Подключаем наши девайсы к компьютеру. Обсуждаются: порты, протоколы, драйвера, языки программирования и т.д.
Пт июн 30, 2017 16:11:03
В теме предлагается обсуждение проблем, связанных с организацией сетей, интернета, помощь с настройкой оборудования
и прочие проблемы сетевой шелухи. Думаю, на форуме найдется несколько опытных админов по этой области.
Сетевые технологии проникли в наши дома уже давно, однако в наши самопалы они начали проникать относительно недавно.
Все больше сетевого железа становится доступным для применения в самоделках. Это различные ESP8266, STM32, Arduino и
прочие радости. Домашняя сеть у многих радиокотэ (и моя в том числе) начинает разрастаться и ею становится все сложнее управлять.
И рано или поздно, в этой сети нужно наводить порядок и обеспечить нормальную безопасность. Вот и я столкнулся с тем,
что дом и творческая мастерская у меня разрослись различными датчиками и исполнительными устройствами. Примерно 25% из этого
добра обменивается данными через локальную сеть, остальная часть работает посредством всяких CANов, 485х и прочих витых пар,
однако данные из этой паутины так же вываливаются в локальную сеть. Мало того, за всем этим добром нужно поглядывать почаще
и ограничить посторонних от доступа в эту сеть. Чтобы все это обеспечить, был куплен новый роутер (старый отработал почти 8 лет).
И не простой роутер, а посерьезнее. Выбор пал на Mikrotik RB952Ui.
Собственно, сеть:
Физическая реализация
Роутер дома:
К порту ether1 подключен кабель от провайдера. Собственно, этот порт является WAN портом.
Порт ether2 является свободным.
К порту ether3 подключена медиаприставка.
К порту ether4 подключен Power Line модем для передачи данных в мастерскую. (Витуху бросить туда нет возможности)
На порту ether5 сидит домашний сервер.
Мастерская:
Стоит там мой старый роутер TL-WR741ND с поднятым на нем OpenWRT.
На порту LAN1 сидит PLC модем.
На порту WAN сидит самопальный шлюз для обмена данными между шинами CAN/RS-485/Audio и локальной сетью (Ethernet)
Остальные порты подведены к основному рабочему месту и оканчиваются Ethernet розетками.
Логическая организация
Дома:
На роутере порты 2, 3 и 5 объединены в свитч. 1 и 4 оторваны от него. Порт 2 объявлен мастер-портом.
Порт 4 является trunk портом и на нем организовано два VLAN.
В самом роутере так же создано два бриджа и две WiFi точки.
Один бридж для локальной сети, второй для гостевой сети. Интерфейсы ether2-master, vlan3 и WiFi1 объединены в bridge,
Wifi2 и vlan4 объединены в bridge-guest.
Подняты две сети:
192.168.1.0/24 - Локальная сеть.
192.168.200.0/24 - Гостевая сеть.
Получается, что все оборудование сидит в локальной сети.
Между этими двумя сетями маршруты заблокированы за исключением маршрутов из гостевой сети до сервера в локальной сети и файерволом
заблокированы все порты сервера, кроме портов SAMBA (и все это на роутере!)
Мастерская:
Тут все просто. В OpenWRT отключено все, что связано с маршрутизацией и файерволлингом. DHCP сервер тоже в топку.
Роутер превращен в управляемый коммутатор с WiFi на борту. LAN1 затегирован друмя VLAN (превращен в trunk) и на роутере
создано два бриджа так же для гостевой и локальной сетей. И две WiFi точки для этих же целей. IP адреса выдает Mikrotik
Все это прекрасно работает и нареканий никаких нет.
Однако, мне понадобился еще и VPN для подключения к своей домашней сети с рабочего места или смартфона.
IP у меня белый. Вроде как статический (провайдер не гарантирует абсолютную статичность моего IP и может его сменить, если моча в голову ударит, однако гарантирует его белизну).
По этому на всякий случай был написан скрипт для Duck DNS, чтобы иметь свое доменное имя.
Из протоколов был выбран IPSec/L2TP, ибо с PPTP и его протоколом GRE имеются проблемы. Он обрезается некоторыми хопами провайдера.
Да и L2TP/IPSec доступны практически на любом тапке в качестве альтернативы PPTP.
Для пользователя был создан отдельный интерфейс, пользователю назначается постоянный IP адрес из домашней подсети.
Для этого я выделил отдельный диапазон адресов, чтобы небыло пересечений с узлами домашней сети.
В /ppp profiles был создан профиль l2tp_profile со следующим конфигом:
Local Address: 192.168.1.1
Remote Address: vpn_local_pool (192.168.1.201-209)
Bridge: bridge (мост локальной сети с подсетью 192.168.1.0/24)
TCP MSS: yes
UPnP: yes
Use MPLS: default
Compression: default
Encryption: no (нет смысла грузить роутер лишним шифрованием, ибо уже есть IPSec с шифрованием)
В /ppp secrets создан пользователь:
Name: user (для примера)
Password: password (для примера)
Service: l2tp
Profile: l2tp_profile
Local Address: 192.168.1.1
Remote Address: 192.168.1.201
В /ppp interface был создан персональный интерфейс для пользователя:
Name: l2tp-user
User: user
Конфиг ipsec приводить не буду, ибо думаю, что проблем там быть не должно.
VPN поднят, свободно подключаюсь, узлы домашней сети доступны, однако имеются следующие проблемы:
Подключенный через VPN клиент не доступен из локальной сети. Он даже не пингуется самим роутером.
Хотя при этом он видит всю локальную сеть.
И не доходят broadcast пакеты из локальной сети до клиента (естественно, если даже обычные запросы на соединение не проходят)
Три дня уже мучаюсь и не могу решить эту проблему. Может какие маршруты прописать?
И как можно вести отладку трафика на Mikrotik? Ну, типа, найти, где теряются пакеты из локальной сети до клиента.
Пт июн 30, 2017 19:00:26
Q-К порту ether1 подключен кабель от провайдера. Собственно, этот порт является WAN портом.-Q
это че- не ДСЛ? без модема? сразу ЛАН раздается?
Пт июн 30, 2017 21:40:05
Нечто аналогичное DSL. По коаксиальному кабелю. То есть - EoC со стандартом DOCSIS 3.
И с помощью конвертера преобразуется в Ethernet. Только в отличии от DSL тут скорости выше.
Последний раз редактировалось
DX168B Пт июн 30, 2017 21:45:44, всего редактировалось 1 раз.
Пт июн 30, 2017 21:42:27
ну дык кабельный модем, DOCSIS вероятно
Вт окт 03, 2017 07:21:03
Проблема с видимостью устройств в сети VPN решилась.
Нужно было в /ppp secrets указать пользователям подсеть (парам. route=192.168.1.0/24),
к которой будет проложен пакетный маршрут. Этот момент не освещен ни в каких
статьях. Пришлось долго рыться в официальной документации.
Остался только броадкаст, но этим я займусь позже.