"Решено" Как сделать еще один WAN порт openWRT?

Ethernet card, Wi-Fi, Bluetooth, IrDA, ADSL-модемы, модемы

Модераторы: broom, Модераторы разделов

ZH_com
Сообщения: 15

"Решено" Как сделать еще один WAN порт openWRT?

Сообщение ZH_com » 24.06.2015 11:59

Есть модем TP link 740n на нем прошита прошивка openwrt 14.09 есть два проводных провайдера .
на модеме есть один wan порт желтенький туда будет подключен один из провайдеров
нужен второй wan порт я так понял что можно сделать через SWITCH функцию в web интерфейсе вместо одного LAN порта можно сделать WAN порт а вот как чёто не пойму
как я понял
Vlan 1 CPU -untagget PORT1 - off PORT2 - untagget PORT3 - untagget PORT4 - untagget
Vlan 2 CPU -untagget PORT1 - untagget PORT2 - off PORT3 - off PORT4 - off

все операции делались через web интерфейс
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15911
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение Bizdelnick » 24.06.2015 12:18

Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2595
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение Hephaestus » 24.06.2015 12:20

Насколько я понимаю, Вам не нужен switch. По крайней мере, пока.
Схема, которую Вы привели позволяет использовать LAN вместо WAN, а не два одновременно.
Вам же нужно использовать два WAN, так? Для этого существует multiwan.
У Вас есть один WAN-интерфейс. Создаёте ещё один. Указываете ему правильный порт (один из Ваших LAN, это будет eth1.1 вроде). Далее в настройках multiwan задаёте, кто первый, кто второй, как распределить нагрузку и что делать каждому в случае отказа.
Switch там может быть и пригодится, но попробуйте сначала так. Без multiwan всё равно не обойтись.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

ZH_com
Сообщения: 15

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение ZH_com » 24.06.2015 12:30

Hephaestus писал(а):
24.06.2015 12:20
Насколько я понимаю, Вам не нужен switch. По крайней мере, пока.
Схема, которую Вы привели позволяет использовать LAN вместо WAN, а не два одновременно.
Вам же нужно использовать два WAN, так? Для этого существует multiwan.
У Вас есть один WAN-интерфейс. Создаёте ещё один. Указываете ему правильный порт (один из Ваших LAN, это будет eth1.1 вроде). Далее в настройках multiwan задаёте, кто первый, кто второй, как распределить нагрузку и что делать каждому в случае отказа.
Switch там может быть и пригодится, но попробуйте сначала так. Без multiwan всё равно не обойтись.



Хорошо попробую без Switch то есть я просто создаю в сетевых интерфейсах еще один обзываю его ну для примера WAN2 и назначаю ему eth1.1
а как понять какой из LAN портов стал WAN2 ?
Спасибо сказали:

ZH_com
Сообщения: 15

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение ZH_com » 26.06.2015 06:14

Hephaestus писал(а):
24.06.2015 12:20
Насколько я понимаю, Вам не нужен switch. По крайней мере, пока.
Схема, которую Вы привели позволяет использовать LAN вместо WAN, а не два одновременно.
Вам же нужно использовать два WAN, так? Для этого существует multiwan.
У Вас есть один WAN-интерфейс. Создаёте ещё один. Указываете ему правильный порт (один из Ваших LAN, это будет eth1.1 вроде). Далее в настройках multiwan задаёте, кто первый, кто второй, как распределить нагрузку и что делать каждому в случае отказа.
Switch там может быть и пригодится, но попробуйте сначала так. Без multiwan всё равно не обойтись.



Пробовал как вы написали создавал новый интерфейс с названием Wan2 вручную прописал eth1.1 перетекал на модеме все порты не получилось запустить.
Изображение

первый родной WAN работает без проблем а второй провайдер если я подключаю к LAN порту он работает но если я на компьютере пропишу его IP адрес то есть на модеме порт работает как обычный switch а как WAN нехотит. :wacko:
Знаю где то я ошибаюсь а где понять не могу.

