Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

VLAN e stampante/scanner condiviso

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Mer Mag 25, 2011 1:26 pm    Oggetto: VLAN e stampante/scanner condiviso Rispondi citando

Ciao a tutti.
Ho un problema che devo risolvere con una vera urgenza (venerdì, ahimè).

Ho una piccola realtà dove ci sono n-VLAN, una per ogni dipartimento. Ovviamente ogni VLAN non vede l'altra grazie a ZS e ad uno switch 3COM 2924SPF. Inoltre, il tutto è dietro il Captive Portal.
ETH00 è la LAN
ETH00 è verso il gateway internet.

Ogni VLAN ha una sua classe: tipo 192.168.[VLAN].xxx, fisicamente stanno sulla ETH00.

Ora ho la necessità di aggiungere una nuova stampante multifunzione, che per una questione di costi deve essere comune a tutti. Mi accontento anche della sola funzione di stampa.

Come posso configurare il tutto?
Innanzitutto ho impostato su ZeroShell che la stampante sia "esonerata" dal Captive Portal tramite MAC Address.

Ho poi provato a:
- mettere la stampante sulla classe della porta ETH00 (192.168.100.x) impostando l'IP manualmente e
- taggare su tutte le VLAN la porta dello switch a cui è collegata la stampante.
Ma nonostante il dispositivo veda internet non riesco a fare ping:
- da computer 192.168.vlan.xxx a stampante 192.168.100.xxx
- e più ovviamente da stampante a computer.

So bene che ovviamente il principio delle VLAN è la suddivisione delle reti, ma in questo caso ho bisogno di creare almeno una eccezione. Non mi è possibile aggiungere una scheda di rete alla macchina (ne ha già due ed è un case "small factor".

Ringrazio sin da ora chi potrà aiutarmi.

ps: vista l'urgenza, chi potesse aiutarmi anche via chat/telefono è assolutamente benvenuto, vista la mia disperazione. Chi potesse, oltre alle indicazioni in risposta qui, mi contatti in privato lasciandomi i contatti.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Mag 26, 2011 2:12 pm    Oggetto: Rispondi citando

Salve,
cio' che non e' descritto e' in che modo blocchi la comunicazione IP tra una VLAN e l'altra. Se non hai messo alcun blocco nel FW Zeroshell dovrebbe fare routing tra le diverse subnet e quindi la comunicazione dovrebbe esserci una volta autenticati dal captive portal, giusto?

Magari posta piu' dettagli.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Gio Mag 26, 2011 9:35 pm    Oggetto: Rispondi citando

Fulvio, ciao.
Innanzi tutto un IMMENSO grazie per il tempo che hai dedicato e per il preziosissimo aiuto.

Attualmente le varie VLAN, indipendentemente dal log-in nel captive portal, non sono in comunicazione. Le ho definite in Setup > Network sotto la ETH00 dando loro delle classi differenti di IP e definendo nel DHCP n-diverse classi.

Nel Firewall ho solo la seguente regola (policy accept - chain forward):
1 VPN99 ETH00 ACCEPT all opt -- in VPN99 out ETH00 192.168.250.0/24 -> 192.168.100.0/24.

Spero di aver fornito tutto ciò che ti è necessario.
Grazie,
Marino
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Mag 26, 2011 10:49 pm    Oggetto: Rispondi citando

Ma se due host su VLAN diverse si autenticano sul captive portal, riescono a comunicare?
Dovrebbero riuscire visto che Zeroshell fa routing per default dele diverse subnet.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Ven Mag 27, 2011 6:27 am    Oggetto: Rispondi citando

Assolutamente no. Niente ping.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Mag 27, 2011 8:53 am    Oggetto: Rispondi citando

E se disabiliti il captive portal?
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Ven Mag 27, 2011 9:23 am    Oggetto: Rispondi citando

Urka: non posso disabilitare il captive portal. E' richiesto dal committente e siamo in ambiente di produzione per cui non posso toccare nulla, da quel punto di vista, purtroppo.

Ti ho mandato una mail con l'accesso OpenVpn, se vuoi dare un occhio da remoto.

Grazie!
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Dom Mag 29, 2011 6:15 am    Oggetto: Rispondi citando

Dovresti disablitare il captive portal solo per il tempo di provare il ping tra due macchine connesse su VLAN diverse. Il fatto che macchine su VLAN diverse non s parlino non me lo spiego poiche' per default Zeroshell effettua il routing automaticamente.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Dom Mag 29, 2011 10:08 pm    Oggetto: Rispondi citando

Fulvio, ciao.
Ovviamente sei tu il guru in materia (e ci mancherebbe!) ma lo switch 3Com 2924SFC è ovviamente configurato in modo che una porta sia il ZS (VLAN1 untagged) e le altre siano taggate come VLAN 101, 102, 103, 104 etc.

