Вопросы Теги

разделение трех виртуальных локальных сетей на openwrt

Я хотел создать сеть с 3 отдельными VLAN

  • 10.140.1.0/24
  • 10.140.2.0/24
  • 10.140.3.0/24

Итак, я подключил два маршрутизатора TL-WR740n с установленным Openwrt и начал эксперименты.

Первый маршрутизатор (10.140.X.1) работает как DHCP-сервер, второй (10.140.X.2) просто как клиент со вторым набором портов .

Я создал три vlan - каждый связан с соответствующим номером порта.

На порте 4 все VLAN помечены - он используется для соединения двух устройств.

Я хочу полностью разделить VLAN. Но когда я на VLAN1 (подсеть 10.140.1.X) Я могу открыть панель маршрутизатора (10.140.2.1) из VLAN2 (подсеть 10.140.2.X).

Почему? Как я могу заблокировать трафик между VLAN?

Я создал отдельные зоны для каждой VLAN - и заблокировал пересылку из VLAN1 в VLAN2 (просто чтобы попробовать).

Мне это не помогает - я все еще могу открыть сайт маршрутизатора 10.140.2.1 (VLAN2), имеющий адрес 10.140.1.140 и находящийся в VLAN1.

Заранее благодарю!

1
задан 10 August 2019 в 20:51
1 ответ

Ваши адреса находятся в разных подсетях. Это означает, что когда 10.140.1.X имеет пакет для 10.140.2.1, он сверится со своей таблицей маршрутизации и увидит пару маршрутов, один из которых указывает, что 10.140.1.0/24 подключен напрямую, а другой - для 0.0.0.0/0 через 10.140.1.1. Поскольку 10.140.2.1 отсутствует в 10.140.1.0/24, это второй маршрут, который соответствует, поэтому пакет идет на 10.140.1.1. Это в той же VLAN.

Затем 10.140.1.1, который подключен к обеим VLAN, перенаправляет его на 10.140.2.1. Это ожидаемое поведение. Если вы хотите предотвратить это, вы добавляете некоторые правила брандмауэра в 10.140.1.1, чтобы запретить обмен данными, например с iptables: 

iptables -A FORWARD -s 10.140.1.0/24 -d 10.140.2.0/24 -j REJECT
iptables -A FORWARD -s 10.140.2.0/24 -d 10.140.1.0/24 -j REJECT

Но подождите, мы еще даже не проверили, работают ли ваши VLAN. Отправка с 10.140.1.0/24 на 10.140.2.0/24 проверяет, работает ли маршрутизация между подсетями. Способ проверить, действительно ли ваши сети VLAN изолированы друг от друга, - настроить устройство со статическим адресом в 10.140. 2 .0 / 24, подключить его к VLAN для 10.140. 1 .0 / 24 и посмотрите, сможет ли он достичь устройств в другой VLAN с адресами в 10.140. 2 .0 / 24. Этого не должно быть, если сети VLAN должным образом изолированы.

0
ответ дан 4 December 2019 в 02:46

Теги

Похожие вопросы