiety DHCP klienci wifi powinni dostać numer IP
równoległy do routera. Nie dostają *nic*.

Prawdopodobnie jestem ofiarą jakiegoś seurity który uniemozliwia
poprawne zrobienie bridge WAN<->WIFI. Czy ktoś mógłby podpowiedzieć
czego szukać?

Wydaje mi się że na tej warstwie sieci, wszelakie firewalle nie mają
zasosowania. Ruch ma być zbridgeowany między dziurką WAN i WiFi i nie
podlegać "forwardowaniu". Ale może się mylę i firewall w OpenWRT działa
tez na pakiedy w bridge? Tak czy inaczej utknąłem na prostej koncepcji.

Podsumowując: chce mieć WAN w bridge z WIF i osobno LAN za NATem. I nie
działa. Co robie źle?

PS. Google niewiele wypluło. Pewnie nie wiem o co pytać :/

t-1

unread,
Feb 14, 2021, 2:51:38 PM2/14/21
to
W dniu 2021-02-07 o 17:18, heby pisze:

> Podsumowując: chce mieć WAN w bridge z WIF i osobno LAN za NATem. I nie
> działa. Co robie źle?
>
> PS. Google niewiele wypluło. Pewnie nie wiem o co pytać :/

Wydaje mi się że w każdym takim urządzeniu, WiFi jest spięte hardwarowo
na krótko z LAN, Więc jak chcesz to wyizolować? Tylko skalpel i lutownica.

heby

unread,
Feb 14, 2021, 4:23:38 PM2/14/21
to
On 14/02/2021 20:51, t-1 wrote:
> Wydaje mi się że w każdym takim urządzeniu, WiFi jest spięte hardwarowo
> na krótko z LAN, Więc jak chcesz to wyizolować? Tylko skalpel i lutownica.

Nie jest.

Ba, nawet niektóre hardware pozwala na wyizolowanie pojedynczych portów
ethernet stosujac dodatkowe znakowanie pakietów (stare routery na MIPS
miały taki bajer w procesorze, tworzyły kilka wirtualnych portów
ethernet które można było z poziomu software łaczyć w "switche" w
dowolnych konfiguracjach).

Wifi jednak jest *zawsze* osobnym urządzeniem.

Dopytałem na grupie facebookowej gdzie są "specjaliści" od OpenWRT.

Dostałem odpowiedzi opierdalające że robie coś co nie powinienem robić i
jestem głupi że to robię.

Ale udało się dojśc do tego że to nie jest możliwe z zupełnie iditycznej
przyczyny: OpenWRT ma źle napisane reguły firealli i zbridgeowanie WAN z
WiFi powoduje że obie sieci są izolowane, mimo zaznaczenia że mają byc w
bridge. Bug by design.

Ludzie na FB twierdzą, że to dlatego że WAN jest traktowany wyjątkowo i
ma osobne reguły, których nie widać w LUCI. Troche mnie zatkało ale
przyjąłem do wiadomości.

Da się zbridgeować WAN z Wifi. Tylko że nie da się wtedy jednoczesnie
mieć NAT z WAN do LAN. "Bo tak to działa a w ogóle po co Ci to, to nie
ma sensu".

Ogólnie udało mi się to zrobić poprzez odtworzenie WAN tylko pod inną
nazwą. Nie jestem zadowolony, to jest druciarstwo, w dodatku musiałem
pozbyć się większosci reguł firewalla.

W zasadzie bez dłubaniny problem redukuje się do tego że:
a) mogę mieć bridge WAN z Wifi, ale nie działa NAT
b) mogę mieć NAT ale nie działa bridge WiFi z WAN.

Nie chce mi się już w tym dłubać. Nawet jeśli znajdę workaround, to
pewnie najbliższy update softu go rozwali.

Adam

unread,
Feb 14, 2021, 4:47:41 PM2/14/21
to
W dniu 2021-02-14 o 22:23, heby pisze:
> On 14/02/2021 20:51, t-1 wrote:
>> Wydaje mi się że w każdym takim urządzeniu, WiFi jest spięte
>> hardwarowo na krótko z LAN, Więc jak chcesz to wyizolować? Tylko
>> skalpel i lutownica.
>
> Nie jest.
>
> Ba, nawet niektóre hardware pozwala na wyizolowanie pojedynczych portów
> ethernet stosujac dodatkowe znakowanie pakietów (stare routery na MIPS
> miały taki bajer w procesorze, tworzyły kilka wirtualnych portów
> ethernet które można było z poziomu software łaczyć w "switche" w
> dowolnych konfiguracjach).
>
> (...)
> Nie chce mi się już w tym dłubać. Nawet jeśli znajdę workaround, to
> pewnie najbliższy update softu go rozwali.

Weź na warsztat PRZYKŁADOWO coś z Mikrotika. Tam dowolną dziurkę czy
antenkę programujesz, jak chcesz. Zresztą nie tylko w mikritikach się z
tym spotykałem, ale pozostałe to są już droższe.


--
Pozdrawiam.

Adam

Adam

unread,
Feb 14, 2021, 4:48:44 PM2/14/21
to
W dniu 2021-02-14 o 22:47, Adam pisze:
> (...)
> Weź na warsztat PRZYKŁADOWO coś z Mikrotika. Tam dowolną dziurkę czy
> (...)
>

Przepraszam, nie zauważyłem caps-lock

--
Pozdrawiam.

