• Stampa
Visite: 6305

Attivare le VLAN su OPENWRT con il TP-LINK 1043nd

 

 

 

openwrt vlan

 

Dopo aver aggiornato il Firmware del TP-LINK 1043nd con OPENWRT alla versione 15.1 è possibile configurarlo per la gestione delle VLAN o LAN Virtuali.

Questo permette la segmentazione della rete in più sottoreti virtuali differenti e distinte con permessi di accesso configurabili con lo strumento firewall.

Il router diventa un gestore di rete Layer3.

 

 - - - - - - - - - - - - - - - - - - - - - ATTENZIONE - - - - - - - - - - - - - - - - - - - - -

Il passaggio iniziale per attivare le VLAN è molto delicato in quanto se si "salva e applica" la modifica allo switch è possibile perdere l'accesso all'apparato e si deve quindi resettarlo allo stato iniziale.

Consiglio di attivare la rete wifi di default che si appoggia sulla lan in modo tale da poter accedere in wifi alla configurazione del router.

 

 

Accediamo alla pagina WEB del Router :

 

NETWORK -> SWITCH

1043nd openwrt Vlan SWITCH

 

In questa schermata si creano effettivamente la VLAN dove nel "VLAN ID" viene specificato il numero identificativo della VLAN che va da 1 a 4094.

Cliccando su "ADD" si inserisce una nuova riga che corrisponde ad una nuova VLAN.

Le prime due righe VLAN ID : 1 e 2 devono essere lasciate come vedete nell'immagine:

La VLAN ID 1 normalmente è inutilizzabile negli Switch Layer2 (es. switch HP Procurve) in quanto corrisponde a quella di base e quindi non andremo ad utilizzarla neanche con il 1043nd.

La VLAN ID 2 gestisce la parte WAN del 1043nd e toccandola non funzionerebbe più correttamente la WAN del Router.

 

Creando una nuova VLAN, oltre a indicare il "VLAN ID", si deve decidere a che porta FISICA LAN collegarla.

Le possibilità di configurazione sono :

"tagged"  porta dove i pacchetti di rete escono con in aggiunta il "TAG" che identifica la VLAN. Deve essere collegato un apparato che sappia leggere i TAG come ad esempio uno switch layer2 e deve essere configurato con le VLAN con gli stessi ID.

"untagged" porta dove i pacchetti escono in formato leggibile da qualsiasi apperecchio di rete come un PC.

"off" Porta scollegata

 

La porta CPU corrisponde al collegamento virtuale con il router e deve essere "tagget" per colloquiare con lo stesso. (se si vuole tenerla separata dal router basta impostare OFF funzionerà solo da switch).

Se prendiamo come esempio la VLAN ID 10 la porta1 è "untagged" e quindi disponibile per il collegamento di un pc o altro apparato di rete mentre la porta4 è "tagged" in quanto deve collegarsi ad uno switch con configurato lo stesso VLAN ID che a sua volta renderà disponibile questa rete virtuale a determinate porte dello switch (in chiaro come untagged o con l'id della vlan come tagged).

La porta 4 ha le VLAN 10,17,15,17 "tagged" quindi in un unico cavo di rete collegato alla porta 4 possiamo portare tutte le sottoreti virtuali distinte e quindi senza possibilità di accesso l'una con l'altra.

 

  - - - - - - - - - - - - - - - - - - - - - ATTENZIONE - - - - - - - - - - - - - - - - - - - - -

Dopo la configurazione di questa schermata consiglio di fare solo SALVA in modo tale da assegnare anche le interfacce senza disconnessioni o blocchi di accesso al router.

 

Applicheremo poi tutte le modifiche.

 

 

NETWORK -> INTERFACES -> LAN.

 1043nd openwrt Vlan INTERFACE LAN

 

Come prima cosa editiamo la LAN, che esiste già di Default, e la colleghiamo alla "CUSTOM INTERFACE" scrivendo "eth1.XX" (dove XX è la VLAN ID creata prima) e flaggando il quadrato a fianco di custom interface.

 

 

1043nd openwrt Vlan INTERFACE LAN FIREWALL

 

 

Nel Tab Firewall lasciamo selezionato LAN e nel tab sotto possiamo attivare il DHCP.

 

 - - - - - - - - - - - - - - - - - - - - - ATTENZIONE - - - - - - - - - - - - - - - - - - - - -

SALVANDO  E APPLICANDO  il router applicherà le modifiche della vlan e se tutto è stato inserito correttamente si avrà ancora accesso alla lan sulle porte "untagged" configurate nel VLAN ID corrispondente alla lan.

 

 Nel menu  NETWORK -> INTERFACES  possiamo aggiungere le nuove interfacce e chiamarle come vogliamo ad esempio "TL" e durante il wizard di creazione selezionare la "custom interface" scrivendo "eth1.XX" (dove XX è la VLAN ID creata prima), configurare la nuova zona nel TAB firewall con il pallino su "unspecified or create" inserendo il nome e attivare il DHCP.

 

 

 NETWORK -> FIREWALL

 

1043nd openwrt Vlan FIREWALL

In questa schermata configuriamo le relezioni delle singole interfacce di rete/VLAN.

Nell'esempio riportato tutte le reti hanno l'accesso a internet in quanto hanno il forwarding verso la =>WAN.

Solo la LAN ha la possibilità di accedere anche alla rete TL come forwarding quindi tutte le reti sono isolate e non possono comunicare tra di loro tranne che per la LAN che ha accesso alla TL ma non il contrario.

 

CLICCANDO SU EDIT di ogni zona APPARE LA SEGUENTE SCHERMATA:

1043nd openwrt Vlan FIREWALL lan

 

 

Questa è la schermata EDIT della LAN dove si nota che è presente il FLAG sulla TL nella "allow forward TO DESTINATION zones" e permette quindi l'accesso alle zone con il flag. Cliccando sul FLAG e cliccando su "salva e applica" verrà aggiunto il flag "allow forward FROM SURCE zones" nella configurazione della zona selezionata (in questo esempio nella TL).

 

 

E' Possibile anche associare una rete WIRELESS alla singola interfaccia semplicemente entrando nel menu

NETWORK -> WIFI

 

1043nd openwrt Vlan WIFI

 

 

 

Cliccando su "ADD", tra tutti i parametri standard di configurazione del WIFI, compare anche la possibilità di associare questo SSID ad una interfaccia e quindi ad una VLAN.