VLAN в домашней сети

[const86]

Госпада, Гуру. Помогите, пожалуйста, разобраться с разделением сетей в условиях домашней сети и одной физической сетевой карте.

Задача отделить домашнюю локальную сеть, от локальной сети провайдера. Продазумеваю, что нужно создать 2 виртуальные сети (VLAN). На первую кинуть провайдера и домашний сервер. На вторую всё остальное. Потом прокинуть тунель между первой сетью и второй.

Это теория. А вот практически, как реализовать, я не знаю. В сетях слабоват. Да и в Linuxе еще новичок.
Как настроить VLAN? Использую прошивку dd-wrt на стареньком роутере.
И как создать тунель между этими сетями?

[AnrDaemon]

Azure, не надо путать VPN и VLAN.
Так же не надо приводить педивикию как аргумент.
Пользователь решил продолжить мысль 15 Февраля 2014, 23:28:11:

Госпада, Гуру. Помогите, пожалуйста, разобраться с разделением сетей в условиях домашней сети и одной физической сетевой карте.

Простите, а смысл? В какое место прокинуты провода до других компьютеров в будущей "домашней" сети?

[Peter_I]

Не надо виртуальных сетей. Например, есть router, к нему через свич
подсоединён один, 1-й компьютер и он является единственным компьютером
в 1-й сети, есть 2-я сеть, подключённая к этому же свичу,
если в ней несколько компьютеров, они могут прямо включаться в этот
свич, а 1-й компюьтер является для них шлюзом и скрывает 2-ю сеть за NAT.
На 1-м надо загрузить три модуля, задать правило iptables и запустить
named или dnsmasq. Но примера конфигурации я сейчас дать не могу,
он у меня не дома, откуда я сейчас пишу.

[AnrDaemon]

Peter_I, не надо теоретизировать. Вы только пудрите мозги.
Дайте человеку ответить на уже поставленные вопросы.
Пользователь решил продолжить мысль 16 Февраля 2014, 04:31:09:

Использую прошивку dd-wrt на стареньком роутере.

То есть, у вас всё таки ЕСТЬ маршрутизатор между вами и провайдером?
Другими словами, у вас домашняя сеть УЖЕ отделена от провайдерской (и от интернета).
Чего ЕЩЁ вы хотите добиться?

[const86]

Не надо виртуальных сетей. Например, есть router, к нему через свич
подсоединён один, 1-й компьютер и он является единственным компьютером
в 1-й сети, есть 2-я сеть, подключённая к этому же свичу,
если в ней несколько компьютеров, они могут прямо включаться в этот
свич, а 1-й компюьтер является для них шлюзом и скрывает 2-ю сеть за NAT.
На 1-м надо загрузить три модуля, задать правило iptables и запустить
named или dnsmasq. Но примера конфигурации я сейчас дать не могу,
он у меня не дома, откуда я сейчас пишу.

Так сейчас и есть. Но в током случае, домашняя сеть не отеделена от провайдерской. Иначе стоит только кому-то указать мою подсеть, как он сразу получить полный доступ к её ресурсам. В том числе и брать мой интернет. Плюс в такой конфигруации я не могу использовать DHCP, без чего не удобно. Ибо сетевых устройств достаточно много.

Мне же нужно, что бы ни я ни мог попасть в сеть провайдера, ни кто бы то ни было, не мог попасть в мою сесть, ни каким образом.

То есть, у вас всё таки ЕСТЬ маршрутизатор между вами и провайдером?
Другими словами, у вас домашняя сеть УЖЕ отделена от провайдерской (и от интернета).
Чего ЕЩЁ вы хотите добиться?

Маршрутизатор то есть, но он старый и не тянет ту скорость которую даёт провайдер. Плюс еть еще ограничения по количеству пакетов и соединений.

[AnrDaemon]

Значит, пора менять маршрутизатор.

[koshev]

Ладно, пусть будет "нищебродский" вариант: переделать маршрутизатор в подобие управляемого свитча.
Тогда вопрос, Вы с настройкой маршрутизатора сюда зачем обратились? Есть отличный форум http://www.dd-wrt.com/phpBB2/, туда следует обратиться для конфигурации устройств. А для конфигурации Ubuntu/Debian достаточно набрать в консоли: man vlan-interfaces, в секции VLAN CREATION исчерпывающий ответ.

[const86]

Ладно, пусть будет "нищебродский" вариант: переделать маршрутизатор в подобие управляемого свитча.
Тогда вопрос, Вы с настройкой маршрутизатора сюда зачем обратились? Есть отличный форум http://www.dd-wrt.com/phpBB2/, туда следует обратиться для конфигурации устройств. А для конфигурации Ubuntu/Debian достаточно набрать в консоли: man vlan-interfaces, в секции VLAN CREATION исчерпывающий ответ.

Нету у меня этой справки. Эх... пойду на dd-wrt справшивать...

