Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Witam,
Mam nadzieję, że na tym forum otrzymam jakieś wskazówki, które ułatwią mi konfigurację routera z wykorzystaniem VLANu.
Sytuacja wygląda następująco:
Internet <-> (eth0 - klient DHCP) Serwer Debian (eth2, vlan999) <-> (WAN - VLAN999) ruter D-Link DIR-100
Serwer posiada dwa interfejsy fizyczne, na eth2 działa serwer DHCP. Utworzyłem na nim VLAN 999, nadałem im adresy jak poniżej:
eth2 Link encap:Ethernet HWaddr 00:e0:... inet addr:192.168.10.1 Bcast:192.168.10.255 Mask:255.255.255.0 ... vlan999 Link encap:Ethernet HWaddr 00:e0:... inet addr:192.168.11.1 Bcast:192.168.11.255 Mask:255.255.255.0 ...
Problem w tym, że D-Link zarządzany jest zdalnie za pośrednictwem wspomnianego VLAN-u 999 na adresie 192.168.11.2/24 (skonfigurowany statycznie). Poszczególne interfejsy (eth2, vlan999) odpowiadają na ping, jednak adres 192.168.11.2/24 nie jest osiągalny z poziomu serwera (wykluczam oczywiście warstwę fizyczną).
Próbowałem uruchomić serwer DHCP dla vlan999, ale to nic nie zmienia. Może ktoś podpowie mi co robię źle?
System to Debian 3.2.6-1.
Ostatnio edytowany przez dave88 (2012-11-04 19:42:31)
Offline
Tam po drodze jest jakiś switch z tymi vlanami, że musisz używać vlanów, czy serwer jest podłączony bezpośrednio do routera ?
Jak wygląda plik /etc/network/interface na serwerze ?
W kernelu masz włączona opcje z obsługą protokołu 802.1Q i router także obsługuje ten protokół ?
Proponowałbym podejrzeć jakimś programem przechwytującym ruch np. tcpdump/wireshark co się dzieje podczas komunikacji serwera z routerem.
Dużo niewiadomych i trudno jednoznacznie odpowiedzieć dlaczego nie działa.
Offline
Port WAN routera wpięty jest bezpośrednio do interfejsu eth2 w serwerze, nie mam żadnego zarządzalnego swicha pod ręką niestety. Jedyną możliwością zarządzania routerem jest konfiguracja via VLAN 999, takie są domyślne ustawienia routerka.
cat /etc/network/interfaces
# The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 allow-hotplug eth0 iface eth0 inet dhcp #eth2 auto eth2 allow-hotplug eth2 iface eth2 inet static address 192.168.10.1 netmask 255.255.255.0 gateway 192.168.10.1 #vlan999 auto vlan999 iface vlan999 inet static address 192.168.11.1 netmask 255.255.255.0 network 192.168.11.0 broadcast 192.168.11.255 mtu 1500 vlan_raw_device eth2
lsmod | grep 8021q
8021q 18747 0 garp 13026 1 8021q
Router oczywiście obsługuje VLANy ("Firmware VLAN switch posiada obsługę VLAN 802.1q"- cytat D-Link), zresztą przy tym firmware, to jedyna metoda zarządzania urządzeniem. Za kilka chwil podepnę się z wiresharkiem do serwera.
Offline
Trzy takie propozycje :
1. Spróbuj na razie ręcznie dodać i zobaczyć czy będzie działać czyli :
vconfig add eth2 999 ifconfig eth2.999 up ifconfig eth2.999 192.168.11.1 netmask 255.255.255.0
2. Być może jakieś problemy z wielkością ramki
ifconfig eth2.999 mtu 1496
3. Zmień ustawienia w /etc/sysctl.conf bo może kernel odrzuca pakiety.
net.ipv4.conf.all.rp_filter=0 net.ipv4.conf.default.rp_filter=0
Ostatnio edytowany przez ba10 (2012-11-04 20:56:18)
Offline
Spróbowałem wszystkich opcji po kolei, niestety bez rezultatu... Odpaliłem na serwerze tcpdump'a dla eth1, niestety nie wypluł nic związanego z mac'iem portu wan, a tym bardziej jego adresem IP.