пробовал через Switch
вроде все делаю правильно а после моих включений выключений на модем вообще зайти не могу приходится сбрасывать его по умолчанию .

как было
Изображение


как сделал
Изображение

помогите пожалуйста разобраться с этим . :blush:

Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2595
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение Hephaestus » 26.06.2015 07:21

ZH_com писал(а):
26.06.2015 06:14
первый родной WAN работает без проблем а второй провайдер если я подключаю к LAN порту он работает но если я на компьютере пропишу его IP адрес то есть на модеме порт работает как обычный switch а как WAN нехотит.
Сначала пару слов о содержимом скриншотов.
У Вас lan - это eth0, а wan - eth1. Когда я говорил об использовании eth1.1, я полагал что наоборот, eth0 - wan, а eth1 - lan.
Поэтому Вам нужно использовать не custom interface eth1.1, а eth0.1, который вполне есть в списке.

Теперь далее.
Вы multiwan настраивали?
Вы создали интерфейс, обозвали его wan2, назначили ему порт.
Дальше надо в multiwan указать, что вот это у нас первый wan, а вот это второй wan. И там же указать правила руления этими wan'ами.

Даже если Вы будете использовать switch, то всё равно из двух wan'ов активным будет только один. А какой? Тот, который сопоставлен интерфейсу eth c меньшим номером - eth0, а по сути первый wan (это опять считая, что eth0 - wan, а eth1 - lan). Кстати, когда я говорил, что Вам не нужен switch я исходил из того, что switch там уже настроен определенным образом "из коробки" и этого могло быть достаточно.

Смотрите. Просто дать интерфейсу имя wan недостаточно, нужно ещё указать, что это именно интерфейс связи с провайдером. И если таких интерфейсов получается больше одного, нужно указывать им правила совместной работы. Вот multiwan как раз и облегчает эту задачу.
Установите пакет multiwan (если Вы ещё этого не сделали) и поставьте ему граф. морду. Или даже наоборот, поставьте морду, остальное подтянется по зависимостям.
Тогда у Вас в меню Network появится пункт multiwan. Вот Вам туда.

Кстати, нет желания прикрутить русский язык к интерфейсу? Жить легче будет.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

ZH_com
Сообщения: 15

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение ZH_com » 26.06.2015 08:08

Hephaestus писал(а):
26.06.2015 07:21
ZH_com писал(а):
26.06.2015 06:14
первый родной WAN работает без проблем а второй провайдер если я подключаю к LAN порту он работает но если я на компьютере пропишу его IP адрес то есть на модеме порт работает как обычный switch а как WAN нехотит.
Сначала пару слов о содержимом скриншотов.
У Вас lan - это eth0, а wan - eth1. Когда я говорил об использовании eth1.1, я полагал что наоборот, eth0 - wan, а eth1 - lan.
Поэтому Вам нужно использовать не custom interface eth1.1, а eth0.1, который вполне есть в списке.

хорошо попробую eth0.1


Теперь далее.
Вы multiwan настраивали?

Да multiwan настраивал

Вы создали интерфейс, обозвали его wan2, назначили ему порт.
Дальше надо в multiwan указать, что вот это у нас первый wan, а вот это второй wan. И там же указать правила руления этими wan'ами.

Даже если Вы будете использовать switch, то всё равно из двух wan'ов активным будет только один. А какой? Тот, который сопоставлен интерфейсу eth c меньшим номером - eth0, а по сути первый wan (это опять считая, что eth0 - wan, а eth1 - lan). Кстати, когда я говорил, что Вам не нужен switch я исходил из того, что switch там уже настроен определенным образом "из коробки" и этого могло быть достаточно.

по скринам у меня SWITCH правильно настроен ?

