Новый vlan

          Имеется роутер на базе Ralink с DD-WRT с  IP адресом "192.168.130.100" и настроен на подключение к провайдеру с помощью “PPTP” соединения, т.е. имеем поднятый на роутере “ppp0” интерфейс. Клиенты подключены к роутеру как по LAN кабелю так и по Wi-fi. 

Задача. Подключить одного из клиентов на отдельный vlan и предоставить ему доступ только в интернет. Для выполнение данной задачи нам необходимо :

Первое.

Выделить отдельный LAN порт например “1” для создания на нем “vlan3”, для этого необходимо выполнить две команды.

 

switch reg w 70 48ff5067

switch reg w 44 3001   

Присвоим новому интерфейсу имя “vlan3” и назначим IP адрес – 192.168.0.1.

vconfig add eth2 3

ifconfig vlan3 192.168.0.1 netmask 255.255.255.0 up

В результате данных действий на роутере будут интерфейсы с именами, посмотреть можно с помощью команды “ifconfig”.

Vlan2 – порт WAN имеет IP

Vlan1 – порты LAN2-LAN4

Vlan3 – порт LAN1 – 192.168.0.1

Br0 – мост vlan1+ra0 – 192.168.130.1

Ra0 – порт Wi-fi

Ppp0 – интерфейс для доступа в интернет имеет IP

При подключении клиента к LAN1 необходимо установить стат IP адрес из сегмента 192.168.0.2-254 маска 255.255.255.0 шлюз 192.168.0.1

Второе.

Необходимо разрешить доступ клиента на “vlan3” к интерфейсу “ppp0”, т.е. выход в интернет, используем для этого команду “iptables”.

iptables -I INPUT -i vlan3 -j ACCEPT

iptables -I OUTPUT -o vlan3 -j ACCEPT

iptables -I INPUT -i vlan3 -m state --state NEW -j logaccept

iptables -I FORWARD -i vlan3 -o vlan3 -j ACCEPT

iptables -I FORWARD -i vlan3 -o ppp0 -j ACCEPT

iptables -I FORWARD -i vlan3 -m state --state NEW -j ACCEPT

iptables -I FORWARD -i ppp0 -o vlan3 -j TRIGGER --trigger-type in

iptables -I FORWARD -i vlan3 -j trigger_out

iptables -t nat -A POSTROUTING 1 -o vlan3 -j SNAT --to-source 192.168.0.1

Для проверки правильности введенных команд необходимо использовать команду “iptables -nvL” и “iptables –t nat -nvL”.  

Если все настроено удачно, то после подключения клиента на данный LAN1 порт, он сможет получить доступ только для интернета, локальные ПК которые подключены к LAN2-LAN4 и Wi-fi будут для него не доступны.

Для автоматизации процесса, т.е. при загрузке роутера чтоб он выполнял данные команды сам, необходимо использовать WEB интерфейс нашего роутера, написать данные команды скрипта и положить его в “StartUp”,  скрипт с “iptables” командами положить в “Firewall”. Результат выполнения данных процедур должен иметь вид согласно рисункам ниже.

Дополнение.

Если необходимо чтоб клиент получал IP на “vlan3” в автоматическом режиме с помощью "DHCP" то воспользуемся настройками WEB для нашего роутера. Настроив секцию "DHCPD" - выбрав созданный новый интерфейс "vlan3", настроить диапазон IP для него, и выделенное время для клиента который получит данный IP адрес.

 

Для доступа данного клиента подключенного к LAN1 порту роутера к остальным клиентам  подключенным к LAN2-LAN4 и Wi-Fi необходимо создать дополнительно правила “iptables” для прохождения пакетов с “vlan3” на “br0”.