O magari non c'entra nulla? Se non c'entra nulla lunedì fuori orario ufficio faccio un salto e testo al volo (sarà necessario qualche accorgimento sui client, oltre a disattivare il CP? Tipo riavviare i client?)

Ciao e grazie,
ilNebbioso
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Lun Mag 30, 2011 7:24 pm    Oggetto: Rispondi citando

Fulvio, ciao.
Alcuni aggiornamenti, preceduti dalla segnalazione (magari lo sai già?) che l'AutoUpdate non funziona (dice di non ci sono aggiornamenti) e infatti la mia installazione è ferma alla beta 12.

1) ho messo il dispositivo in una sua VLAN (198) con indirizzo 192.168.198.10 e in Firewall ho aggiunto alla catena Forward:
ETH00.xxx ETH00.198 ACCEPT all opt -- in ETH00.xxx out ETH00.198 192.168.xxx.0/24 -> 192.168.198.0/24
ma la comunicazione tra le due sottoreti tramite PING non avviene.
Ovviamente "xxx" è il numero della VLAN.

2) ho disattivato il Captive Portal, come da te richiesto, ma anche in questo caso il ping tra le due VLAN non va a buon fine (con o senza le regole di cui al punto 1), ad eccezione del caso al punto 3.

3) ho messo il MAC Address del dispositivo nella exclusion list del Captive Portal: immediatamente questo è stato in grado di fare PING con un'altra sottorete (cosa che ovviamente non soddisfa il mio problema), ma al contrario il client dell'altra sottorete no.

4) Purtroppo devo uscire dal problema, purtroppo mi trovo nella ca**a. Mi è stata data proroga sino a mercoledì mattina, ma ne devo uscire in qualche modo.... Sad

Ti prego di darmi una mano che sia definitiva. Hai i miei contatti, oltre al forum. Embarassed Embarassed Embarassed Embarassed Embarassed
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Lun Mag 30, 2011 8:15 pm    Oggetto: Rispondi citando

Ciao , se nella chain di forward la policy di default è accept , non hai bisogno di nient'altro per permettere la comunicazione tra le varie vlan , anzi dovresti creare delle regole di drop per impedirla dove vuoi ( ancora meglio sarebbe impostare la default policy a drop e permettere solo ciò che vuoi sia permesso ).
tutte le vlan hanno accesso ad internet o solo la vlan1 ?
Il CP su che interfaccia è attivo ?
la porta dello switch a cui è collegato lo ZS è un trunk o è una porta access della vlan 1?
potresti postare una foto di Setup>Network ?
ciao
jonatha
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Lun Mag 30, 2011 8:47 pm    Oggetto: Rispondi citando

redfive, ciao e grazie anche a te per il tuo supporto!

Per quello che riguarda le tue domande:
1) In alto nella schermata Chain: Forward il menu' a tendina è selezionato su Policy: accept. Il blocco a questo punto viene fatto dallo switch, visto che è configurato per avere tante micro-reti con un unico gateway (ZeroShell)? Infatti è un fatto che nemmeno il ping tra client di diverse reti è possibile.
2) Tutte le VLAN hanno accesso ad internet, tramite il gateway 192.168.VLAN.1 che è sempre la ETH00 (configurata con le tante VLAN) di ZeroShell
3) CP attivo su ETH00
4) Trunk: 3Com la chiama "tagged", ovvero una porta access, credo.
5) foto: la trovi qui di seguito (ovviamente non vedi tutte le VLAN configurate):




GRAZIE!
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Lun Mag 30, 2011 9:10 pm    Oggetto: Rispondi citando

Ciao Marino , forse c'è un pò di confusione , Smile Smile ogni vlan è un dominio di broadcast , e deve avere la sua classe di indirizzi .
esempio sullo Zs , potresti avere :
ETH00
192.168.0.1 255.255.255.224 sulla vlan nativa , ed è l'unica che , tra lo ZS e la porta dello switch , viaggia untagged

Vlan: 5
192.168.0.33 255.255.255.224 , questa , tra lo ZS e lo switch viaggia taggata
(Vlan id 5 )

Vlan: 10
192.168.0.65 255.255.255.224 , questa , tra lo ZS e lo switch viaggia taggata

