OpenWrt Raspberry Pi

De Marmits Wiki

Source OneMarcFifty youtube
(à lire avec la vidéo)

Intro

Comment créer un routeur avec un Raspberry Pi et des VLAN d'un switch géré avec OpenWrt
(commutateur Zyxel GS1200 recommandé)
VLAN
- tag U non balisé est pertinent pour la sortie.
signifie que l'on envoi le vlan correspondant au port taggué U.

- PVID est pertinent pour l'entrée pour les paquets entrants qui n'ont pas de tags

=> SI switch netgear : securité double NAT avec DMZ entre FAI LAN et pi WAN (pas pratique)

Zyxel switch GS1200-8 avantages
On peut choisir le VLAN pour l'interface web, dans le cas du routeur openwrt sur un PI combiné avec un switch

Ex:

PARTIE SWITCH

1 port LAN 99
1 port WAN 1000
1 pour le PI lui même (trunk - partagé)

vlanid 1000
	port 6T(partagé) 7 8U

valnid 99
	port 6T(partagé) 7U 8

PVID
	port 6
	port 7 => 99
	port 8 => 1000
vlan 1 abondon
creer un vlan 55
vlanid 55
port 1 (attention ! ne pas sauvegarder tout de suite car port de connexion en cours) 2T 3T 4T 5T 6T 7 8
PVID
	port 1 => 1(idem) 
	port 2 => 55
	port 3 => 55
	port 4 => 55
	port 5 => 55
	port 6 => 55
	port 7 => 99
	port 8 => 1000

Le port 6 participe simultanément donc aux ports vlan99 et 1000 (trunk) => port du PI

PARTIE PI

interface LAN bridge device filtering

VLAN ID
	99 port1 T
	1000 port1 T
interface WAN DHCP 
DEVICE br-lan.1000
OpenWrt utilisera cette interface comme passerelle par défaut.
use default gateway
WAN zone de parfeu WAN
ne pas appliquer tout de suite

revenir sur l'interface LAN
device br-lan.99

SAVE AND APPLY

delai de 90 secondes pour
connect PC to port 7 switch
connect PI to port 6
maitenant connect WAN to port 8 

SECURITE

Même câble pour WAN ET LAN
Sur le PI
Pas de problèmes si vlan1 évité (vlan99 et vlan1000) et tant que l'on évite le trafic non balisé

Sur le switch gros probleme car interface web liée à l'adresse IP du switch.
je ne peux pas dire au switch sur quel VLAN il doit écouter
Cela signifie que l'interface web du switch pourrait potentiellement être liée à l'interface WAN.
=> donc l'interface web du switch pourrait être accessible depuis le WAN donc ne pas utiliser cette config comme routeur internet.
Le FAI protége le routeur PI si on connecte interface WAN du switch à interface LAN du FAI, donc si l'on créer un double NAT avec DMZ entre FAI et PI
Mais quand meme = aucun controle sur l'interface à laquelle le switch se lierait à son interface graphique.
Le Zyxel switch GS1200 n'a pas ce probleme car on peut choisir le VLAN pour l'interface web.
Conclusion:
Mieux serait le pi 5 car 2 ports ethernet en gigabit

Raspberry Pi 5