Morfitronik Security & Privacy

Konfiguracja interfejsów sieciowych w OpenWRT

2016-05-03 00:08:31
Morfik

Routery, które posiadamy w naszych domach, znane są z tego, że mają szereg interfejsów sieciowych. Taki przeciętny router jest wyposażony w switch z 5 portami RJ-45. Zwykle jest on też wirtualnie podzielony (VLAN) na kilka interfejsów, standardowo LAN i WAN. Do tego z reguły dochodzą jeszcze interfejsy bezprzewodowe WLAN na pasmo 2.5GHz i 5GHz. Jakby tego było mało, to mamy jeszcze wirtualny interfejs mostka, który spina ze sobą lokalne interfejsy switch’a z interfejsami bezprzewodowymi tworząc w ten sposób jeden interfejs, przez który pakiety wydostają się z naszej sieci i lecą dalej w świat przez interfejs WAN. Jest to trochę skomplikowane, dlatego też w tym wpisie przyjrzymy się całej tej konfiguracji interfejsów sieciowych w OpenWRT.

Jakie interfejsy sieciowe ma router

Na sam początek ustalmy to jakimi interfejsami dysponuje nasze urządzenie. Logujemy się zatem na router i w terminalu wpisujemy polecenie ifconfig . Jak sama nazwa wskazuje, powinno ono zwrócić listę aktywnych interfejsów sieciowych:

Powyżej mamy szereg interfejsów fizycznych, czyli tych, które zostały poprawnie rozpoznane przez system operacyjny routera. Do nich zaliczają się eth0 , eth1 , wlan0 oraz wlan1 . Mamy tam także dwa interfejsy wirtualne lo oraz br-lan . Te dwa ostatnie są dynamicznie tworzone przez OpenWRT. Do poprawnej pracy, każdy z tych interfejsów wymaga odpowiedniej konfiguracji. Do tego celu oddelegowane są różne skrypty, które w oparciu o plik /etc/config/network ustawiają wszystkie z powyższych interfejsów.

W pliku /etc/config/network mamy sprecyzowanych kilka bloków, które zostaną poniżej opisane. W domyślnej konfiguracji OpenWRT może brakować pewnych linijek. Dlatego też jeśli czegoś nie posiadamy, to wystarczy zwyczajnie dany parametr dopisać. Oczywiście w przypadku, gdy jest on nam potrzeby. Zwykle domyślna konfiguracja jest adresowana do większości użytkowników i raczej nie będziemy musieli nic zmieniać czy dopisywać. Trzeba też wziąć ewentualną poprawkę na nazwy interfejsów sieciowych, bo te mogą nie być jednakowe we wszystkich modelach routerów. Ten artykuł jest pisany w oparciu o konfigurację routera TP-LINK Archer C7 v2, który od wydania Chaos Calmer działa pod OpenWRT bardzo przyzwoicie.

Interfejs pętli zwrotnej (lo)

Pierwszy blok w pliku /etc/config/network odpowiada za konfigurację pętli zwrotnej. Jest to interfejs, na którym działają zwykle wewnętrzne usługi routera, z którymi nikt spoza tego urządzenia nie jest w stanie się połączyć. Jest to taka jego wirtualna sieć. Ten interfejs zawsze jest oznaczany jako lo , a jego konfiguracja pod OpenWRT wygląda mniej więcej tak jak poniżej przedstawiono:

config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

Nazwa interfejsu jest określana przez opcję ifname . Lepiej jest nie używać nazw dłuższych niż 15 znaków. Może to prowadzić do różnego rodzaju błędów w konfiguracji. Dalej mamy opcję proto odpowiadającą za protokół konfiguracji tego interfejsu. Pełną listę obsługiwanych protokołów można znaleźć na wiki OpenWRT. W przypadku interfejsu lo , zawsze konfiguruje się go statycznie. W zależności od wybranego protokołu, możemy definiować szereg opcji specyficznych dla danego protokołu. Jako, że tutaj mamy protokół statyczny, to określić musimy dwie opcje: ipaddr (adres IP) oraz netmask (maskę podsieci). W ten sposób interfejs pętli zwrotnej działa w sieci 127.0.0.0/8 i ma adres 127.0.0.1 . Ten interfejs musi być skonfigurowany, w przeciwnym razie lokalne usługi przestaną działać lub też zaczną działać nieprawidłowo.

Globalne parametry interfejsów

Nieco pod blokiem dotyczącym interfejsu lo mamy sekcję config globals 'globals' . W niej są umieszczane parametry niezależne od interfejsu. Standardowo po instalacji OpenWRT, w tej sekcji jest umieszczony tylko jeden parametr. Jest on odpowiedzialny za konfigurację prefiksu lokalnego adresu protokołu IPv6. Poniżej ta sekcja:

config globals 'globals'
    option ula_prefix 'fd42:156b:900b::/48'

Interfejs mostka (br-lan)

Dalej w pliku /etc/config/network mamy blok odpowiadający za konfigurację wirtualnego interfejsu sieciowego. Jest to mostek (bridge), który spina ze sobą szereg fizycznych interfejsów routera. W ten sposób mamy do skonfigurowania tylko jeden interfejs, podczas gdy router może operować na szeregu fizycznych interfejsów. W tym przypadku są to wlan0, wlan1 oraz eth1 (lokalne porty switch’a) . Usługi, które będziemy chcieli udostępnić w sieci lokalnej, np. serwer FTP czy www, będą na tym interfejsie operować. Poniżej znajduje się konfiguracja mostka w routerze:

config interface 'lan'
    option ifname 'eth1'
    option force_link '1'
    option type 'bridge'
    option proto 'static'
    option ipaddr '192.168.1.1'
    option netmask '255.255.255.0'
#   option broadcast '192.168.1.255'
    option ip6assign '60'