Смотрите. Просто дать интерфейсу имя wan недостаточно, нужно ещё указать, что это именно интерфейс связи с провайдером. И если таких интерфейсов получается больше одного, нужно указывать им правила совместной работы. Вот multiwan как раз и облегчает эту задачу.
Установите пакет multiwan (если Вы ещё этого не сделали) и поставьте ему граф. морду. Или даже наоборот, поставьте морду, остальное подтянется по зависимостям.
Тогда у Вас в меню Network появится пункт multiwan. Вот Вам туда.

Кстати, нет желания прикрутить русский язык к интерфейсу? Жить легче будет.

прикуривал я русский язык только после нескольких сбросов но заводские настройки перестал это делать .


у вас есть скайп или агент ?
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2595
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение Hephaestus » 26.06.2015 08:17

ZH_com писал(а):
26.06.2015 08:08
Да multiwan настраивал
Покажите настройки.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

ZH_com
Сообщения: 15

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение ZH_com » 26.06.2015 11:15

Hephaestus писал(а):
26.06.2015 08:17
ZH_com писал(а):
26.06.2015 08:08
Да multiwan настраивал
Покажите настройки.


по порядку

1 создаю wan2
2 выбираю eth0.1
3 нажимаю применить
Изображение

4 вбиваю данные которые мне дали
Изображение

5 захожу в кладку настройки межсетевого экрана
6 добавляю новую зону сетевого экрана
Изображение

захожу в межсетевой экран - настройки зон
7,8 ставлю галочки напротив WAN2
9 захожу настройки LAN
Изображение

10 стfвлю галочку напротив WAN2
Изображение

захожу в multiwan
11 для первого wan выбираю wan для вторго второй wan2
Изображение
Изображение

вроде все нечего не забыл вот так я делаю где то ведать есть у меня косяк с настройками где не пойму.
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2595
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение Hephaestus » 26.06.2015 12:38

ZH_com писал(а):
26.06.2015 11:15
11 для первого wan выбираю wan для вторго второй wan2
Неправильно. Наоборот надо.
Это перенаправление трафика при отказе.
То есть отвалился первый - направляем на второй. И наоборот.
Кроме того, нужно ещё выбрать, кто из них будет по умолчанию.

Но дело даже не в этом.
Вы создали WAN2. Он работает? Через него удаётся в Сеть ходить?
Если нет, значит, надо всё-таки подкрутить switch.
А если да, то надо определиться по какой схеме двум провайдерам предстоит работать.
Вы не сказали, что хотите получить в итоге.
WAN'ы должны работать по очереди, как резерв друг для друга?
Или одновременно с распределением нагрузки?
Или ещё как-нибудь?
Пока неясно.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

ZH_com
Сообщения: 15

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение ZH_com » 26.06.2015 12:46

Hephaestus писал(а):
26.06.2015 12:38
ZH_com писал(а):
26.06.2015 11:15
11 для первого wan выбираю wan для вторго второй wan2
Неправильно. Наоборот надо.
Это перенаправление трафика при отказе.
То есть отвалился первый - направляем на второй. И наоборот.
Кроме того, нужно ещё выбрать, кто из них будет по умолчанию.

Но дело даже не в этом.
Вы создали WAN2. Он работает? Через него удаётся в Сеть ходить?
Если нет, значит, надо всё-таки подкрутить switch.
А если да, то надо определиться по какой схеме двум провайдерам предстоит работать.
Вы не сказали, что хотите получить в итоге.
WAN'ы должны работать по очереди, как резерв друг для друга?
Или одновременно с распределением нагрузки?
Или ещё как-нибудь?
Пока неясно.


с второго не выходит в интернет
Switch кода я начиная чё то менять потом не могу зайти на модем
например так
Изображение
почему не пойму


нужно распределения нагрузки по двум провайдерам.
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2595
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение Hephaestus » 26.06.2015 13:20

ZH_com писал(а):
26.06.2015 12:46
Switch кода я начиная чё то менять потом не могу зайти на модем
Так у Вас на картинке кабели подключены в порт 2 и порт3, а на vlan2 они оба выключены.
Должно быть tagget на CPU и untagget на нужный порт, остальные off. Вроде так.

