La configuration sur cette page est basée sur Debian, mais devrait fonctionner avec d'autres distributions à base de debian (Ubuntu)

nécessite le noyau 4.14 ou supérieur (pilote DSA pour la séparation des ports)

dans le noyau 4.14 eth0 est la connexion entre le CPU et le circuit de commutation (mt7530), sur lequel les ports wan et lan0-4 sont connectés. cette connexion doit d'abord être réglée sur “up”.

mettre ensuite le(s) port(s) up

ip link set eth0 up
ip link set eth1 up

ou via /etc/network/interfaces

auto eth0
iface eth0 inet manual
  pre-up ip link set $IFACE up
  post-down ip link set $IFACE down

auto eth1
iface eth1 inet manual
  pre-up ip link set $IFACE up
  post-down ip link set $IFACE down

le mappage des ports vers gmac est défini dans le fichier dts et peut être affiché avec “ip a”

Avec 4.14 >.52 sur mon repo, gmac #2 (eth1) est ajouté et wan est connecté à cela.

par défaut, chaque lan-port est séparé et a besoin d'une propre configuration IP dans différents sous-réseaux

la plupart des utilisateurs aiment utiliser tous les ports LAN dans 1 segment de réseau, ils peuvent donc être bridged together pour ne faire qu'une seule configuration IP pour “LAN”

L'adresse MAC ne peut être définie que pour le GMAC (connexion entre le commutateur et la CPU). Dans Kernel 4.14, seul 1 GMAC est détecté (eth0). Il y a 2 GMAC dans Hardware.

$ cat /etc/udev/rules.d/00-static-mac-address.rules
ACTION=="add", SUBSYSTEM=="net", KERNELS=="1b100000.ethernet", RUN+="/sbin/ip link set dev %k address ae:fc:de:ad:be:ef"

/etc/network/interfaces

iface lan0 inet static
  address 192.168.0.10
  netmask 255.255.255.0
  gateway 192.168.0.5
#  pre-up ip link set $IFACE up
  pre-up ip link set $IFACE address 02:01:02:03:04:08 up

Créer un fichier /etc/systemd/network/10-wan.link

[Match]
OriginalName=wan

[Link]
MACAddress=XX:XX:XX:XX:XX:XX

http://forum.banana-pi.org/t/set-mac-address-on-boot/7224/7

local-mac-address = [00 0a 35 00 00 01];
mac-address = [00 0a 35 00 00 01];

si devicetree (avec la propriété mac-address) est chargé séparément (fdt), un alias pour ethernet-node est défini et ethaddr-variable est défini dans uboot, il est utilisé dans Linux

Ubuntu 18.4+ (et debiaan 10+) utilisant de nouveaux noms d'interface. Les appareils Wifi ne sont plus nommés comme wlanX mais plutôt comme wlpXsY

pour éviter cela, “net.ifnames=0” peut être ajouté à Kernel-Cmdline (uEnv.txt pour uboot) et/ou renommer via udev

/etc/udev/rules.d/70-persistent-net.rules

  SUBSYSTEM=="net", ACTION=="add", ATTR{address}=="f8:62:aa:50:15:c8", NAME="wlan1"

trouver des attributs comme celui-ci

  udevadm info --attribute-walk /sys/class/net/<interface-name>

pour appliquer la ou les règles (mais ne renomme pas en arrière) :

  udevadm control --reload-rules && udevadm trigger

après redémarrage tout fonctionne

si le pilote est compilé en tant que module, il peut être rechargé (après avoir activé les règles udev)

modprobe -r mt76x2e
modprobe mt76x2e

• Configurer une adresse de manière permanente dans /etc/network/interfaces:

#configurer d'abord le port en amont (NIC entre le CPU et le commutateur MT7530)
auto eth0
iface eth0 inet manual
  pre-up ip link set $IFACE up
  post-down ip link set $IFACE down

auto eth1
iface eth1 inet manual
  pre-up ip link set $IFACE up
  post-down ip link set $IFACE down
  
#puis configurer les ports lan
auto lan0
iface lan0 inet static
  hwaddress ether 08:00:00:00:00:00 # if you want to set MAC manually
  address 192.168.0.10
  netmask 255.255.255.0
  gateway 192.168.0.5
  pre-up ip link set $IFACE up
  post-down ip link set $IFACE down

  
* Configurer une adresse IP de manière temporaire:

ifconfig lan0 192.168.0.10 netmask 255.255.255.0 broadcast 192.168.0.255

ip addr add 192.168.0.10/24 broadcast 192.168.0.255 dev lan0

il faut s'assurer qu'un seul port se trouve dans le sous-réseau spécifique.