Widzimy tutaj, że opcja type tego interfejsu została ustawiona na bridge . W opcji ifname definiujemy wszystkie interfejsy fizyczne, które mają być podpięte pod mostek. Z racji pewnych problemów z interfejsami bezprzewodowymi, nie określa się ich statycznie w pliku /etc/config/network . Niemniej jednak, one również będą dodawane do tego mostka, z tym, że już za sprawą skryptu /lib/netifd/hostapd.sh . Po odrzuceniu interfejsów wlan0 i wlan1 zostaje nam tylko interfejs eth1 . Ten interfejs, podobnie jak w przypadku lo , będzie miał ustawioną statyczną adresację. Adres IP to 192.168.1.1 z maską 255.255.255.0, co tworzy sieć 192.168.1.0/24 . Opcjonalnie można także zdefiniować broadcast , który standardowo jest ustawiany na ostatni adres sieci, czyli 192.168.1.255 . Dzięki temu adresowi dany host w sieci może wysłać pakiety do wszystkich znajdujących się w niej maszyn, np. w przypadku poszukiwania serwera DHCP. Jako, że ustawiliśmy statyczny protokół konfiguracji tego interfejsu, musimy także ustawić opcję force_link . Odpowiada ona za przypisanie do tego interfejsu adresu IP, maski oraz opcjonalnie bramy sieciowej nawet w przypadku, gdy połączenie nie jest aktywne. Dalej mamy opcję ip6assign określającą długość prefiksu dla sieci protokołu IPv6.

Interfejs WAN (eth0)

Może i router posiada szereg interfejsów przewodowych i bezprzewodowych, za pomocą których możemy się do niego podłączyć od strony LAN, to w przypadku WAN mamy do dyspozycji standardowo tylko jeden interfejs. Jest on wydzielony ze switch’a i w tym przypadku jest to eth0 . Konfiguruje się go podobnie co w dwóch powyższych przypadkach, tj. przez odpowiednią sekcję w pliku /etc/config/network , przykładowo:

config interface 'wan'
    option ifname 'eth0'
    option proto 'dhcp'
#   option macaddr 'E8:94:F6:68:79:F1'
#   option hostname 'the-mountain'
    option peerdns '0'
    option dns '208.67.220.220 208.67.222.222'

Jako, że za pomocą tego interfejsu będzie się odbywać łączność ze światem, to jego konfiguracja jest zwykle ustawiona na dynamiczną przez protokół DHCP. Można oczywiście ustawić sobie statyczny adres, tak jak to miało w przypadku interfejsu br-lan . Niemniej jednak, trzeba będzie ręcznie dostosowywać sobie konfigurację połączenia z ISP jeśli ulegnie ona zmianie wliczając w to ipaddr , netmask gateway i opcjonalnie broadcast . W ifname określamy fizyczny interfejs switch’a, tym razem po stronie WAN. Jeśli potrzebujemy sklonować adres MAC, to w opcji macaddr wpisujemy adres poprzedniej maszyny, która widnieje w bazie ISP. Opcja hostname sprawi, że klient udhcpc wyśle do serwera DHCP nazwę hosta określoną w tym parametrze. Zwykle nie jest wysyłana żadna nazwa. Za pomocą opcji peerdns oraz dns jesteśmy w stanie nadpisać serwery DNS otrzymane w lease od serwera DHCP naszego ISP. Po zresetowaniu routera, adresy określone tutaj pojawią się w pliku /tmp/resolv.conf.auto :

# cat /tmp/resolv.conf.auto
# Interface wan
nameserver 208.67.220.220
nameserver 208.67.222.222

Jeśli chodzi o serwery DNS dla hostów znajdujących się w sieci lokalnej, to takim serwerem jest sam router. Wszystkie zapytania DNS z sieci wędrują pod adres określony w pliku /tmp/resolv.conf . Po ich otrzymaniu przez router, te zapytania są przesyłane do upstream’owych serwerów DNS, tych określonych w pliku /tmp/resolv.conf.auto . Możemy oczywiście ustawić, by zapytania z sieci szły bezpośrednio do serwerów google czy OpenDNS. Z tym, że wtedy stracimy możliwość buforowania zapytań, co trochę spowalnia rozwiązywanie domen na adresy IP.

IPv6 na interfejsie WAN (eth0)

OpenWRT wspiera protokół IPv6. Jeśli tylko nasz router wspiera tę nową adresację, to jesteśmy w stanie na porcie WAN skonfigurować klienta DHCP, który pobierze stosowną konfigurację. Niestety niewielu providerów internetowych zapewnia wsparcie dla IPv6, w efekcie poniższy blok na nic nie wpływa:

config interface 'wan6'
    option ifname    'eth0'
    option proto     'dhcpv6'

Niemniej jednak, jeśli jesteśmy w posiadaniu zewnętrznego adresu IPv4, to możemy pokusić się o stworzenie tunelu 6in4.

Konfiguracja switch’a (VLAN)

Ostatnie trzy bloki w pliku /etc/config/network dotyczą podziału switch’a na VLAN’y. Te sekcje są różne w zależności od posiadanego routera. Trzeba też zaznaczyć, że nie każdy switch jest programowalny i nie zawsze będziemy mieć opcję jego podziału wedle upodobania, np. jeśli chcielibyśmy wydzielić drugi port WAN. Poniżej przykład konfiguracji:

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '0t 2 3 4 5'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '0t 1'

Konfiguracja switch’a wykracza poza ramy tego artykuły i nie będę poruszał tutaj tego tematu. Niemniej jednak, jest on bardzo ciekawy i na tyle obszerny, że został opisany w artykule dotyczącym podziału switch’a na VLAN’y.


Komentarze

Zawartość wpisu