Сразу говорю, в администрировании не силен, поэтому прошу сильно не пинать.
Использую на своем домашнем роутере dnsmasq.conf с одной лишь целью — раздать клиентам статические маршруты. Нужно это для того, чтобы запустить всю маршрутизацию через роутер и иметь возможность фильтровать трафик (чтоб клиенты не могли общаться друг с другом через On-Link). Добиваюсь этого при помощи dhcp_option 121:
dhcp-option=121,192.168.42.0/24,192.168.42.1
В принципе, как-то работает, но не нравится то, что все клиенты получают одинаковые маршруты, а хочется настраивать маршруты немного по-разному для разных диапазонов ip адресов (принадлежащих одной локальной сети). Возможно так сделать?
И попутно второй вопрос: где бы найти более-менее полное описание всего возможного содержимого dnsmasq.conf? В интернете куча каких-то рваных фрагментов, посвященных решению частных прикладных задач, а хочется, чтоб все было в одном месте.
На всякий случай: роутер ASUS RT-AX86U, прошивка от Asuswrt-Merlin, поднят OpenVPN server.
--
Не можешь достичь желаемого — пожелай достигнутого.
Re: dhcp_option 121 - как раздать клиентам разные настройки?
R>Сразу говорю, в администрировании не силен, поэтому прошу сильно не пинать.
Тут не пинают, тут кувалдой принято.
R>Использую на своем домашнем роутере dnsmasq.conf с одной лишь целью — раздать клиентам статические маршруты. Нужно это для того, чтобы запустить всю маршрутизацию через роутер и иметь возможность фильтровать трафик (чтоб клиенты не могли общаться друг с другом через On-Link). Добиваюсь этого при помощи dhcp_option 121:
R>
dhcp-option=121,192.168.42.0/24,192.168.42.1
R>В принципе, как-то работает, но не нравится то, что все клиенты получают одинаковые маршруты, а хочется настраивать маршруты немного по-разному для разных диапазонов ip адресов (принадлежащих одной локальной сети). Возможно так сделать?
Компиляция из гугла/манов, не проверял и вообще ХЗ что за dnsmasq.conf
Здравствуйте, rg45, Вы писали:
R>И попутно второй вопрос: где бы найти более-менее полное описание всего возможного содержимого dnsmasq.conf? В интернете куча каких-то рваных фрагментов, посвященных решению частных прикладных задач, а хочется, чтоб все было в одном месте.
Это dnsmasq — исполняемый файл и его параметры. А мне нужно описание dnsmasq.conf — чтоб были расписаны все dhcp-options по номерам, как минимум (а их там до хрена и больше). Ну и весь другой контент, который выглядит очень обширным.
--
Не можешь достичь желаемого — пожелай достигнутого.
Здравствуйте, rg45, Вы писали:
vsb>>https://thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html
R>Это dnsmasq — исполняемый файл и его параметры. А мне нужно описание dnsmasq.conf — чтоб были расписаны все dhcp-options по номерам, как минимум (а их там до хрена и больше). Ну и весь другой контент, который выглядит очень обширным.
Невнимательно читаешь.
At startup, dnsmasq reads /etc/dnsmasq.conf, if it exists. (On FreeBSD, the file is /usr/local/etc/dnsmasq.conf ) (but see the --conf-file and --conf-dir options.) The format of this file consists of one option per line, exactly as the long options detailed in the OPTIONS section but without the leading "--". Lines starting with # are comments and ignored. For options which may only be specified once, the configuration file overrides the command line. Quoting is allowed in a config file: between " quotes the special meanings of ,:. and # are removed and the following escapes are allowed: \\ \" \t \e \b \r and \n. The later corresponding to tab, escape, backspace, return and newline.
К примеру найди там опцию --dhcp-range и прочитаешь всё про неё.
vsb>Невнимательно читаешь.
vsb>At startup, dnsmasq reads /etc/dnsmasq.conf, if it exists. (On FreeBSD, the file is /usr/local/etc/dnsmasq.conf ) (but see the --conf-file and --conf-dir options.) The format of this file consists of one option per line, exactly as the long options detailed in the OPTIONS section but without the leading "--". Lines starting with # are comments and ignored. For options which may only be specified once, the configuration file overrides the command line. Quoting is allowed in a config file: between " quotes the special meanings of ,:. and # are removed and the following escapes are allowed: \\ \" \t \e \b \r and \n. The later corresponding to tab, escape, backspace, return and newline.
vsb>К примеру найди там опцию --dhcp-range и прочитаешь всё про неё.
И где в этом файле описание dhcp-опций: 1, 2, 3, ... 121, ... 249, ... ?
--
Не можешь достичь желаемого — пожелай достигнутого.
Re[5]: dhcp_option 121 - как раздать клиентам разные настрой
Ну, вот это уже полезный списочек, спасибо. Вот такую бы детализацию и по всем остальным параметрам. Да желательно, чтоб где-то в одном документе все было собрано. Не может быть, чтоб не было.
--
Не можешь достичь желаемого — пожелай достигнутого.
R>Использую на своем домашнем роутере dnsmasq.conf с одной лишь целью — раздать клиентам статические маршруты. Нужно это для того, чтобы запустить всю маршрутизацию через роутер и иметь возможность фильтровать трафик (чтоб клиенты не могли общаться друг с другом через On-Link). Добиваюсь этого при помощи dhcp_option 121:
Гм, так трафик и так через роутер идет. Или в сети ещё где-то L2-switch присутствует?
Если ты не доверяешь клиентским машинам, то статический маршрут через DHCP это не полное решение, т.к. DHCP-клиент не обязан использовать все настройки, которые ему скинул DHCP-сервер.
Нужно ещё что-то на роутере настроить (обычно port isolation называется).
P.S. сеть wi-fi или ethernet?
Re[2]: dhcp_option 121 - как раздать клиентам разные настрой
Здравствуйте, m2user, Вы писали:
R>>Использую на своем домашнем роутере dnsmasq.conf с одной лишь целью — раздать клиентам статические маршруты. Нужно это для того, чтобы запустить всю маршрутизацию через роутер и иметь возможность фильтровать трафик (чтоб клиенты не могли общаться друг с другом через On-Link). Добиваюсь этого при помощи dhcp_option 121:
M>Гм, так трафик и так через роутер идет. Или в сети ещё где-то L2-switch присутствует?
На физическом уровне да, через роутер. Но по умолчанию, если не предпринимать дополнительных телодвижений, адрес шлюза у всех клиентнов проставляется On-Link. В этом случае трафик роутером не маршрутизируется и не фильтруется, как-будто все клиенты общаются друг с другом напрямую.
M>Если ты не доверяешь клиентским машинам, то статический маршрут через DHCP это не полное решение, т.к. DHCP-клиент не обязан использовать все настройки, которые ему скинул DHCP-сервер. M>Нужно ещё что-то на роутере настроить (обычно port isolation называется).
Это ж домашний роутер. Для моих клиентов такой защиты вполне достаточно
Разделил адресное пространство на три зоны, внутри каждой зоны клиенты общаются по On-Link, а между зонами — маршрутизация через роутер и фильтарция трафика через iptables.
M>P.S. сеть wi-fi или ethernet?
Бридж Wi-Fi, ethernet и OpenVPN. Ethernet — только один узел всего.
--
Не можешь достичь желаемого — пожелай достигнутого.