  IP a
  #ou
  ip addr show lan0

dans /etc/network/interfaces:

auto lan3
allow-hotplug lan3
iface lan3 inet dhcp

Renouveler l'adresse IP via

sudo dhclient -v -r lan3

dans /etc/dnsmasq.conf (activer la ligne en supprimant # au début de la ligne)

conf-dir=/etc/dnsmasq.d

/etc/dnsmasq.d/interfaces.conf

interface=wlan1
interface=ap0

# Le serveur DHCP n'est pas actif pour l'interface
no-dhcp-interface=eth0
no-dhcp-interface=eth1

#dhcp-authoritative (interface+range+leasetime, default-gateway-ip comme option 3)
dhcp-range=ap0,192.168.10.100,192.168.10.150,255.255.255.0,48h
dhcp-option=ap0,3,192.168.10.1
dhcp-range=wlan1,192.168.11.100,192.168.11.150,255.255.255.0,48h
dhcp-option=wlan1,3,192.168.11.1

service dnsmasq start

Pour désactiver IPV6 temporairement

echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6

Pour le désactiver de façon permanente, créer le fichier /etc/sysctl.d/01-disable-ipv6.conf avec le contenu :

  net.ipv6.conf.all.disable_ipv6 = 1

puis vérifier:

ip addr show | grep inet6

pour activer la traduction d'adresses réseau (réseau avec des IP privées derrière une IP publique)

  ipt=/sbin/iptables
  if_wan=wan
  ${ipt} -t nat -A POSTROUTING -o ${if_wan} -j MASQUERADE

Pour activer le routage pour IPv4

  echo 1 > /proc/sys/net/ipv4/ip_forward

alternative:

nano /etc/sysctl.conf
#activer net.ipv4.ip_forward=1 et net.ipv6.conf.all.forwarding=1 en supprimant # en début de ligne
sysctl -p /etc/sysctl.conf

manipuler la route par défaut :

ip route del default
ip route add default via 192.168.50.2

afficher la table de routage

ip route show

/etc/resolv.conf contient l'adresse IP du serveur de noms, par ex.

  nameserver 192.168.0.10

si 2 ou plusieurs ports LAN doivent utiliser le même segment de réseau (configurez seulement 1 adresse IP pour “LAN”), vous pouvez relier les ports ensemble.

  apt-get install bridge-utils

Pour configurer un pont permanent éditer /etc/network/interfaces:

auto lan1
iface lan1 inet manual
auto lan2
iface lan2 inet manual

auto br0
iface br0 inet static
    address 192.168.40.1
    netmask 255.255.255.0
    bridge_ports lan1 lan2
    bridge_fd 5
    bridge_stp no

Pour configurer un pont temporaire:

brctl addbr br0
brctl addif br0 lan1
brctl addif br0 lan2
ip addr add 192.168.40.1/24 dev br0
ip link set br0 up

brctl show br0

brctl étant obsolète, il faut utiliser ip/bridge à la place:

ip link add name br0 type bridge
ip link set dev br0 up
ip link set dev lan0 master br0
ip link set dev lan1 master br0

#supprimer l'interface du pont
ip link set dev lan0 nomaster

#supprimer le pont
ip link del br0

Le support du vlan sur les ports dsa a besoin du patch suivant:

<codedoc toggle 0001-net-dsa-enable-vlan-without-bridge-on-dsa-user-port.patch> From 7caf1f5dce1b5a4b1001c37257b2b6fbd55e7c43 Mon Sep 17 00:00:00 2001 From: Landen Chao landen.chao@mediatek.com Date: Tue, 31 Dec 2019 11:48:41 +0100 Subject: [PATCH] net: dsa: enable vlan without bridge on dsa user port

drivers/net/dsa/mt7530.c | 14 ++++++++++++– 1 file changed, 12 insertions(+), 2 deletions(-)