Offline
dave88 napisał(-a):
Spróbowałem wszystkich opcji po kolei, niestety bez rezultatu... Odpaliłem na serwerze tcpdump'a dla eth1, niestety nie wypluł nic związanego z mac'iem portu wan, a tym bardziej jego adresem IP.
Eth1 ? a nie eth2 ? mam nadzieje, że to literówka bo dobrze by było trzymać się jednego nazewnictwa.
Co do punktu 1 to oczywiście przed zrobieniem ręcznego utworzenia vlana , poprzednie vlany zostały usunięte razem z wpisem w /etc/network/interfaces, oraz usługa sieci została zrestartowana, a dopiero po tym został dodany ręcznie vlan razem z ręcznym dodaniem modułu poprzez modprobe 802.1q ?
Punkt 2 z wartościa mtu którą należy odpowiednio dobrać, tą co podałem była przykładowa , więcej w tym wątku. Chociaż zabawy z mtu zostawiłbym na koniec.
Punkt 3 Pokaż wynik polecenia :
cat /proc/sys/net/ipv4/conf/all/rp_filter
Co do tcpdumpa.
Należało puścić ping na adres ip routera i sprawdzić czy wychodzące ramki są tagowane vlanem 999, to samo zrobić następnie z routera do serwera. Ping korzysta z protokołu icmp, który służy do wykrywania błędów i je sygnalizuje. W przechwyconym ruchu powinno, jak się zajrzy do niego, być czy i dlaczego na przykład pakiet został odrzucony. Trzeba taki ruch rozebrać na czynniki pierwsze i dobrze taki przechwycony ruch tcpdumpem przekopiować sobie i otworzyć w wiresharku, bo jest to wszystko czytelniejsze i ładnie podzielone co w każdej warstwie się dzieje.
Nie posiadam dostępu do tego typu routera, a sprawa jest na tyle ciekawa, że chętnie bym spróbował ją otworzyć u siebie.
Edytaka
Spróbuj interfejsowi sieciowemu na serwerze nadać adres ip nie 192.168.11.1, a inny np 192.168.11.3/24 czy dalszy, może są na routerze jest zarezerwowana jakaś pula.
Nie wydaje mi się, że by producent chciał aż tak skomplikować życie użytkownikom przy konfiguracji routera, więc to może być jakaś pi***oła, która gdzieś umkneła.
Sprawdził bym oczywiście tzw. warstwę fizyczną czyli kable oraz porty w karcie sieciowej serwera jak i routera.
Ostatnio edytowany przez ba10 (2012-11-07 11:26:18)
Offline
Wiesz słabo się znam na routerach Dlinka, ale skoro tam nie ma przełącznika zarządzalnego zajrzałem sobie do instrukcji tego routera.
Z tego co w niej znalazłem ten router jest odrobinę zbyt prymitywny aby móc zauważyć, że ta tagowana ramka (należąca do vlan) jest przenaczona dla niego.
Więc jeśli nie jest tam zmieniony soft, a przeoczyłem czegoś w konfiguracji, to zwyczajnie błądzisz kombinując z vlanami tam gdzie nie ma możliwości ich obsługi.
Offline
bobycob napisał(-a):
Więc jeśli nie jest tam zmieniony soft, a przeoczyłem czegoś w konfiguracji, to zwyczajnie błądzisz kombinując z vlanami tam gdzie nie ma możliwości ich obsługi.
Może być tak że vlan jest tam po to by nadać portowi jakiś adres ip by można było nim zarządzać zdalnie, co oczywiście potwierdza bobycob Twoją tezę :)
Offline
Eth1 ? a nie eth2 ? mam nadzieje, że to literówka bo dobrze by było trzymać się jednego nazewnictwa.
Oczywiście, to literówka, która nie ma w tym wypadku znaczenia.
Co do punktu 1 to oczywiście przed zrobieniem ręcznego utworzenia vlana , poprzednie vlany zostały usunięte razem z wpisem w /etc/network/interfaces, oraz usługa sieci została zrestartowana, a dopiero po tym został dodany ręcznie vlan razem z ręcznym dodaniem modułu poprzez modprobe 802.1q ?
Dokładnie tak.