[AnrDaemon]

Ладно, пусть будет "нищебродский" вариант: переделать маршрутизатор в подобие управляемого свитча.

Если маршрутизатор в режиме маршрутизатора не выдерживает нагрузку, какие шансы, что он выдержит её в каком-то другом режиме?

[Yuriy_Y]

пойду на dd-wrt справшивать...

Я вот никак не пойму в этом смысла, если...

Маршрутизатор то есть, но он старый и не тянет ту скорость которую даёт провайдер. Плюс еть еще ограничения по количеству пакетов и соединений.

Если попинать форум автора прошивки, то маршрутизатор станет новее и функциональнее чтоли? Можно же принять в дар жутко старый комп, сделать его бесшумным, оборудовать двумя сетевухами и сделать на нем прозрачный прокси со шлюзом. А тут уже открывается простор для фантазии, делай че хочешь. Тут даже особо и ресурсов не надо, 512 оперативы и 80 винта будет просто за глаза надолго, если не делать на нем файлопомойку и медиасервер для дома.

[koshev]

Если маршрутизатор в режиме маршрутизатора не выдерживает нагрузку, какие шансы, что он выдержит её в каком-то другом режиме?

Высокие. Свитчу нужно намного меньше ресурсов ЦП для работы, ведь так?
Пользователь решил продолжить мысль 16 Февраля 2014, 12:13:33:

Нету у меня этой справки.

Пакет VLAN поставьте и будет.

[AnrDaemon]

Меньше, но не настолько, чтобы в 15-20 раз поднять буфер conntrack.

[koshev]

Зачем свитчу conntrack?

[Peter_I]

Не надо виртуальных сетей. Например, есть router, к нему через свич
подсоединён один, 1-й компьютер и он является единственным компьютером
в 1-й сети, есть 2-я сеть, подключённая к этому же свичу,
если в ней несколько компьютеров, они могут прямо включаться в этот
свич, а 1-й компюьтер является для них шлюзом и скрывает 2-ю сеть за NAT.
На 1-м надо загрузить три модуля, задать правило iptables и запустить
named или dnsmasq. Но примера конфигурации я сейчас дать не могу,
он у меня не дома, откуда я сейчас пишу.

Так сейчас и есть. Но в током случае, домашняя сеть не отеделена от провайдерской. Иначе стоит только кому-то указать мою подсеть, как он сразу получить полный доступ к её ресурсам. В том числе и брать мой интернет. Плюс в такой конфигруации я не могу использовать DHCP, без чего не удобно. Ибо сетевых устройств достаточно много.

Мне же нужно, что бы ни я ни мог попасть в сеть провайдера, ни кто бы то ни было, не мог попасть в мою сесть, ни каким образом.

Я не понял, как же она не отделена, если она другая?
В моём случае у рутера адрес 192.168.0.1 и сеть 192.168.0.0,
а сеть за NAT - 192.168.1.0 и адрес компьютера в ней - 192.168.1.130.
Адрес компьютера, для которого шлюзом является рутер, а сам он - шлюз
для сети за NAT - 192.168.1.132, но это опять же по памяти.

[koshev]

Я не понял, как же она не отделена, если она другая?

Очень обыкновенно-с. ТС, дабы улучшить производительность сетки, воткнул в свой DIR-320  шнурки провайдера и своего Linux-роутера в LAN-порты, т.е две разных сетки у него теперь в одном влане.
Чтобы ему достичь нужного результата, требуется сконфигурировать свитч DIR'а следующим образом:
- назначить один порт (условно назовём его port0, под провайдера) антег в одном влане.
- назначить другие порты ( условно назовём их  port2,port3,port4 под локалку) антег в другом влане.
- назначить port1 в транк, с тегами провайдерского и локального вланов.
- сконфигурировать мост с радиомодулем в локальном влане.
- настроить Linux-роутер на теги провайдерского и локального вланов на port1.
Как-то так.

(Нажмите, чтобы показать/скрыть)

У меня есть маршрутизатор ASUS RT-N16, который выполняет подобную функцию с той разницей, что ему на порт WAN уже приходит тегированный трафик (trunk).
Свитч и мост мыльницы сконфигурированы следующим образом

Код: (bash) [Выделить]

#!/bin/sh
robocfg \
vlan 1 ports "8t" \
vlan 2 ports "8t" \
vlan 3 ports "0t 8t" \
vlan 4 ports "0t 8t" \
vlan 5 ports "0t 4 8t" \
vlan 6 ports "0t 1 2 8t" \
vlan 7 ports "0t 3 8t"
ip l s dev vlan5 up
ip l s dev vlan6 up
ip a f dev br0
ip a a 192.168.1.3/27 brd + dev vlan5
ip r a default via 192.168.1.1 dev vlan5
ip l s dev vlan1 down
ip l s dev vlan2 down
ip l s dev br0 down
brctl delif br0 vlan1
brctl delif br0 vlan2
brctl addif br0 vlan6
ip l s dev br0 upТри влана, две сети и одна служебная.