И вообще, покажите лучше содержимое /etc/config/network
По картинкам неудобно.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

ZH_com
Сообщения: 15

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение ZH_com » 26.06.2015 13:26

Hephaestus писал(а):
26.06.2015 13:20
ZH_com писал(а):
26.06.2015 12:46
Switch кода я начиная чё то менять потом не могу зайти на модем
Так у Вас на картинке кабели подключены в порт 2 и порт3, а на vlan2 они оба выключены.
Должно быть tagget на CPU и untagget на нужный порт, остальные off. Вроде так.

я просто кабель отключил от второго провайдера чтобы не путаться он как раз должен быть на этом порту порт 1 должен быть WAN2
а вот остальные проcто LAN 2-4
или я сделал что то не так
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2595
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение Hephaestus » 26.06.2015 13:32

Блин. Вам же выше дали ссылку.

Create and configure a second WAN interface

The simplest way to create more WAN interfaces is to have a VLAN-capable router. This allows each individual port to become its own separate interface in OpenWrt.

Here is the basic procedure to create a new VLAN and assign a single port to it so as to create a second WAN interface
go to Network > Switch
remove a single physical port from the default VLAN 1; this port will be the new physical WAN2 port
assign the port to a new VLAN number such as 3 and set the port to be untagged in this single new VLAN and off in all other VLANs (note this VLAN, as with all VLANs, should also include the built-in CPU port as a tagged member, so there are a total of two ports in the new VLAN)
reboot the router for the new VLAN interface to become active (e.g. eth0.3 for what will be the new WAN2 interface)
Go to Network > Interfaces and add a new interface name for the new eth0.x adapter
name the new VLAN physical interface "wan2"
:!: don't create a bridge over the specified interface :!:
configure the new wan2 interface IP details
assign the new wan2 interface to the wan firewall zone
Перевод нужен?
Вы из этого сделали почти всё, кроме настройки switch. Она у Вас неверная сейчас.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

ZH_com
Сообщения: 15

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение ZH_com » 26.06.2015 13:42

Hephaestus писал(а):
26.06.2015 13:32
Блин. Вам же выше дали ссылку.

Create and configure a second WAN interface

The simplest way to create more WAN interfaces is to have a VLAN-capable router. This allows each individual port to become its own separate interface in OpenWrt.

Here is the basic procedure to create a new VLAN and assign a single port to it so as to create a second WAN interface
go to Network > Switch
remove a single physical port from the default VLAN 1; this port will be the new physical WAN2 port
assign the port to a new VLAN number such as 3 and set the port to be untagged in this single new VLAN and off in all other VLANs (note this VLAN, as with all VLANs, should also include the built-in CPU port as a tagged member, so there are a total of two ports in the new VLAN)
reboot the router for the new VLAN interface to become active (e.g. eth0.3 for what will be the new WAN2 interface)
Go to Network > Interfaces and add a new interface name for the new eth0.x adapter
name the new VLAN physical interface "wan2"
:!: don't create a bridge over the specified interface :!:
configure the new wan2 interface IP details
assign the new wan2 interface to the wan firewall zone
Перевод нужен?
Вы из этого сделали почти всё, кроме настройки switch. Она у Вас неверная сейчас.

из этого я понял для начало удаляем любой port из VLAN 1 то есть выключаем его
потом создаем VAN3 том его включаем с без тегов остальные делаем off но CPU делаем с тегом.

Vlan 1 CPU -untagget PORT1 - off PORT2 - untagget PORT3 - untagget PORT4 - untagget
Vlan 3 CPU -tagget PORT1 - untagget PORT2 - off PORT3 - off PORT4 - off


Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2595
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение Hephaestus » 26.06.2015 13:46

Не так.
CPU с тегом, нужный порт без тега, остальные off. В обоих vlan.

Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

ZH_com
Сообщения: 15

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение ZH_com » 26.06.2015 13:50

Hephaestus писал(а):
26.06.2015 13:46
Не так.
CPU с тегом, нужный порт без тега, остальные off. В обоих vlan.



Vlan 1 CPU -tagget PORT1 - off PORT2 - untagget PORT3 - untagget PORT4 - untagget
Vlan 3 CPU -tagget PORT1 - untagget PORT2 - off PORT3 - off PORT4 - off
вот так правильно?

тогда после этих настроек я не могу зайти на модем
я так понимаю что один порт станет работать как WAN а другие как LAN и я должен по идеи зайти по старому IP
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2595
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение Hephaestus » 26.06.2015 13:57

ZH_com писал(а):
26.06.2015 13:50
тогда после этих настроек я не могу зайти на модем
Вот это странно. Межсетевой экран ещё может не пускать.

Ладно. Я через час буду дома. Попробую воспроизвести ситуацию.
Роутер у меня правда другой, но тоже TP-Link.
Попробую один из LAN-портов превратить в дополнительный WAN.
Будем посмотреть.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2595
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение Hephaestus » 27.06.2015 00:43

Всё получилось. Хотя далеко не сразу.
Отписываюсь о результатах.
При настройке vlan'ов действительно теряется связь с роутером.
Ничего удивительного - мы же перенастраиваем LAN, и поскольку роутером мы рулим тоже через LAN - связь теряется.
Вопрос: Почему же она теряется насовсем?
Ответ: Нужно отключить мост на LAN.

Как же всё это провернуть, не теряя управления роутером?
Способов несколько.
Самый простой: провести настройки через другой интерфейс, например, WIFI.
Можно временно подключиться через WAN и рулить оттуда.
Можно прописать все нужные настройки в текстовые конфиги и потом спокойно сделать перезагрузку.

Я изложу другой способ, когда все настройки делаются через англоязычный web-интерфейс.
В моём устройстве wan соответствует eth0, а lan соответствует eth1, я буду придерживаться этих обозначений.
Итак, по шагам.
1. Идём в Network->Interfaces и редактируем LAN.
Здесь нужно на вкладке Physical Settings отключить мост (снимаем галочку с Bridge interfaces) и выбрать в качестве устройства соответствующий vlan-интерфейс (в моём случае вместо eth1, выбираем eth1.1).
Применять изменения пока нельзя - потеряем связь с устройством. Поэтому пока нажимаем Save.
2. Идём в Network->Switch.
Здесь нужно добавить ещё один vlan и настроить.
Для примера: управление роутером происходит через port3, а в качестве нового wan мы задействуем port2.
Поэтому для первого vlan выставляем CPU - tagged, port3 - untagged, остальные порты - off.
Для второго vlan выставляем CPU - tagged, port2 - untagged, остальные - off.
Применять изменения пока рано, поэтому опять-таки нажимаем Save.
3. В правом вернем углу есть надпись Unsaved changes - щёлкаем её и видим все наши изменения.
И вот только здесь нажимаем Save & Apply. Изменения успешно применяются.

Теперь у нас в списках доступных интерфейсов есть vlan eth1.1 (lan) и vlan eth1.2 (пока не задействован).
Создаём новый интерфейс, называем его, к примеру wan3 и выбираем для него свободный vlan - eth1.1 и далее
настраиваем межсетевой экран.
Остальное, думаю, ясно.
Двух проводных провайдеров у меня нет, однако втыкая кабель в wan или в созданный wan3, я в обоих случаях получил доступ в Сеть, то есть вроде бы всё работает.

Распределение нагрузки между двумя wan'ами рулится либо c помощью multiwan, либо с помощью mwan3. Лично мне для руления между основным провайдером и 4G-модемом multiwan подошёл больше.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

ZH_com
Сообщения: 15

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение ZH_com » 29.06.2015 07:06

Hephaestus писал(а):
27.06.2015 00:43
Всё получилось. Хотя далеко не сразу.
Отписываюсь о результатах.
При настройке vlan'ов действительно теряется связь с роутером.
Ничего удивительного - мы же перенастраиваем LAN, и поскольку роутером мы рулим тоже через LAN - связь теряется.
Вопрос: Почему же она теряется насовсем?
Ответ: Нужно отключить мост на LAN.

