Uživatelské nástroje

Nástroje pro tento web


Rozdělení sítě do různých VLAN

Tento návod je platný pouze pro Turris 1.0 a 1.1

K čemu je dobré používat VLANy?

VLAN je vlastně logicky nezávislá síť v rámci jednoho zařízení. Znamená to, že můžete například část portů na Turrisu vyčlenit pro samostatnou síť, která může mít vlastní pravidla pro Firewall, vlastní rozsah IP adres a především může být oddělena od zbytku vaší sítě. Řekněme, že máte svou vlastní domácí síť a zároveň máte někde přístupový bod Wi-Fi, který je určen pro vaše sousedy, či pro návštěvy. Pomocí VLAN můžete tuto veřejnou Wi-Fi oddělit od zbytku provozu ve vaší síti a tak ochránit svá vlastní zařízení. Nebo máte doma NAS server, který poskytuje nějaké služby do internetu a chtěli byste jej umístit do demilitarizované zóny, aby v případě kompromitace serverových služeb nemohl útočník zaútočit i na další počítače ve vaší domácí síti. Určitě byste našli i další možnosti využití VLAN.

Jak na to?

V základní konfiguraci jsou již v Turrisu nakonfigurovány dvě VLANy. VLAN1 je reprezentován fyzickými LAN porty 2-5. Port označený jako LAN1 je pak připojen k VLAN2. Jakým způsobem změnit případné připojení k fyzickým portům je popsáno v odkazovaném článku. My se podíváme na to, jak můžeme dále oddělit obě VLAN a získat tak dvě nezávislé sítě LAN.

Prvně musíme zrušit původní konfiguraci, která obě sítě propojuje (bridge) do jedné velké LAN. Bohužel, i když webové rozhraní routeru tuto možnost nabízí, v současné době není zcela funkční a její použití vede k disfunkci zařízení. Proto je lepší využít připojení pomocí SSH a udělat změny přímo v konfiguračních souborech Turrisu. Nejdříve tedy upravíme obsah souboru /etc/config/network a to tak, že v části popisující interface lan odebereme z option ifname položku eth0:

/etc/config/network
config interface 'lan'
        option ifname 'eth1'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '192.168.40.1'

Dále založíme novou síť:

/etc/config/network
config interface 'lanneigh'
        option ifname 'eth0'
        option proto 'static'
        option ipaddr '10.0.0.1'
        option netmask '255.255.255.0'

Lanneigh je název naší nové sítě, můžete si jej pojmenovat dle vlastního uvážení, já zvolil lanneigh, protože se jedná o síť určenou pro připojování sousedů a návštěv. Jako option ifname jsem zadal eth0, ke kterému je přiřazena VLAN2. option proto 'static' říká, že rozhraní bude mít statickou IP adresu, další dvě položky pak říkají, jaká IP adresa a s jakou maskou to bude. Dále si nakonfigurujeme DHCP server tak, aby nám na nově vytvořené síti lanneigh přiděloval požadovaný IP rozsah. To provedeme přidáním následující sekce do konfiguračního souboru /etc/config/dhcp:

/etc/config/dhcp
config dhcp 'lanneigh'
        option interface 'lanneigh'
        option limit '150'
        option leasetime '12h'
        option start '30'
        list dhcp_option '6,10.0.0.1'

option interface 'lanneigh' udává název rozhraní, na kterém bude tento DHCP rozsah poskytován, option limit udává maximální počet IP adres, které mohou být přiděleny, option start pak říká, na jaké IP adrese má přidělování začít. V mém případě tak bude DHCP server přidělovat IP adresy z rozsahu 10.0.0.30 – 10.0.0.180. option leasetime udává čas, po který bude IP adresa propůjčena a konečně poslední položka definuje DNS server, který se bude klientům přidělovat.

Teď ještě musíme povolit přesměrování provozu, aby i tato druhá síť mohla používat internetové připojení a zároveň zůstala oddělená od naší původní sítě. Samozřejmě, možnosti konfigurace jsou různé, můžete například propojit obě lokální VLAN a pouze jednu z nich ponechat bez přístupu na internet. Záleží na vás, z jakého důvodu jste VLAN vytvářeli.

V souboru /etc/config/firewall přidáme informaci o zóně lanneigh:

/etc/config/firewall
config zone
        option name 'lanneigh'
        option input 'ACCEPT'
        option forward 'REJECT'
        option output 'ACCEPT'
        option network 'lanneigh'

option forward 'REJECT' zakazuje předávání dat, nebude tedy možné přistupovat z nově vytvořené sítě pojmenované lanneigh do sítě pojmenované jako lan, která představuje původní síť v našem Turrisu a reprezentuje VLAN1. Pokud toto chceme zakázat i v obráceném směru, je potřeba v konfigurační sekci původní sítě také změnit položku option forward na REJECT. Například já jsem toto ve své síti nezakazoval. Tak mám zajištěno, že zatímco uživatelé připojení do sítě lanneigh nemohou navázat komunikaci do mé vnitřní sítě, tak já se mohu v případě potřeby z mé vnitřní sítě pohodlně připojit k AP-čkům v síti lanneigh.

Dále ve stejném souboru přidáme řádky, které umožní přistupovat ze sítě lanneigh do internetu:

/etc/config/firewall
config forwarding
        option dest 'wan'
        option src 'lanneigh'

Výsledkem všech výše uvedených kroků je tedy to, že na portu LAN 1 našeho Turrisu máme samostatnou síť s vlastním IP rozsahem, která má přístup do internetu, ale zároveň nemůže přistupovat k ostatním zařízením, připojeným do portů LAN 2 – LAN 5.