-
IT café
OpenWrt topic
Új hozzászólás Aktív témák
-
válasz vargalex #19020 üzenetére
Kösz, ez elsőre tényleg egyszerűnek tűnik.
Viszont a "dumb AP" nálam azt jelenti, hogy a Firewall/DHCP/DNS/stb nem fut, vagy még csak telepítve sincs az AP-re, illetve nincs WAN interfész se, minden csak össze van bridge-elve. Tehát ezt igazából talán tovább tartana beállítani és az AP CPU/RAM terhelését növelné, nem a router-ét (ami egy x86 gép, szóval ott halál elenyésző bármi).A másik megoldás akkor szétszedni egy (vagy akár több) ethernet interfészt a router-en és az AP-(ke)n is két VLAN interfészre: _main és _IoT.
Az AP-(ke)n hozzáadni egy(-egy) új WLAN_IoT interfészt a rádió(k)hoz. A régi WLAN megy a VLAN_main-re, WLAN_IoT a VLAN_IoT-re bridge-be. Semmi Firewall/DHCP/DNS...Router oldalon a VLAN_main megy a régi LAN bridge-bre, ha több VLAN_IoT is van, akkor ezek mennek egy új bridge-be (előrelátóan akkor is, ha egyelőre egy csak egy szál VLAN_IoT megy rá, mert ki tudja, hogy sikeresen lefedi-e a ház összes IoT eszközét egy AP/rádió 2.4GHz-en "legacy B" módban, főleg, hogy a padlástér egyik sarkára tervezem, hogy az 5GHz a kertet fedje).
Annyi kérdés marad, hogy mi kezeli router oldalon a br_IoT-t, mert jelenleg stateless tűzfalszabály NAT-ol amiatt, hogy a belső hálózatról is elérhető legyen a gép a WAN címekkel is (így meg lehet adni fixen mindennek egy aha.ddns.net címet, és működik kint is, bent is). Erre talán van más megoldás is, de ez volt a legegyszerűbb, hogy:-A POSTROUTING -j MASQUERADE
Amíg benne volt az-i br0
, addig bentről nem működött az aha.ddns.net címzés. Bár tudom, hogy a fentitől valami elegánsabbal kellett volna megoldani. Amíg ez a fenti opció él, addig végül is NAT-olni fog a router mindenhonnan mindenhova, ahová kell. Egyedül egy új tűzfalszabály kéne, hogy pl. 192.168.2.0/24-ből nem érhető el más, csak a WAN.
Valami ilyesmi ezekhez?-A INPUT -i br_IoT -j REJECT
-A FORWARD -s 192.168.2.0/24 -i br_IoT -j ACCEPT
Mondjuk lehet, hogy inkább a router-en fogok IoT-ket DHCP-vel ellátni, mert egyszerűbb, mint két dnsmasq-ot futtatni a router-en (miután megnéztem, nem tudok egyetlen dnsmasq folyamattal egyszerre két LAN-t is ellátni, ha nem ugyan abban a tartományban vannak).
Sőt, lehet, hogy hagyom őket ugyan abban a tartományban, mint a br0, és azt a két eszközt külön kezelem, tehát pl. kizárólag ennyit szúrok be:-A INPUT -i br_IoT -j REJECT
és kész. Gondolom már így sem lesz elérhető a br0 a br_IoT-ről akkor sem, ha mind192.168.1.0/24
, vagy ebben tévedek?De még rugalmasabb lehetne, ha a WLAN_main a fizikai interfésszel lenne bridge-elve router-en és AP-n is, és csak egy szál VLAN lenne, ami a router-en és AP-n is a WLAN_IoT-re bridge-el. Így akkor is működne a WLAN_main, ha ezt a tartalék AP-t átviszem bármi más tetszőleges helyre (jelenleg erre használom). Ez így működne?
[ Szerkesztve ]
TV/monitor kalibrálást vállalok. ||| "All right , Thom. But understand this: I do care for you. I care for all the lost souls than end up up here."
Új hozzászólás Aktív témák
- Fortnite - Battle Royale & Save the World (PC, XO, PS4, Switch, Mobil)
- Nyárköszöntő hardverszemle
- Kínai, és egyéb olcsó órák topikja
- Hieronymus: Békésen legelészik a májusi hardvercsorda
- Samsung Galaxy A52s 5G - jó S-tehetség
- AMD CPU-k jövője - amit tudni vélünk
- Autós topik
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Konteó topic
- Mibe tegyem a megtakarításaimat?
- További aktív témák...
- Új, bontatlan World of Warcraft gyűjtői kiadások
- Játékkulcsok olcsón: Steam, Uplay, GoG, Origin, Xbox, PS stb.
- AKCIÓ! - STEAM kulcsok / Punch Club, Oddworld: Soulstorm, Children of Morta, stb. - 2024.05.16.
- Windows, Office licencek a legolcsóbban, egyenesen a Microsoft-tól - 2990 Ft-tól!
- Bontatlan - BATTLEFIELD 1 Collectors Edition - Játékszoftver nélkül
Állásajánlatok
Cég: Alpha Laptopszerviz Kft.
Város: Pécs
Cég: Ozeki Kft.
Város: Debrecen