Hallo Gurus,
bin bisher nur gescheitert:
Aufgabe:
Router AC5300/Dual-WAN auf Port WAN und Port 1
1. mngt-Netz-VLan 1 192.168.1.0/Router 192.168.1.251/Radius 192.168.1.251/ DHCP 192.168.1.250
2. produktiv-VLan 12 192.168.100.0/Router 192.168.100.251/Radius 192.168.100.250/ DHCP 192.168.100.250
3. produktiv-VLan 12 über dns 192.168.1.251 /ad-blocking mittels ab-solution und pixelsvr-tls 192.168.1.5
4. eth1/eth2 auf VLan 12, eth3 auf VLan 1
init-start:
## Netzwerk- und Porteinstellungen AC5300
#
# add vlan 12 to eth0 (VLan12/WiFi-Produktiv)
ip link add link eth0 name eth0.12 type vlan id 12
ip link set dev eth0.12 up
#
## VLan-Zuordnung Lan-Ports (5 -> 5u), Port 1= DUAL-WAN
# Port2/3=VLan12, MNGT-Port4=vlan1
#
robocfg vlan 1 ports "4 5u 7 8t"
# vlan12= Produktionsnetz 192.168.100.0
robocfg vlan 12 ports "2 3 5u 7 8t"
#
# entferne Produktiv-Wlan 2/5-1GHz eth1/eth2 von bridge 0
brctl delif br0 eth1
brctl delif br0 eth2
#
#
# WiFi-Produktionsnetz
# erstelle bridge2 und ordne Wlan-Schnittstellen zu
brctl addbr br2
ifconfig br2 192.168.100.251 netmask 255.255.255.0 broadcast 192.168.100.255
brctl addif br2 eth1
brctl addif br2 eth2
brctl addif br2 eth0.12
#
# fix WPA2 on WiFi
nvram set lan_ifnames="vlan1 eth3"
nvram set lan_ifname="br0"
nvram set lan1_ifnames="eth0.12 vlan12 eth1 eth2"
nvram set lan1_ifname="br2"
nvram commit
killall eapd
eapd
#
firewall-start
#!/bin/sh
logger -t $(basename $0) "firewall-start started [$@]" -p error
#
# NAT on auf dem WAN Port
iptables -t nat -I POSTROUTING -o `nvram get wan0_ifname` -j SNAT --to `nvram get wan0_ipaddr`
iptables -t nat -I POSTROUTING -o `nvram get wan0_ifname` -j SNAT --to `nvram get wan1_ipaddr`
# erlaube br2 Zugriff auf br0, WAN und andere Subnetze
iptables -I FORWARD -i br2 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# verhindere Zugriff auf br2 von br0
iptables -I FORWARD -i br2 -o br0 -m state --state NEW -j DROP
# verhindere Zugriff auf br0 von br2
iptables -I FORWARD -i br0 -o br2 -m state --state NEW -j DROP
# verhindere Zugriff auf br2 vom WAN
iptables -I FORWARD -i br2 -d `nvram get wan0_ipaddr`/`nvram get wan0_netmask` -m state --state NEW -j DROP
iptables -I FORWARD -i br2 -d `nvram get wan1_ipaddr`/`nvram get wan1_netmask` -m state --state NEW -j DROP
# verhindere Zugriff auf br2 von local router sockets
iptables -I INPUT -i br2 -m state --state NEW -j DROP
# erlaube Zugriff br2 auf DHCP-Server
iptables -I INPUT -i br2 -p udp --dport 67 -j ACCEPT
# erlaube br2 Zugriff auf DNS-Server
iptables -I INPUT -i br2 -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i br2 -p tcp --dport 53 -j ACCEPT
#
erbitte HILFE!, Danke!!
bin bisher nur gescheitert:
Aufgabe:
Router AC5300/Dual-WAN auf Port WAN und Port 1
1. mngt-Netz-VLan 1 192.168.1.0/Router 192.168.1.251/Radius 192.168.1.251/ DHCP 192.168.1.250
2. produktiv-VLan 12 192.168.100.0/Router 192.168.100.251/Radius 192.168.100.250/ DHCP 192.168.100.250
3. produktiv-VLan 12 über dns 192.168.1.251 /ad-blocking mittels ab-solution und pixelsvr-tls 192.168.1.5
4. eth1/eth2 auf VLan 12, eth3 auf VLan 1
init-start:
## Netzwerk- und Porteinstellungen AC5300
#
# add vlan 12 to eth0 (VLan12/WiFi-Produktiv)
ip link add link eth0 name eth0.12 type vlan id 12
ip link set dev eth0.12 up
#
## VLan-Zuordnung Lan-Ports (5 -> 5u), Port 1= DUAL-WAN
# Port2/3=VLan12, MNGT-Port4=vlan1
#
robocfg vlan 1 ports "4 5u 7 8t"
# vlan12= Produktionsnetz 192.168.100.0
robocfg vlan 12 ports "2 3 5u 7 8t"
#
# entferne Produktiv-Wlan 2/5-1GHz eth1/eth2 von bridge 0
brctl delif br0 eth1
brctl delif br0 eth2
#
#
# WiFi-Produktionsnetz
# erstelle bridge2 und ordne Wlan-Schnittstellen zu
brctl addbr br2
ifconfig br2 192.168.100.251 netmask 255.255.255.0 broadcast 192.168.100.255
brctl addif br2 eth1
brctl addif br2 eth2
brctl addif br2 eth0.12
#
# fix WPA2 on WiFi
nvram set lan_ifnames="vlan1 eth3"
nvram set lan_ifname="br0"
nvram set lan1_ifnames="eth0.12 vlan12 eth1 eth2"
nvram set lan1_ifname="br2"
nvram commit
killall eapd
eapd
#
firewall-start
#!/bin/sh
logger -t $(basename $0) "firewall-start started [$@]" -p error
#
# NAT on auf dem WAN Port
iptables -t nat -I POSTROUTING -o `nvram get wan0_ifname` -j SNAT --to `nvram get wan0_ipaddr`
iptables -t nat -I POSTROUTING -o `nvram get wan0_ifname` -j SNAT --to `nvram get wan1_ipaddr`
# erlaube br2 Zugriff auf br0, WAN und andere Subnetze
iptables -I FORWARD -i br2 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# verhindere Zugriff auf br2 von br0
iptables -I FORWARD -i br2 -o br0 -m state --state NEW -j DROP
# verhindere Zugriff auf br0 von br2
iptables -I FORWARD -i br0 -o br2 -m state --state NEW -j DROP
# verhindere Zugriff auf br2 vom WAN
iptables -I FORWARD -i br2 -d `nvram get wan0_ipaddr`/`nvram get wan0_netmask` -m state --state NEW -j DROP
iptables -I FORWARD -i br2 -d `nvram get wan1_ipaddr`/`nvram get wan1_netmask` -m state --state NEW -j DROP
# verhindere Zugriff auf br2 von local router sockets
iptables -I INPUT -i br2 -m state --state NEW -j DROP
# erlaube Zugriff br2 auf DHCP-Server
iptables -I INPUT -i br2 -p udp --dport 67 -j ACCEPT
# erlaube br2 Zugriff auf DNS-Server
iptables -I INPUT -i br2 -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i br2 -p tcp --dport 53 -j ACCEPT
#
erbitte HILFE!, Danke!!