(Vlan id 10 )

la porta dello switch che và a collegarsi allo ZS , non può essere una porta access, una porta access appartiene ad una sola vlan , deve essere una porta trunk , che trasporta tutte le vlan.
ora , ipotizziamo che le porte dello switch dalla 1 alla 5 appartengano alla vlan1 , dalla 6 alla 10 alla vlan5 , e dalla 11 alla 15 alla vlan 10 .
gli Hosts collegati alle primo gruppo di porte avranno come default gateway 192.168.0.1 , quelli collegati al secondo gruppo 192.168.0.33 , e quelli collegati al terzo gruppo 192.168.0.65 .
Il captive portal , di default è però associabile ad una sola interfaccia logica , quindi se lo associ alla ETH00 non sarà piu' disponibile per gli utenti sulle vlan ETH00.5 ed ETH00.10 ( a meno che non usi la patch di giancagianca che trovi sul forum , cerca Cp su piu' interfacce) .
per la stampante , una volta che hai sistemato tutto , su macchine windows , aggiungi stampante creando una nuova porta tcp-ip e gli dai l'ip della stampante , almeno io ho fatto cosi' , non posso usarla come scanner da tutti i pc però stampare stampa da tutte le vlan .
ciao
jonatha
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Lun Mag 30, 2011 11:45 pm    Oggetto: Rispondi citando

Redfive, ciao!
Perdonami (insieme a Fulvio!) per i miei errori: la mia difficoltà è che non sono esperto a questi livelli di reti e, francamente, faccio fatica nella piazza (reale!) a trovarne di disponibili ad aiutarmi spiegandomi passo-passo le cose: che qui nel virtuale, finalmente sia la volta buona!?!?!?! Very Happy

1) Classi delle VLAN.
Per quello che riguarda le VLAN il motivo per cui le ho divise per 192.168.xxx.0/24 è che ne ho (allo stato attuale) 16, cosa che, quando ai tempi ho progettato la cosa, mi era stato parso non fattibile per via della subnet mask. Anche perchè ogni singola VLAN può contenere un numero davvero variabile (e non limitabile in partenza) di client.
Nel mio caso, pertanto, tutte le VLAN hanno come gateway l'indirizzo 192.168.xxx.1.
Ripeto, xxx è, per notazione mia, il numero della LAN e viene quindi usato anche a livello di classi di IP per "dividere" le LAN.

2) Trunk / untagged.
Se ho compreso bene (prepara il cappello da asino! Wink ) la porta trunk è quella che io attualmente ho riservato sullo switch per la manutenzione dello stesso, ovvero sopra c'è solo la "mitica ed intoccabile" VLAN1.
Pertanto, posso affermare che tutte le porte dello switch lato client della VLAN non sono taggate, l'unica porta che va a ZeroShell lo è.
Tutto questo è lo stato delle cose per me.

3) Captive Portal
Ti confermo di aver utilizzato lo script di GiancaGianca (vedi http://www.zeroshell.net/forum/viewtopic.php?p=7818&highlight= trovi lì la discussione tra me e lui sulla personalizzazione dello script): allo stato attuale infatti il Captive Portal è attivo sulla ETH00 fisica, ma lo è automaticamente su tutte le ETH.xxx.

4) Per la stampante....: quello sarà davvero una passeggiata.

PS: questa sera ho finito davvero tardi dal sito (sono appena rientrato) e spero di aver trovato <si tocca> la giusta soluzione: l'ho testata verificando che dalle singole VLAN vedessi il dispositivo (e funziona anche al contrario!), ma i singoli client, tra loro, non posso vedersi. Non appena mercoledì sarà confermato <si tocca> vi chiederò conferma di aver agito correttamente.
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Mer Giu 01, 2011 12:15 pm    Oggetto: Rispondi citando

Fulvio, ciao.
Ti segnalo che hai ragione: a differenza di quanto avevo verificato in fase di installazione di ZeroShell in produzione, adesso se i due utenti sono autenticati nel Captive Portal effettivamente si pingano.

Come posso "blindare" la cosa?

Grazie,
ilNebbioso

fulvio ha scritto:
Ma se due host su VLAN diverse si autenticano sul captive portal, riescono a comunicare?
Dovrebbero riuscire visto che Zeroshell fa routing per default dele diverse subnet.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Gio Giu 02, 2011 1:38 am    Oggetto: Rispondi citando

Ciao

Per bloccare la comunicazione tra le varie vlan puoi inserire nello script di preboot questa riga.

iptables -A CapPortFS -s 192.168.0.0/16 -d 192.168.0.0/16 -j drop

Se la stampante ad esempio ha 192.168.0.30 puoi inserire queste righe prima della precedente

iptables -A CapPortFS -s 192.168.0.30/32 -d 192.168.0.0/16 -j ACCEPT
iptables -A CapPortFS -s 192.168.0.0/16 -d 192.168.0.30/32 -j ACCEPT

Queste regole vengono processate prima del CP.

Non ho modo di controllare ma dovrebbe funzionare.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it