diff –git a/drivers/net/dsa/mt7530.c b/drivers/net/dsa/mt7530.c index 1d8d36de4d20..7e285aa9bd7c 100644 — a/drivers/net/dsa/mt7530.c +++ b/drivers/net/dsa/mt7530.c @@ -1165,8 +1165,13 @@ mt7530portvlanadd(struct dsaswitch ds, int port, / The port is kept as VLAN-unaware if bridge with vlanfiltering not * being set. / - if (!dsaportisvlanfiltering(&ds→ports[port])) + if (!dsaportisvlanfiltering(&ds→ports[port])){ + / Enable VLAN tagged in port-based vlan setting. / + if ¹⁾ + mt7530rmw(priv, MT7530PCRP(port), EGTAG(3), + EGTAG(2)); return; + } mutexlock(&priv→regmutex); @@ -1196,8 +1201,13 @@ mt7530portvlandel(struct dsaswitch ds, int port, / The port is kept as VLAN-unaware if bridge with vlanfiltering not * being set. */ - if (!dsaportisvlanfiltering(&ds→ports[port])) + if (!dsaportisvlanfiltering(&ds→ports[port])) { + / Disable VLAN tagged in port-based vlan setting. */ + if ²⁾ + mt7530rmw(priv, MT7530PCRP(port), EGTAG(3), + EGTAG(0)); return 0; + }

mutexlock(&priv→regmutex);

2.17.1 </codedoc>

/etc/network/interfaces :

auto lan3.60
iface lan3.60 inet static
  address 192.168.60.10
  netmask 255.255.255.0

Pour activer temporairement le vlan :

ip addr add 192.168.40.11/24 dev lan1
ip link set lan1 up
ip link add link lan1 name vlan500 type vlan id 500
ip addr add 192.168.50.1/24 dev vlan500
ip link set vlan500 up

Avec 4.16, la prise en charge des vlan dans les ponts a été ajoutée.

vlan_filtering doit être activé avant que les ports dsa ne soient ajoutés au pont, sinon tout le trafic (non balisé également) est bloqué après ce paramètre.

#!/bin/bash
BRDEV=br-lan
LANDEV=lan2
BRIP=192.168.40.11/24
VLAN=500
VLANIP=192.168.50.11/24

#crée d'abord un pont avec vlan-suport et ajoutez dsa-port(s)
ip link set eth0 up #ifconfig eth0 up
brctl addbr $BRDEV
ip add add $BRIP dev $BRDEV
ip link set $BRDEV type bridge vlan_filtering 1
brctl addif $BRDEV $LANDEV
ip link set $BRDEV up
ip link set $LANDEV up

#ajout de vlan maintenant
bridge vlan add vid $VLAN dev $LANDEV master
bridge vlan add vid $VLAN dev $BRDEV self
ip link add link $BRDEV name $BRDEV.$VLAN type vlan id $VLAN
ip add add $VLANIP dev $BRDEV.$VLAN
ip link set $BRDEV.$VLAN up
bridge vlan show

On peut tester avec tcpdump:

  sudo tcpdump -ei lan1 arp ou icmp

-e affiche des informations sur la couche de liaison comme vlan

  sudo tcpdump -XXi lan1 arp ou icmp

affiche les paquets arp et icmp en tant que vidage hexadécimal sur l'interface

l'offset 0x0c devrait afficher 8100 suivi de la valeur hexadécimale du numéro de vlan (ici vlan 500 = 0x01f4)

12:16:26.491644 IP 192.168.50.11 > frank-G5: ICMP echo reply, id 4294, seq 5, length 64
0x0000:  3c18 a003 c3a4 c63a 3897 5920 8100 01f4  <......:8.Y.....

  sudo tcpdump -i eth0 port pas 22 > tcpdump.log
  sudo tcpdump -XXi lan1 arp # ou icmp

l'exemple crée une connexion pppoe sur vlan 140 comme celui d'un FAI

sudo apt install pppoe

sudo ip link add link enx00e04c680683 name wan.140 type vlan id 140

/etc/ppp/pap-secrets
"bpi-r2"    *   "1234578"   *

/etc/ppp/pppoe-server-options
# options PPP pour le serveur PPPoE
# LIC : GPL
debug
#plugin /etc/ppp/plugins/rp-pppoe.so
require-pap
mtu 1492
mru 1492
ktune
proxyarp
lcp-echo-interval 10
lcp-echo-failure 2
nobsdcomp
noccp
novj
noipx

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o enp3s0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

pppoe-server -I wan.140 -L 192.168.1.1 -R 192.168.1.100 -F &

apt install pppoeconf
ip link add link wan name wan.140 type vlan id 140
ip link set wan.140 up
pppoeconf wan.140

/etc/ppp/peers/dsl-provider (doit être créé par pppoeconf)

# Fichier d'options par défaut minimaliste pour les connexions DSL/PPPoE

noipdefault
defaultroute
replacedefaultroute
hide-password
#lcp-echo-interval 30
#lcp-echo-failure 4
noauth
persist
#mtu 1492
#persist
#maxfail 0
#holdoff 20
plugin rp-pppoe.so wan.140
user "bpi-r2"
usepeerdns

pon dsl-provider

Il faut supprimer l'ancienne route vers le sous-réseau lan local qui est utilisé pour connecter le DNS (alors la route par défaut via ppp est utilisée).

