Заголовок сообщения: Локальные сети, глобальные сети и сетевые устройства
Добавлено: Пт июн 30, 2017 16:11:03
Друг Кота
Карма: 25
Рейтинг сообщений: 99
Зарегистрирован: Вс янв 24, 2010 19:19:52 Сообщений: 4470 Откуда: Главный Улей России (Moscow)
Рейтинг сообщения:0
В теме предлагается обсуждение проблем, связанных с организацией сетей, интернета, помощь с настройкой оборудования и прочие проблемы сетевой шелухи. Думаю, на форуме найдется несколько опытных админов по этой области.
Сетевые технологии проникли в наши дома уже давно, однако в наши самопалы они начали проникать относительно недавно. Все больше сетевого железа становится доступным для применения в самоделках. Это различные ESP8266, STM32, Arduino и прочие радости. Домашняя сеть у многих радиокотэ (и моя в том числе) начинает разрастаться и ею становится все сложнее управлять. И рано или поздно, в этой сети нужно наводить порядок и обеспечить нормальную безопасность. Вот и я столкнулся с тем, что дом и творческая мастерская у меня разрослись различными датчиками и исполнительными устройствами. Примерно 25% из этого добра обменивается данными через локальную сеть, остальная часть работает посредством всяких CANов, 485х и прочих витых пар, однако данные из этой паутины так же вываливаются в локальную сеть. Мало того, за всем этим добром нужно поглядывать почаще и ограничить посторонних от доступа в эту сеть. Чтобы все это обеспечить, был куплен новый роутер (старый отработал почти 8 лет). И не простой роутер, а посерьезнее. Выбор пал на Mikrotik RB952Ui.
Собственно, сеть: Физическая реализация Роутер дома: К порту ether1 подключен кабель от провайдера. Собственно, этот порт является WAN портом. Порт ether2 является свободным. К порту ether3 подключена медиаприставка. К порту ether4 подключен Power Line модем для передачи данных в мастерскую. (Витуху бросить туда нет возможности) На порту ether5 сидит домашний сервер.
Мастерская: Стоит там мой старый роутер TL-WR741ND с поднятым на нем OpenWRT. На порту LAN1 сидит PLC модем. На порту WAN сидит самопальный шлюз для обмена данными между шинами CAN/RS-485/Audio и локальной сетью (Ethernet) Остальные порты подведены к основному рабочему месту и оканчиваются Ethernet розетками.
Логическая организация Дома: На роутере порты 2, 3 и 5 объединены в свитч. 1 и 4 оторваны от него. Порт 2 объявлен мастер-портом. Порт 4 является trunk портом и на нем организовано два VLAN. В самом роутере так же создано два бриджа и две WiFi точки. Один бридж для локальной сети, второй для гостевой сети. Интерфейсы ether2-master, vlan3 и WiFi1 объединены в bridge, Wifi2 и vlan4 объединены в bridge-guest. Подняты две сети: 192.168.1.0/24 - Локальная сеть. 192.168.200.0/24 - Гостевая сеть. Получается, что все оборудование сидит в локальной сети. Между этими двумя сетями маршруты заблокированы за исключением маршрутов из гостевой сети до сервера в локальной сети и файерволом заблокированы все порты сервера, кроме портов SAMBA (и все это на роутере!)
Мастерская: Тут все просто. В OpenWRT отключено все, что связано с маршрутизацией и файерволлингом. DHCP сервер тоже в топку. Роутер превращен в управляемый коммутатор с WiFi на борту. LAN1 затегирован друмя VLAN (превращен в trunk) и на роутере создано два бриджа так же для гостевой и локальной сетей. И две WiFi точки для этих же целей. IP адреса выдает Mikrotik
Все это прекрасно работает и нареканий никаких нет. Однако, мне понадобился еще и VPN для подключения к своей домашней сети с рабочего места или смартфона. IP у меня белый. Вроде как статический (провайдер не гарантирует абсолютную статичность моего IP и может его сменить, если моча в голову ударит, однако гарантирует его белизну). По этому на всякий случай был написан скрипт для Duck DNS, чтобы иметь свое доменное имя. Из протоколов был выбран IPSec/L2TP, ибо с PPTP и его протоколом GRE имеются проблемы. Он обрезается некоторыми хопами провайдера. Да и L2TP/IPSec доступны практически на любом тапке в качестве альтернативы PPTP.