Adam

heby

unread,
Feb 14, 2021, 5:02:32 PM2/14/21
to
On 14/02/2021 22:47, Adam wrote:
> Weź na warsztat PRZYKŁADOWO coś z Mikrotika. Tam dowolną dziurkę czy
> antenkę programujesz, jak chcesz.

Tutaj też. Tylko że:
a) jest jakiś problem/bug/featrue OpenWRT
b) ja już mam hardware i jestem z niego bardzo zdowolony

Dominik 'Rathann' Mierzejewski

unread,
Feb 17, 2021, 8:54:58 AM2/17/21
to
Date: Sun, 07 Feb 2021 17:18:45
From: heby
> Cześć.

> Mam OpenWRT, jakaś nowa wersja bo to też nowe hardware. Ogólnie działa
> bez problemów większych.

> Jednak chciałbym skonfigurować go troche nietypowo.

> Dziurka WAN będzie wpiąta do mojej wewnętrznej sieci. Dziurka LAN do
> jednego komputera który chce wyseparować.

Co masz na myśli pisząc "wyseparować"? Ile masz portów LAN i dlaczego
do wewnętrznej sieci chcesz koniecznie podpinać port WAN?

> Dodatkowo chciałbym WiFi zbridgeować z WAN coby podziałał jako AP w
> odległym miejscu dla reszty świata.

Gdybyś podpiął do LAN, to działałoby od razu. :)

> I tutaj d..a.

> Co bym nie zrobił, bridge między WAN i WiFi nie działa. Ponieważ mo tym
> WANie latają normalne pakiety DHCP klienci wifi powinni dostać numer IP
> równoległy do routera. Nie dostają *nic*.

> Prawdopodobnie jestem ofiarą jakiegoś seurity który uniemozliwia
> poprawne zrobienie bridge WAN<->WIFI. Czy ktoś mógłby podpowiedzieć
> czego szukać?

> Wydaje mi się że na tej warstwie sieci, wszelakie firewalle nie mają
> zasosowania. Ruch ma być zbridgeowany między dziurką WAN i WiFi i nie
> podlegać "forwardowaniu". Ale może się mylę i firewall w OpenWRT działa
> tez na pakiedy w bridge? Tak czy inaczej utknąłem na prostej koncepcji.

> Podsumowując: chce mieć WAN w bridge z WIF i osobno LAN za NATem. I nie
> działa. Co robie źle?

OK, teraz trochę jaśniej. Ja bym przepiął interfejs(y) wlanN do bridge'a
WAN i przekonfigurował firewall (/etc/config/firewall). W końcu to
zwykły Linux pod spodem jest, więc ostatecznie można ręcznie reguły
iptables zrobić.

Pokaż swój /etc/config/network i /etc/config/firewall. Najlepiej podaj
też adresy podsieci i gdzie stoi serwer DHCP.

Pozdrawiam,
Dominik
--
Fedora https://getfedora.org | RPM Fusion http://rpmfusion.org
There should be a science of discontent. People need hard times and
oppression to develop psychic muscles.
-- from "Collected Sayings of Muad'Dib" by the Princess Irulan

heby

unread,
Feb 17, 2021, 12:26:24 PM2/17/21
to
On 17/02/2021 14:54, Dominik 'Rathann' Mierzejewski wrote:
>> Dziurka WAN będzie wpiąta do mojej wewnętrznej sieci. Dziurka LAN do
>> jednego komputera który chce wyseparować.
> Co masz na myśli pisząc "wyseparować"?

Przydzielić mu osobny zakres adresacji i własny serwer DHCP.

> Ile masz portów LAN

2

> i dlaczego
> do wewnętrznej sieci chcesz koniecznie podpinać port WAN?

Aby stworzyć podsieć w której mogę podpinać urządzenia "źle się
zachowujace" bez rozwalania sieci podstawowej lub miec mozliwośc
kontrolowania co i jak jest forwardowane przez NAT.

>> Podsumowując: chce mieć WAN w bridge z WIF i osobno LAN za NATem. I nie
>> działa. Co robie źle?
> OK, teraz trochę jaśniej. Ja bym przepiął interfejs(y) wlanN do bridge'a
> WAN i przekonfigurował firewall (/etc/config/firewall).

Problem z tym "przekonfigurowaniem" polega na tym że reguły dotyczą
całego WANa i nie wiem co niby miałbym w nich zmieniać. Logicznie:
bridge nie powinien mieć związku z firewallem, nie ta warstwa. A jednak
ma. Nie do końca rozumiem.

> W końcu to
> zwykły Linux pod spodem jest, więc ostatecznie można ręcznie reguły
> iptables zrobić.

O to chodzi, coby nie robić ręcznie.

> Pokaż swój /etc/config/network i /etc/config/firewall. Najlepiej podaj
> też adresy podsieci i gdzie stoi serwer DHCP.

Chwilowo temat porzuciłem z uwagi na porady z grupy facebookowej z
okolic "ty głupi deb... nie da się".

ąćęłńóśźż

unread,
Aug 13, 2021, 9:03:00 AM8/13/21
to
U mnie tak działał router Western Digital (nie na OpenWRT) po przestawieniu z trybu router na tryb AP.


-----
> Dodatkowo chciałbym WiFi zbridgeować z WAN coby podziałał jako AP w odległym miejscu dla reszty świata.
0 new messages