VLAN mit Tagging auf der eth Seite

Ich habe noch ein wenig ausprobiert, mit folgendem Ergebnis:

(7270)
Das Tagging funktioniert nur auf dem wan IF. Zuvor muss allerdings mind. der ata Modus
über cpmaccfg aktiviert werden. Dadurch erhält man das wan IF auf LAN Port 0.
Code:
cpmaccfg ssm ata -p 451
ifconfig wan 0.0.0.0 up
vconfig add wan 451
ifconfig wan.451 x.x.x.x netmask y.y.y.y up

Dies war die einzige Konstellation in der tatsächlich getaggte Frames über die Leitung gingen.
Dafür war es mir jedoch nicht möglich über das wan IF ungetaggte Frames zu übertragen.
Es sieht für mich so aus, als würden diese einfach komplett unterdrückt.

Im anderen Fall - das vlan mit vconfig an das eth0 IF gebunden - ist es halt umgekehrt.
Da werden nur ungetaggte Frames übertragen.

Versuchsweise habe ich es noch mit einer 7141 und einer alten fbfon probiert, auf denen kein
cpmac läuft. Das Ergebnis war in beiden Fällen gleich. VLAN lies sich einrichten, aber
kein einziger Frame mit TAG ging auf die Leitung.

In allen Fällen hatte ich während der Tests die Bridge lan deaktiviert, damit diese nicht
noch zusätzlich mit reinspuckt und es waren, natürlich alle beteiligten IF's, mit Adressen
versorgt und up.

-Wanninger
 
Der Source des cpmac ist im AVM Open Source Package (Kernel) enthalten. Du könntest dich dort mal nach VLAN umsehen. Normalerweise kommentiert AVM solche Sachen.

MfG Oliver
 
Man sollte cpmaccfg und vconfig nicht mischen, es sei denn vielleicht in speziellen Situationen, wenn man weiß, was man tut.
cpmaccfg steuert den Switchbaustein in der Box.
vconfig steuert die Linux-Konfiguration und läuft unabhängig von der Hardware auf jedem Linux System.
 
wie gesagt wenn man mit tcpdump nachschaut werden ausgehende frames mit tags versehen...

die kommen aber nirgendwo an bzw. ankommende werden irgendwie geblockt.

Das deutet darauf hinaus dass der Switch es irgendwie filtert.

Ich habe ausprobiert von verschiedenen ifaces nen vlan iface anzulegen. Also von eth0 (eth0.2) von lan (lan.2) und cpm* (weiß jetzt nicht den namen ausm kopf) immer mit gleichem ergebniss dass es nicht getan hat...

Greetz
 
Im AVM Source steht z.B. so was:
Code:
if(mdio->cpmac_config.cpmac_mode == CPMAC_MODE_ALL_PORTS) {
    DEB_INFOTRC("Configure: Disable VLAN\n");
    mdio->cpmac_priv->enable_vlan = 0;
} else {
    DEB_INFOTRC("Configure: Enable VLAN\n");
    mdio->cpmac_priv->enable_vlan = 1;
}
MfG Oliver
 
schon irgendwelche loesung oder geht es doch nicht?
 
Gibts schon was neues, mit vlan tagging auf eth?
 
wurde mich auch interessieren... ohne vlan's macht die box wenig spass :/
 
In linux-2.6.32/drivers/net/avm_cpmac/cpphy_adm6996.c larger parts of the code that seems to handle 802.1q tag has been surrounded with #if 0 ... #endif. Two questions:
- has anyone tried what happens when some of these #if 0 pre-processor statements are replaced with #if 1?
- has anynone a clue why this code has been disabled?
 
poruid schrieb:
- has anyone tried what happens when some of these #if 0 pre-processor statements are replaced with #if 1?
It may work - or not.

poruid schrieb:
- has anynone a clue why this code has been disabled?
There ara various pin-compatible sub-types of the ADM6996 switch device existing (and also mounted in the various boxes), not all of them can handle VLAN tagging.

G., -#####o:
 
It may work - or not.
Compilation fails, struct undefined etc. Seems a bit more complicated and also whether the half-way implementation would work is uncertain.

When one looks at source/fritzbox/7390_5.01/GPL-release_kernel/linux/drivers/net/ifxmips_switch_api/ifx_ethsw_tantosG_api.c which also has the PSB 6970 (tantos) switch, it is a very different piece of code. Porting it to the 7270 etc. may be interesting. Whether it is feasible, that's a question.
 
Zuletzt bearbeitet:
Gibts hier Neuigkeiten? Irgendjemand der es geschafft hat getaggte Pakete ins lokale Netz zu bekommen?

Einrichten lässt sich ja ein VLAN device nur leider kommen außen keine Tags mehr an.

Hardware 7390 + freetz
 
Wie sehen denn die Dateien im Verzeichnis »/proc/net/vlan« aus?, das über die VLAN-Konfiguration informiert.