Для пользователя был создан отдельный интерфейс, пользователю назначается постоянный IP адрес из домашней подсети. Для этого я выделил отдельный диапазон адресов, чтобы небыло пересечений с узлами домашней сети.
В /ppp profiles был создан профиль l2tp_profile со следующим конфигом: Local Address: 192.168.1.1 Remote Address: vpn_local_pool (192.168.1.201-209) Bridge: bridge (мост локальной сети с подсетью 192.168.1.0/24) TCP MSS: yes UPnP: yes Use MPLS: default Compression: default Encryption: no (нет смысла грузить роутер лишним шифрованием, ибо уже есть IPSec с шифрованием)
В /ppp secrets создан пользователь: Name: user (для примера) Password: password (для примера) Service: l2tp Profile: l2tp_profile Local Address: 192.168.1.1 Remote Address: 192.168.1.201
В /ppp interface был создан персональный интерфейс для пользователя: Name: l2tp-user User: user
Конфиг ipsec приводить не буду, ибо думаю, что проблем там быть не должно.
VPN поднят, свободно подключаюсь, узлы домашней сети доступны, однако имеются следующие проблемы: Подключенный через VPN клиент не доступен из локальной сети. Он даже не пингуется самим роутером. Хотя при этом он видит всю локальную сеть. И не доходят broadcast пакеты из локальной сети до клиента (естественно, если даже обычные запросы на соединение не проходят) Три дня уже мучаюсь и не могу решить эту проблему. Может какие маршруты прописать? И как можно вести отладку трафика на Mikrotik? Ну, типа, найти, где теряются пакеты из локальной сети до клиента.
_________________ I am DX168B and this is my favourite forum on internet!
Заголовок сообщения: Re: Локальные сети, глобальные сети и сетевые устройства
Добавлено: Пт июн 30, 2017 21:40:05
Друг Кота
Карма: 25
Рейтинг сообщений: 99
Зарегистрирован: Вс янв 24, 2010 19:19:52 Сообщений: 4470 Откуда: Главный Улей России (Moscow)
Рейтинг сообщения:0
Нечто аналогичное DSL. По коаксиальному кабелю. То есть - EoC со стандартом DOCSIS 3. И с помощью конвертера преобразуется в Ethernet. Только в отличии от DSL тут скорости выше.
_________________ I am DX168B and this is my favourite forum on internet!
Последний раз редактировалось DX168B Пт июн 30, 2017 21:45:44, всего редактировалось 1 раз.
Качественное и безопасное устройство, работающее от аккумулятора, должно учитывать его физические и химические свойства, профили заряда и разряда, их изменение во времени и под влиянием различных условий, таких как температура и ток нагрузки. Мы расскажем о литий-ионных аккумуляторных батареях EVE и нескольких решениях от различных китайских компаний, рекомендуемых для разработок приложений с использованием этих АКБ. Представленные в статье китайские аналоги помогут заменить продукцию западных брендов с оптимизацией цены без потери качества.
Компания EVE выпустила новый аккумулятор серии PLM, сочетающий в себе высокую безопасность, длительный срок службы, широкий температурный диапазон и высокую токоотдачу даже при отрицательной температуре.
Эти аккумуляторы поддерживают заряд при температуре от -40/-20°С (сниженным значением тока), безопасны (не воспламеняются и не взрываются) при механическом повреждении (протыкание и сдавливание), устойчивы к вибрации. Они могут применяться как для автотранспорта (трекеры, маячки, сигнализация), так и для промышленных устройств мониторинга, IoT-устройств.
Заголовок сообщения: Re: Локальные сети, глобальные сети и сетевые устройства
Добавлено: Вт окт 03, 2017 07:21:03
Друг Кота
Карма: 25
Рейтинг сообщений: 99
Зарегистрирован: Вс янв 24, 2010 19:19:52 Сообщений: 4470 Откуда: Главный Улей России (Moscow)
Рейтинг сообщения:0
Проблема с видимостью устройств в сети VPN решилась. Нужно было в /ppp secrets указать пользователям подсеть (парам. route=192.168.1.0/24), к которой будет проложен пакетный маршрут. Этот момент не освещен ни в каких статьях. Пришлось долго рыться в официальной документации. Остался только броадкаст, но этим я займусь позже.
_________________ I am DX168B and this is my favourite forum on internet!
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения