CENTRODIGRAVITA.it
Attivare le VLAN su OPENWRT con il TP-LINK 1043nd
|
|
Dopo aver aggiornato il Firmware del TP-LINK 1043nd con OPENWRT alla versione 15.1 è possibile configurarlo per la gestione delle VLAN o LAN Virtuali.
Questo permette la segmentazione della rete in più sottoreti virtuali differenti e distinte con permessi di accesso configurabili con lo strumento firewall.
Il router diventa un gestore di rete Layer3.
- - - - - - - - - - - - - - - - - - - - - ATTENZIONE - - - - - - - - - - - - - - - - - - - - -
Il passaggio iniziale per attivare le VLAN è molto delicato in quanto se si "salva e applica" la modifica allo switch è possibile perdere l'accesso all'apparato e si deve quindi resettarlo allo stato iniziale.
Consiglio di attivare la rete wifi di default che si appoggia sulla lan in modo tale da poter accedere in wifi alla configurazione del router.
Accediamo alla pagina WEB del Router :
NETWORK -> SWITCH
In questa schermata si creano effettivamente la VLAN dove nel "VLAN ID" viene specificato il numero identificativo della VLAN che va da 1 a 4094.
Cliccando su "ADD" si inserisce una nuova riga che corrisponde ad una nuova VLAN.
Le prime due righe VLAN ID : 1 e 2 devono essere lasciate come vedete nell'immagine:
La VLAN ID 1 normalmente è inutilizzabile negli Switch Layer2 (es. switch HP Procurve) in quanto corrisponde a quella di base e quindi non andremo ad utilizzarla neanche con il 1043nd.
La VLAN ID 2 gestisce la parte WAN del 1043nd e toccandola non funzionerebbe più correttamente la WAN del Router.
Creando una nuova VLAN, oltre a indicare il "VLAN ID", si deve decidere a che porta FISICA LAN collegarla.
Le possibilità di configurazione sono :
"tagged" porta dove i pacchetti di rete escono con in aggiunta il "TAG" che identifica la VLAN. Deve essere collegato un apparato che sappia leggere i TAG come ad esempio uno switch layer2 e deve essere configurato con le VLAN con gli stessi ID.
"untagged" porta dove i pacchetti escono in formato leggibile da qualsiasi apperecchio di rete come un PC.
"off" Porta scollegata
La porta CPU corrisponde al collegamento virtuale con il router e deve essere "tagget" per colloquiare con lo stesso. (se si vuole tenerla separata dal router basta impostare OFF funzionerà solo da switch).
Se prendiamo come esempio la VLAN ID 10 la porta1 è "untagged" e quindi disponibile per il collegamento di un pc o altro apparato di rete mentre la porta4 è "tagged" in quanto deve collegarsi ad uno switch con configurato lo stesso VLAN ID che a sua volta renderà disponibile questa rete virtuale a determinate porte dello switch (in chiaro come untagged o con l'id della vlan come tagged).
La porta 4 ha le VLAN 10,17,15,17 "tagged" quindi in un unico cavo di rete collegato alla porta 4 possiamo portare tutte le sottoreti virtuali distinte e quindi senza possibilità di accesso l'una con l'altra.
- - - - - - - - - - - - - - - - - - - - - ATTENZIONE - - - - - - - - - - - - - - - - - - - - -
Dopo la configurazione di questa schermata consiglio di fare solo SALVA in modo tale da assegnare anche le interfacce senza disconnessioni o blocchi di accesso al router.
Applicheremo poi tutte le modifiche.
NETWORK -> INTERFACES -> LAN.
Come prima cosa editiamo la LAN, che esiste già di Default, e la colleghiamo alla "CUSTOM INTERFACE" scrivendo "eth1.XX" (dove XX è la VLAN ID creata prima) e flaggando il quadrato a fianco di custom interface.
Nel Tab Firewall lasciamo selezionato LAN e nel tab sotto possiamo attivare il DHCP.
- - - - - - - - - - - - - - - - - - - - - ATTENZIONE - - - - - - - - - - - - - - - - - - - - -
SALVANDO E APPLICANDO il router applicherà le modifiche della vlan e se tutto è stato inserito correttamente si avrà ancora accesso alla lan sulle porte "untagged" configurate nel VLAN ID corrispondente alla lan.
Nel menu NETWORK -> INTERFACES possiamo aggiungere le nuove interfacce e chiamarle come vogliamo ad esempio "TL" e durante il wizard di creazione selezionare la "custom interface" scrivendo "eth1.XX" (dove XX è la VLAN ID creata prima), configurare la nuova zona nel TAB firewall con il pallino su "unspecified or create" inserendo il nome e attivare il DHCP.
NETWORK -> FIREWALL
In questa schermata configuriamo le relezioni delle singole interfacce di rete/VLAN.
Nell'esempio riportato tutte le reti hanno l'accesso a internet in quanto hanno il forwarding verso la =>WAN.
Solo la LAN ha la possibilità di accedere anche alla rete TL come forwarding quindi tutte le reti sono isolate e non possono comunicare tra di loro tranne che per la LAN che ha accesso alla TL ma non il contrario.
CLICCANDO SU EDIT di ogni zona APPARE LA SEGUENTE SCHERMATA:
Questa è la schermata EDIT della LAN dove si nota che è presente il FLAG sulla TL nella "allow forward TO DESTINATION zones" e permette quindi l'accesso alle zone con il flag. Cliccando sul FLAG e cliccando su "salva e applica" verrà aggiunto il flag "allow forward FROM SURCE zones" nella configurazione della zona selezionata (in questo esempio nella TL).
E' Possibile anche associare una rete WIRELESS alla singola interfaccia semplicemente entrando nel menu
NETWORK -> WIFI
Cliccando su "ADD", tra tutti i parametri standard di configurazione del WIFI, compare anche la possibilità di associare questo SSID ad una interfaccia e quindi ad una VLAN.
Tutto il materiale (testo, grafica e immagini) presente in questo sito è di proprietà di CENTRODIGRAVITA.it, pubblicato su concessione degli autori. Ne è vietata la riproduzione, anche parziale, senza il consenso scritto da parte dello staff CENTRODIGRAVITA.it. Eventuale materiale erroneamente pubblicato e soggetto a copyright verrà immediatamente rimosso su segnalazione del titolare dei diritti. CENTRODIGRAVITA.it non si assume nessuna responsabilità per danni che derivino dall'utilizzo delle informazioni, consigli e file scaricati dal sito. Per info o problemi cliccate qui per contattarci. o qui per accedere all'informativa sui cookie