Punkt 2 z wartościa mtu którą należy odpowiednio dobrać, tą co podałem była przykładowa , więcej w tym wątku. Chociaż zabawy z mtu zostawiłbym na koniec.
Probowałem kilku wartości mtu, lecz bez rezultatu oczywiście.
Punkt 3 Pokaż wynik polecenia :
Kod:
cat /proc/sys/net/ipv4/conf/all/rp_filter
cat /proc/sys/net/ipv4/conf/all/rp_filter 0
Co do tcpdumpa.
Należało puścić ping na adres ip routera i sprawdzić czy wychodzące ramki są tagowane vlanem 999, to samo zrobić następnie z routera do serwera.
Konsola 1:
ping -I eth1.999 192.168.11.2 PING 192.168.11.2 (192.168.11.2) from 192.168.11.1 eth1.999: 56(84) bytes of data. From 192.168.11.1 icmp_seq=2 Destination Host Unreachable From 192.168.11.1 icmp_seq=3 Destination Host Unreachable From 192.168.11.1 icmp_seq=4 Destination Host Unreachable
Konsola 2 (w tym samym czasie):
tcpdump -enni eth1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes 14:15:39.209611 00:0e:xx:xx:xx:xx> ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 46: vlan 999, p 0, ethertype ARP, Request who-has 192.168.11.2 tell 192.168.11.1, length 28 ...
Więc ramki wychodzące w kierunku routera są tagowane. W drugą stronę nie mam możliwości wykonania ping'u...
bobycob napisał(-a):
Wiesz słabo się znam na routerach Dlinka, ale skoro tam nie ma przełącznika zarządzalnego zajrzałem sobie do instrukcji tego routera.
Z tego co w niej znalazłem ten router jest odrobinę zbyt prymitywny aby móc zauważyć, że ta tagowana ramka (należąca do vlan) jest przenaczona dla niego.
Więc jeśli nie jest tam zmieniony soft, a przeoczyłem czegoś w konfiguracji, to zwyczajnie błądzisz kombinując z vlanami tam gdzie nie ma możliwości ich obsługi.
Cytat z dokumentacji D-Link'a dostępnej na ftp (ftp://ftp.dlink.pl/dir/dir-100/documentation/DIR-10 … 6-08-2011.rar):
DIR-100/PL (H/W:B1) z firmware VLAN switch.
Wersja B1 umożliwia załadowanie firmware o funkcjonalności VLAN Switch lub TP Router. Te wersje firmware znajdują się na serwerze ftp D-Link:
ftp://ftp.dlink.pl/dir/dir-100/driver_software/
Firmware VLAN switch posiada obsługę VLAN 802.1q oraz mechanizm IGMP Snooping v2 i MVR.
Jest do pobrania tutaj: ftp://ftp.dlink.pl/dir/dir-100/driver_software/DIR- … _20100210.zip
Poniżej zamieszczono ekrany konfiguracyjne routera DIR-100 (B1).
Router jest zarządzany jedynie zdalnie po VLAN v999 na adresie 192.168.11.2/24.
Oczywiście wgrałem Firmware VLAN switch. Fakt, że jest to sprzęt raczej 'domowy' ale z VLAN'ami na pewno sobie radzi.
Ostatnio edytowany przez dave88 (2012-11-11 14:31:30)
Offline
Wykonaj więc w konsoli jako root
vconfig add eth2 999
ip a a 192.168.11.1/24 brd + dev eth2:999
ip link set eth2.999 up
Jeśli po tych komendach nadal nie pinguje, a nie masz napłodzonych filtrów w iptables - to problem nie leży w Debianie.
jeśli masz np laptopa z linuksem - lub windowsem którego karta jest w stanie obsłuzyć vlan, zrób test ustaw odpowiednie rzeczy na interfejsach.
Sprawdź, że działa;) i poszukaj innego firmware:).
pozdrawiam
Offline
Okazuje się, że routerek działa wyśmienicie, vlany śmigają ;) Oczywiście trzeba było skonfigurować go przedtem ręcznie, instrukcja udostepniona przez D-Link'a wprowadziła mnie w błąd... Temat do zamknięcia
Ostatnio edytowany przez dave88 (2012-11-16 20:26:43)
Offline
Strony: 1