Как же всё это провернуть, не теряя управления роутером?
Способов несколько.
Самый простой: провести настройки через другой интерфейс, например, WIFI.
Можно временно подключиться через WAN и рулить оттуда.
Можно прописать все нужные настройки в текстовые конфиги и потом спокойно сделать перезагрузку.

Я изложу другой способ, когда все настройки делаются через англоязычный web-интерфейс.
В моём устройстве wan соответствует eth0, а lan соответствует eth1, я буду придерживаться этих обозначений.
Итак, по шагам.
1. Идём в Network->Interfaces и редактируем LAN.
Здесь нужно на вкладке Physical Settings отключить мост (снимаем галочку с Bridge interfaces) и выбрать в качестве устройства соответствующий vlan-интерфейс (в моём случае вместо eth1, выбираем eth1.1).
Применять изменения пока нельзя - потеряем связь с устройством. Поэтому пока нажимаем Save.
2. Идём в Network->Switch.
Здесь нужно добавить ещё один vlan и настроить.
Для примера: управление роутером происходит через port3, а в качестве нового wan мы задействуем port2.
Поэтому для первого vlan выставляем CPU - tagged, port3 - untagged, остальные порты - off.
Для второго vlan выставляем CPU - tagged, port2 - untagged, остальные - off.
Применять изменения пока рано, поэтому опять-таки нажимаем Save.
3. В правом вернем углу есть надпись Unsaved changes - щёлкаем её и видим все наши изменения.
И вот только здесь нажимаем Save & Apply. Изменения успешно применяются.

Теперь у нас в списках доступных интерфейсов есть vlan eth1.1 (lan) и vlan eth1.2 (пока не задействован).
Создаём новый интерфейс, называем его, к примеру wan3 и выбираем для него свободный vlan - eth1.1 и далее
настраиваем межсетевой экран.
Остальное, думаю, ясно.
Двух проводных провайдеров у меня нет, однако втыкая кабель в wan или в созданный wan3, я в обоих случаях получил доступ в Сеть, то есть вроде бы всё работает.

Распределение нагрузки между двумя wan'ами рулится либо c помощью multiwan, либо с помощью mwan3. Лично мне для руления между основным провайдером и 4G-модемом multiwan подошёл больше.



Большое спасибо Вам за помощь все прекрасно работает . :rolleyes:
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2595
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение Hephaestus » 29.06.2015 07:35

Да, забыл добавить важный момент.
Нужно понимать, что умолчальное состояние первого vlan - то же самое, что без vlan вообще (можно спокойно выключить switch - ничего не изменится).
Поэтому если мы для LAN-интерфейса выбираем его, нужно обязательно выставить настройки: cpu - tagged, нужный порт - untagged, остальные off.
Иначе работать не будет и гарантированно потеряется связь с устройством.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

ZH_com
Сообщения: 15

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение ZH_com » 29.06.2015 08:16

Hephaestus писал(а):
29.06.2015 07:35
Да, забыл добавить важный момент.
Нужно понимать, что умолчальное состояние первого vlan - то же самое, что без vlan вообще (можно спокойно выключить switch - ничего не изменится).
Поэтому если мы для LAN-интерфейса выбираем его, нужно обязательно выставить настройки: cpu - tagged, нужный порт - untagged, остальные off.
Иначе работать не будет и гарантированно потеряется связь с устройством.

еще есть вопрос из вне на новый wan могут проникнуть или он закрыт фаерволом ?
Спасибо сказали:

Аватара пользователя
yars
Сообщения: 1144
Статус: Slacker!
ОС: Slackware64-current

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение yars » 29.06.2015 08:23

Доступ извне можно запретить и, если правильно путаю, можно переназначить на один из оставшихся LAN-портов вход в веб-морду.
он закрыт фаерволом ?

А что, кто-то его закрывал?
Slackware64-current/Xfce 4.12/Acer TravelMate 5760
-------------
Registered Linux User #557010
Спасибо сказали:

ZH_com
Сообщения: 15

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение ZH_com » 29.06.2015 08:25

yars писал(а):
29.06.2015 08:23
Доступ извне можно запретить и, если правильно путаю, можно переназначить на один из оставшихся LAN-портов вход в веб-морду.

как это сделать ? :blush:
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 2595
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение Hephaestus » 29.06.2015 11:04

ZH_com писал(а):
29.06.2015 08:16
еще есть вопрос из вне на новый wan могут проникнуть или он закрыт фаерволом ?
Файрвол там вообще из коробки настроен немного не так, как нужно для повседневной работы, на мой взгляд.
Я придерживаюсь схемы "закрыть всё, разрешить нужное". Это предполагает действие DROP, как политику по умолчанию.
Там же сделано немного иначе.

Это в целом правильно, потому что закрутив по ошибке гайки, можно лишиться доступа и к роутеру, и к интернету.
И на этот случай нужно иметь некие дефолтные настройки, где гайки не закручены.

yars писал(а):
29.06.2015 08:23
А что, кто-то его закрывал?
Там настроены зоны файрвола и перенаправление для WAN разрешено только как LAN->WAN. В обратную сторону нет.
Если вновь созданный WAN добавить в эту же зону, к нему применятся эти же правила.
Хотя, конечно, этого мало. Я бы всё-таки придерживался схемы "запретить всё, разрешить нужное".

ZH_com писал(а):
29.06.2015 08:25
как это сделать ?
Во-первых, ограничить доступ по ssh. По умолчанию там слушаются все интерфейсы на стандартном порту.
Нужно выбрать локальный интерфейс (через который рулим) и порт какой-нибудь другой - из непривелигированных (то есть с номером выше 1024, а лучше где-нибудь в районе 30000).
Кроме того, авторизацию сделать по ключу.
Обо всём этом написано здесь.

Я пошёл еще дальше.
Сервис веб-морды (uhttpd) по умолчанию принимает с любого адреса. Советуют выставить конкретный.
Но мне это показалось неэффективным. Я попробовал настроить доступ по https, но там что-то поломали, и ключи, которые там есть не импортируются в браузер. Нужно создавать свои. Эта возня с ключами/сертификатами мне быстро надоела и я согласно заветам Ильича пошёл другим путём.
А именно: настроил для веб-морды ssh-туннель. То есть веб-морда (uhttpd) слушает на интерфейсе 127.0.0.1 (значит, наружу вообще не смотрит), а я по ssh туда цепляюсь через локальное соединение.
В итоге: ssh разрешен только на локальном интерфейсе, а веб-морда разрешена только через ssh, то есть тоже получается на локальном интерфейсе. И доступ к морде снаружи закрывать не надо, поскольку его и так нету.
Как этот туннель настроить написано здесь.

Что касается закручивания гаек файрвола, то здесь нужно осваивать принципы работы этого самого файрвола. Который в Linux-системах вообще даже не файрвол, а фильтр сетевых пакетов на уровне ядра. И интерфейсом к нему является iptables.

В OpenWrt сделана очень не любимая мной схема (в Мандриве подобную помню) - в ядре работает netfilter, для обращения к нему - iptables. Поверх iptables накручена надстройка под названием firewall, а поверх firewall ещё графическая морда. В результате правила для iptables там генерятся автоматически и, как следствие, получаются очень развесистыми и трудночитаемыми. Я понимаю, что кнопки и значки могут облегчить задачу, но иногда они только запутывают.
А поскольку для настройки файрвола очень желательно понимать, что мы делаем, то освоить классический iptables всё-таки будет не лишним.
О нём очень подробно рассказано здесь.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

ZH_com
Сообщения: 15

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение ZH_com » 29.06.2015 12:06

Hephaestus писал(а):
29.06.2015 11:04
ZH_com писал(а):
29.06.2015 08:16
еще есть вопрос из вне на новый wan могут проникнуть или он закрыт фаерволом ?
Файрвол там вообще из коробки настроен немного не так, как нужно для повседневной работы, на мой взгляд.
Я придерживаюсь схемы "закрыть всё, разрешить нужное". Это предполагает действие DROP, как политику по умолчанию.
Там же сделано немного иначе.

