Всех с Новым Годом!

Сразу говорю, в администрировании не силен, поэтому прошу сильно не пинать.

Использую на своем домашнем роутере dnsmasq.conf с одной лишь целью — раздать клиентам статические маршруты. Нужно это для того, чтобы запустить всю маршрутизацию через роутер и иметь возможность фильтровать трафик (чтоб клиенты не могли общаться друг с другом через On-Link). Добиваюсь этого при помощи dhcp_option 121:

dhcp-option=121,192.168.42.0/24,192.168.42.1

В принципе, как-то работает, но не нравится то, что все клиенты получают одинаковые маршруты, а хочется настраивать маршруты немного по-разному для разных диапазонов ip адресов (принадлежащих одной локальной сети). Возможно так сделать?

И попутно второй вопрос: где бы найти более-менее полное описание всего возможного содержимого dnsmasq.conf? В интернете куча каких-то рваных фрагментов, посвященных решению частных прикладных задач, а хочется, чтоб все было в одном месте.

На всякий случай: роутер ASUS RT-AX86U, прошивка от Asuswrt-Merlin, поднят OpenVPN server.

R>Сразу говорю, в администрировании не силен, поэтому прошу сильно не пинать.

Тут не пинают, тут кувалдой принято.

R>Использую на своем домашнем роутере dnsmasq.conf с одной лишь целью — раздать клиентам статические маршруты. Нужно это для того, чтобы запустить всю маршрутизацию через роутер и иметь возможность фильтровать трафик (чтоб клиенты не могли общаться друг с другом через On-Link). Добиваюсь этого при помощи dhcp_option 121:

R>

dhcp-option=121,192.168.42.0/24,192.168.42.1

R>В принципе, как-то работает, но не нравится то, что все клиенты получают одинаковые маршруты, а хочется настраивать маршруты немного по-разному для разных диапазонов ip адресов (принадлежащих одной локальной сети). Возможно так сделать?

Компиляция из гугла/манов, не проверял и вообще ХЗ что за dnsmasq.conf

dhcp-range=set:red,192.168.0.50,192.168.0.150
dhcp-range=set:blu,192.168.0.151,192.168.0.250

dhcp-option=tag:red,121,...
dhcp-option=tag:blu,121,...

Здравствуйте, σ, Вы писали:

σ>Компиляция из гугла/манов, не проверял и вообще ХЗ что за dnsmasq.conf
σ>

σ>dhcp-range=set:red,192.168.0.50,192.168.0.150
σ>dhcp-range=set:blu,192.168.0.151,192.168.0.250

σ>dhcp-option=tag:red,121,...
σ>dhcp-option=tag:blu,121,...
σ>

Очень похоже на то, что мне нужно. Спасибо, буду пробовать.

Здравствуйте, rg45, Вы писали:

R>И попутно второй вопрос: где бы найти более-менее полное описание всего возможного содержимого dnsmasq.conf? В интернете куча каких-то рваных фрагментов, посвященных решению частных прикладных задач, а хочется, чтоб все было в одном месте.

https://thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html

Здравствуйте, vsb, Вы писали:

vsb>https://thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html

Это dnsmasq — исполняемый файл и его параметры. А мне нужно описание dnsmasq.conf — чтоб были расписаны все dhcp-options по номерам, как минимум (а их там до хрена и больше). Ну и весь другой контент, который выглядит очень обширным.

Здравствуйте, rg45, Вы писали:

vsb>>https://thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html

R>Это dnsmasq — исполняемый файл и его параметры. А мне нужно описание dnsmasq.conf — чтоб были расписаны все dhcp-options по номерам, как минимум (а их там до хрена и больше). Ну и весь другой контент, который выглядит очень обширным.

Невнимательно читаешь.

At startup, dnsmasq reads /etc/dnsmasq.conf, if it exists. (On FreeBSD, the file is /usr/local/etc/dnsmasq.conf ) (but see the --conf-file and --conf-dir options.) The format of this file consists of one option per line, exactly as the long options detailed in the OPTIONS section but without the leading "--". Lines starting with # are comments and ignored. For options which may only be specified once, the configuration file overrides the command line. Quoting is allowed in a config file: between " quotes the special meanings of ,:. and # are removed and the following escapes are allowed: \\ \" \t \e \b \r and \n. The later corresponding to tab, escape, backspace, return and newline.

К примеру найди там опцию --dhcp-range и прочитаешь всё про неё.

Здравствуйте, vsb, Вы писали:


vsb>Невнимательно читаешь.

vsb>At startup, dnsmasq reads /etc/dnsmasq.conf, if it exists. (On FreeBSD, the file is /usr/local/etc/dnsmasq.conf ) (but see the --conf-file and --conf-dir options.) The format of this file consists of one option per line, exactly as the long options detailed in the OPTIONS section but without the leading "--". Lines starting with # are comments and ignored. For options which may only be specified once, the configuration file overrides the command line. Quoting is allowed in a config file: between " quotes the special meanings of ,:. and # are removed and the following escapes are allowed: \\ \" \t \e \b \r and \n. The later corresponding to tab, escape, backspace, return and newline.

vsb>К примеру найди там опцию --dhcp-range и прочитаешь всё про неё.

И где в этом файле описание dhcp-опций: 1, 2, 3, ... 121, ... 249, ... ?

Здравствуйте, rg45, Вы писали:

R>И где в этом файле описание dhcp-опций: 1, 2, 3, ... 121, ... 249, ... ?

Нигде, это уже надо документацию по протоколу читать. dnsmasq просто отдаёт то, что ты ему скажешь.

Надо RFC читать, их много, в вики можно список посмотреть. Тут есть вроде краткий список опций со ссылками: https://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml

Здравствуйте, vsb, Вы писали:

vsb>Нигде, это уже надо документацию по протоколу читать. dnsmasq просто отдаёт то, что ты ему скажешь.

Ну так и дал бы ссылки на документацию. А какая мне польза от этого мануала?

vsb>Надо RFC читать, их много, в вики можно список посмотреть. Тут есть вроде краткий список опций со ссылками: https://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml

Ну, вот это уже полезный списочек, спасибо. Вот такую бы детализацию и по всем остальным параметрам. Да желательно, чтоб где-то в одном документе все было собрано. Не может быть, чтоб не было.

R>Использую на своем домашнем роутере dnsmasq.conf с одной лишь целью — раздать клиентам статические маршруты. Нужно это для того, чтобы запустить всю маршрутизацию через роутер и иметь возможность фильтровать трафик (чтоб клиенты не могли общаться друг с другом через On-Link). Добиваюсь этого при помощи dhcp_option 121:

Гм, так трафик и так через роутер идет. Или в сети ещё где-то L2-switch присутствует?
Если ты не доверяешь клиентским машинам, то статический маршрут через DHCP это не полное решение, т.к. DHCP-клиент не обязан использовать все настройки, которые ему скинул DHCP-сервер.
Нужно ещё что-то на роутере настроить (обычно port isolation называется).

P.S. сеть wi-fi или ethernet?

Здравствуйте, m2user, Вы писали:

R>>Использую на своем домашнем роутере dnsmasq.conf с одной лишь целью — раздать клиентам статические маршруты. Нужно это для того, чтобы запустить всю маршрутизацию через роутер и иметь возможность фильтровать трафик (чтоб клиенты не могли общаться друг с другом через On-Link). Добиваюсь этого при помощи dhcp_option 121:

M>Гм, так трафик и так через роутер идет. Или в сети ещё где-то L2-switch присутствует?

На физическом уровне да, через роутер. Но по умолчанию, если не предпринимать дополнительных телодвижений, адрес шлюза у всех клиентнов проставляется On-Link. В этом случае трафик роутером не маршрутизируется и не фильтруется, как-будто все клиенты общаются друг с другом напрямую.

M>Если ты не доверяешь клиентским машинам, то статический маршрут через DHCP это не полное решение, т.к. DHCP-клиент не обязан использовать все настройки, которые ему скинул DHCP-сервер.
M>Нужно ещё что-то на роутере настроить (обычно port isolation называется).

Это ж домашний роутер. Для моих клиентов такой защиты вполне достаточно
Разделил адресное пространство на три зоны, внутри каждой зоны клиенты общаются по On-Link, а между зонами — маршрутизация через роутер и фильтарция трафика через iptables.

M>P.S. сеть wi-fi или ethernet?

Бридж Wi-Fi, ethernet и OpenVPN. Ethernet — только один узел всего.