Die Option »vconfig set_flag REORDER _HDR 1« legt fest, dass der Kernel die VLAN-Tags entfernen soll, bevor er das Paket an eine Anwendung übergibt. Einige Programme lesen direkt die Ethernet-Pakete und würden über die vier zusätzlichen Markierungsbytes im Paket stolpern.
 
Ich möchte diesen Thread gerne einemal wiederbeleben, da ich auch großes Interesse an einer Lösung habe.

Was irgendwie funktioniert, den Switch mittels cpmaccfg auf Portmode ata umzustellen und dann über 'vconfig add wan 50' ein Vlan Interface anzulegen. Füge ich dieses Interface mit 'brctl addif lan wan.50' der Bridge hinzu, dann kommen tatsächlich
getaggte Frames aus dem LAN-Port1...
Das sagt mir, dass meine 7140 bzw. 7170 das technisch unterstützen. Ich selbst fühle mich nicht in der Lage den Source Code des Kernels zu verstehen geschweige denn anzupassen.

Mein Ziel ist, die Box als IP-Client-Mode zu betreiben und einem LAN-Port zwei VLAN einzurichten. Auf dem einen soll das IP-Interface der Box erreichbar sein, das andere Vlan soll mit den WLAN zusammen gebridged sein, um den "Kundentraffic" ins Internet zu überführen. Ja genau - Diese Boxen sollen in Ferienwohnungen den Internetzugang bereitstellen und das Web-Interface MUSS logisch getrennt sein vom Internetverkehr. Mit Iptables abdichten reicht nicht aus.

Sollte jemand eine Idee für einen Kernelpatch haben, dann gerne her damit. Testen würde ich gerne. :))
Viele Grüße

Eike
 
Was irgendwie funktioniert, den Switch mittels cpmaccfg auf Portmode ata umzustellen und dann über 'vconfig add wan 50' ein Vlan Interface anzulegen. Füge ich dieses Interface mit 'brctl addif lan wan.50' der Bridge hinzu, dann kommen tatsächlich
getaggte Frames aus dem LAN-Port1...
Das sagt mir, dass meine 7140 bzw. 7170 das technisch unterstützen. Ich selbst fühle mich nicht in der Lage den Source Code des Kernels zu verstehen geschweige denn anzupassen.

Wenn Du VLAN mit den genannten Befehlen einrichten kannst, warum hast Du dann das Bedürfnis, den Source Code des Kernels zu lesen oder anzupassen?
 
Wenn Du VLAN mit den genannten Befehlen einrichten kannst, warum hast Du dann das Bedürfnis, den Source Code des Kernels zu lesen oder anzupassen?

Die Antwort ist ganz einfach. :)
Ich hätte gerne die Box im "cpmaccfg ssm split" betrieben, auch hier kann ich beliebieg VLAN einrichten, jedoch kommt auf den Switchports alles ungetagged heraus.
Nur das WAN-Interface zu nutzen, wäre sicherlich nicht im Sinne des Erfinders. Dass über die WAN-Konfig doch Frames den Switch getagged verlassen, ist für mich der Beweis,
dann es funktioniert. Die Aufgabe ist doch nun, den Kernel so zu bauen, dass auch im split-Mode Tagging möglich ist. Ich denke, da gibt es viele Anwender, die das nutzen würden.

Viele Grüße
Eike
 
Wie kann ich eine Fritzbox 7140 mit internen switch dazu bringen, dass das Web Interface am Lan erreichbar ist und vom wlan aus nicht? Falls das wirklich konfigurierbar ist, wie sperrt die box den zugriff? Es muss sicher sein. Eine logische trennung über zwei VLAN wäre das beste
 
Die einzelnen Ports werden intern über VLAN angesprochen, was wohl auch der Grund ist, warum die vom Kernel angegebenen VLAN Nummern gefiltert werden.

Normalerweise sind unter eth0 die LAN Ports 1-4 (oder 2-4 bei Internet über LAN) zusammen gefasst. Weiterhin wird eine Bridge zwischen WLAN und eth0 eingerichtet mit dem Namen lan, an das Interface lan wird die Adresse der Box (192.168.178.1) gebunden. Wenn Die Box auf "cpmaccfg ssm split" eingestellt ist, dann gibt es eth0 bis eth3. Da split in der Firmware nicht vorgesehen ist, wird trotzdem nur eth0 in die Bridge zum WLAN mit aufgenommen. Man kann auf eth1 bis eth3 andere Adressen konfigurieren und über diese Adressen vom jeweiligen LAN Port auf die Box zugreifen. Wenn man auch DHCP haben will, braucht man dafür wohl dnsmasq, ich gehe nicht davon aus, dass der AVM DHCP Server hier Adressen vergeben würde.
Mit iptables wird dann der Zugriff vom Interface lan (nicht wlan) auf das Web-Interface verhindert. Konkret kann und sollte man fast alles sperren, außer DHCP und DNS.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.