Это в целом правильно, потому что закрутив по ошибке гайки, можно лишиться доступа и к роутеру, и к интернету.
И на этот случай нужно иметь некие дефолтные настройки, где гайки не закручены.

yars писал(а):
29.06.2015 08:23
А что, кто-то его закрывал?
Там настроены зоны файрвола и перенаправление для WAN разрешено только как LAN->WAN. В обратную сторону нет.
Если вновь созданный WAN добавить в эту же зону, к нему применятся эти же правила.
Хотя, конечно, этого мало. Я бы всё-таки придерживался схемы "запретить всё, разрешить нужное".

ZH_com писал(а):
29.06.2015 08:25
как это сделать ?
Во-первых, ограничить доступ по ssh. По умолчанию там слушаются все интерфейсы на стандартном порту.
Нужно выбрать локальный интерфейс (через который рулим) и порт какой-нибудь другой - из непривелигированных (то есть с номером выше 1024, а лучше где-нибудь в районе 30000).
Кроме того, авторизацию сделать по ключу.
Обо всём этом написано здесь.

Я пошёл еще дальше.
Сервис веб-морды (uhttpd) по умолчанию принимает с любого адреса. Советуют выставить конкретный.
Но мне это показалось неэффективным. Я попробовал настроить доступ по https, но там что-то поломали, и ключи, которые там есть не импортируются в браузер. Нужно создавать свои. Эта возня с ключами/сертификатами мне быстро надоела и я согласно заветам Ильича пошёл другим путём.
А именно: настроил для веб-морды ssh-туннель. То есть веб-морда (uhttpd) слушает на интерфейсе 127.0.0.1 (значит, наружу вообще не смотрит), а я по ssh туда цепляюсь через локальное соединение.
В итоге: ssh разрешен только на локальном интерфейсе, а веб-морда разрешена только через ssh, то есть тоже получается на локальном интерфейсе. И доступ к морде снаружи закрывать не надо, поскольку его и так нету.
Как этот туннель настроить написано здесь.

Что касается закручивания гаек файрвола, то здесь нужно осваивать принципы работы этого самого файрвола. Который в Linux-системах вообще даже не файрвол, а фильтр сетевых пакетов на уровне ядра. И интерфейсом к нему является iptables.

В OpenWrt сделана очень не любимая мной схема (в Мандриве подобную помню) - в ядре работает netfilter, для обращения к нему - iptables. Поверх iptables накручена надстройка под названием firewall, а поверх firewall ещё графическая морда. В результате правила для iptables там генерятся автоматически и, как следствие, получаются очень развесистыми и трудночитаемыми. Я понимаю, что кнопки и значки могут облегчить задачу, но иногда они только запутывают.
А поскольку для настройки файрвола очень желательно понимать, что мы делаем, то освоить классический iptables всё-таки будет не лишним.
О нём очень подробно рассказано здесь.

большое спасибо за проделанную работу
теперь все понятно
Спасибо сказали:

ZH_com
Сообщения: 15

Re: "Решено" Как сделать еще один WAN порт openWRT?

Сообщение ZH_com » 20.07.2015 08:51

После месячного теста все работает отлично но есть одно но почему то Multiwan после перезагрузки порта у провайдера не восстанавливается работоспособность (он перестает его объединять с другим портом ) мне приходится в ручную перезагружать Multiwan и тогда все функционирует до последующий перезагрузки порта.
Спасибо сказали: