[trantor]

Tere! Panin esimest korda OpenWRT peale, oma Tp-link TL-WR1043DN purgile. Mulje on väga positiivne. See asendab isegi kallimaid tulemüüre, muidugi kui viirustõrje ja proxid välja arvata, ja asjade grupeerimist ka kahjuks pole aga saab hakkama. Firewall-Builderi iptables GUI-st meeldib ka rohkem, iptables-il pole ju VLAN tuge. See DD-WRT tundus ikka nii nigel et originaalfirmware oli isegi parem. Aga võimalusi on rahuldavalt juba sellel OpenWRT-l. Näiteks saan teha DNS forwardimisi muule DNS-serverile vastavalt domeenile, kasutada "host" faili käsitsi nimelahenduseks, lisainterfeisse eraldi reeglitega ja muidugi switch oma VLAN-idega on lausa maiuspala. DD-WRT ametlik webisait rääkis sama seadme kohta et ei saa üldse pordipõhiseid VLANe teha ja isegi 802.1Q ma tööle ei saanud. OpenWRT-s ma pole jõudnud veel testida aga webikonf lubab ilusti teha VLANe nii pordipõhiseid kui ilma. Kahju ainult et PVID seadmist pole aga saab hakkama ilma ka. Esimene küsimus oleks et mis järjekorras reegleid seal kasutatakse? Näiteks teen mingid zoned ja luban või keelan liiklust zonede vahel. Siis aga teen lisaks veel tulemüürireegli sama ühenduse kohta. Ja kui reegel on veel vastupidine, siis on ju oluline mis järjekorras neid reegleid teostatakse ja kes peale jääb. Sama ka NAT-i kohta. Näiteks teen mingile zonele linnukese panekuga "maskeraadi". Siis aga NAT reegliteg midagi muud. Kumb siis peale jääb? Ja teine küsimus oleks dual-wani puhul liikluse suunamine mitme default-gateway vahel. Kui teen kaks WAN interfeissi, kummalgi oma gateway, siis on kokku ruuteris ju kaks default gatewayd. Kui nüüd LAN-ist mingi ühendus tahab internetti minna, siis kumba WAN-i see suunatakse? Mõlemad on ühendatud internetiga. Ruutimisreeglit ei saa teha kuna destinationi pole ju interneti puhul. Oletame et mul on ka kaks LAN-i, LAN1 ja LAN2 ning kaks WAN-i, WAN1 ja WAN2. Tahan kõik LAN1-st saata WAN1-e ja LAN2-st saata WAN2-e. Kui ma teen reegli zone kohta, kas see garanteerib liikluse õigesti ruutimise või see on lihtsalt filter? Oletame et suunab valeti, LAN1 suunab WAN2. Nüüd zone vaatab et seda ei saa läbi lasta ja lihtsalt blokib ühenduse, selle asemel et õigesse interfeissi suunata. Sama on ka NAT reegliga. NAT reegel ju ainult tegeleb paketi IP aadressidega ja interfeiss on talle ükskõik. Kuidas seda lahendada? Ma isegi pole kallimatel tulemüüridel näinud eriti sellist liikluse suunamist lisaks ruutimisele. Ei mäleta kas Microtikul oli see võimalus. Vist oli aga momendil Microtikut ei taha kasutusele võtta ja Microtiku seadistus on ka pisut kohmakas ning tasuta pole teda saada eriti ka. Aga hiljuti sai muretsetud üks suht odav Asuse wifiruuter ning sellel nägin üllatusega et lisaks static-ruutimisele on eraldi reeglid liikluse suunamiseks kahe WAN vahel (dual-wan purk). Selles mõttes on see Asus kõva sõna, OpenVPN on ka kõva sellel, teeb ise kõik automaatselt (selle pärast saigi muretsetud) aga muidu on võimalused tal nigelad. Plaanis võtta kasutusele mõlemad üksteise järgi, Asus ja see OpenWRT, siis on tulemus hea töö. Aga hirmsalt huvitab kuda see OpenWRT ikka mitme default gateway vahel kommuteerib? Kunagi oli iptables või netfiltris selline võimalus aga see uuematel versioonidel võeti maha.