#delete previous rules
${ipt} -F
${ipt} -X
${ipt} -t nat -F
${ipt} -t nat -X
${ipt} -t mangle -F
${ipt} -t mangle -X

# Default-Rule for IPv4: drop all
${ipt} -P INPUT   DROP
${ipt} -P OUTPUT  DROP
${ipt} -P FORWARD DROP

# policy for TCP-Reset/UDP-Reject as alternative to "-j DROP"
${ipt} -N REJECTED
if [[ ! "${LOG}" = "" ]];
then
  echo "enable IPv4-Firewall-Logging (all)...";
  ${ipt} -A REJECTED -m limit --limit 10/min -j LOG --log-prefix "NETFILTER4-REJECTED: " --log-level 4
fi
${ipt} -A REJECTED -p tcp -j REJECT --reject-with tcp-reset
${ipt} -A REJECTED -p udp -j REJECT --reject-with icmp-port-unreachable
${ipt} -A REJECTED -j DROP

# localhost
${ipt} -A INPUT  -i lo -j ACCEPT
${ipt} -A OUTPUT -o lo -j ACCEPT

${ipt} -A OUTPUT -j ACCEPT
${ipt} -A INPUT  -m state --state RELATED,ESTABLISHED -j ACCEPT # incoming connetions which are requested
${ipt} -A INPUT  -p icmp -m limit --limit 5/s --icmp-type echo-request -j ACCEPT # ICMP incoming, max 5/s

#Block Teredo-Stuff
#${ipt} -I FORWARD -p udp --dport 3544 -j REJECTED
#${ipt} -I FORWARD -p udp --sport 3544 -j REJECTED
#http://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
${ipt} -A FORWARD -p 41 -j REJECTED #IPv6 Encapsulation
${ipt} -A FORWARD -p 43 -j REJECTED #Routing Header for IPv6
${ipt} -A FORWARD -p 44 -j REJECTED #Fragment Header for IPv6
${ipt} -A FORWARD -p 58 -j REJECTED #ICMP for IPv6
${ipt} -A FORWARD -p 59 -j REJECTED #No Next Header for IPv6
${ipt} -A FORWARD -p 60 -j REJECTED #Destination Options for IPv6

#ssh with rate-limit (replacing hosts.allow)
${ipt} -I INPUT -p tcp --dport 22 -i ${if_ext} -m state --state NEW -m recent --set
${ipt} -I INPUT -p tcp --dport 22 -i ${if_ext} -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j REJECTED #4 connections in 1 minute
${ipt} -A INPUT  -p tcp --dport  22 -j ACCEPT #SSH incoming

${ipt} -A FORWARD -i ${if_int} -o ${if_ext} -j ACCEPT #Forwarding Int->Ext
${ipt} -A FORWARD -i ${if_ext} -o ${if_int} -m state --state ESTABLISHED,RELATED -j ACCEPT #Forwarding Ext->Int (only existing/requested connections)

${ipt} -A INPUT -i ${if_int} -j ACCEPT #accept all request from internal

… (some other rules, e.g. port-forwardings)

# REJECT/RESET for everything else
${ipt} -A INPUT   -j REJECTED
${ipt} -A OUTPUT  -j REJECTED
${ipt} -A FORWARD -j REJECTED

additional options:

#Kernel-option for SYN-Cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies  #enable syn cookies (prevent against 'syn flood attack')

if [ -f /proc/sys/net/ipv4/conf/all/accept_redirects ]; then
    echo "   Kernel ignores all ICMP redirects"
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
fi

if [ -f /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts ]; then
   echo "   Kernel ignores ICMP Echo requests sent to broadcast/multicast addresses"
   echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
fi

Pour activer le port forwarding (par exemple forward du port 522 vers Client 192.168.0.5 port 22):

  ${ipt} -t nat -A PREROUTING -p tcp --dport 522 -j DNAT --to-destination 192.168.0.5:22

vérification

  iptables -L -t nat
  
  Chain PREROUTING (policy ACCEPT)
  target     prot opt source               destination         
  DNAT       tcp  --  anywhere             anywhere             tcp dpt:522 to:192.168.0.5:22