[spyrito79]

Salve,
dopo quasi 4 anni rispolvero questo topic per dare la soluzione a chi non sa come creare una "vlan sul DGA4132".

Premessa: Il DGA4132 è del tipo DSA ovvero "distributed switch architecture" pertanto è diversa la configurazione delle vlan rispetto ad un tg789vacv2 che ha un architettura antecedente ed utilizza swconfig.
Se volete saperne di più sull'argomento DSA guardatevi questo video:
https://www.youtube.com/watch?v=qeuZqRqH-ug

Detto ciò se volessi taggare una vlan10 sull'interfaccia wan, che nel mio caso è eth3(lo so, all'inizio del topic affermavo che la wan era la eth4 ma avevo una versione precedente del firmware, ora sto con la 2.3.5 che è ugualmente vecchiotta ma in questa, non so perché funziona così!) 

Codice: [Seleziona]

config switch
option name 'bcmsw'
option reset '1'
option enable_vlan '1'  # abilita le vlan
option jumbo '0'

config device 'waneth3'
option type '8021q'
option name 'waneth3'
option macaddr 'ilmacdellatuainterfacciaeth3'  # facoltativo
option ifname 'eth3'
option vid '10'

config interface 'wan'
option ifname 'waneth3'
option proto 'static'
option gateway '10.10.10.10'
option ipaddr '10.10.10.9'
option netmask '255.255.255.252'
list dns '10.10.10.10'
list dns '8.8.8.8'
list dns '8.8.4.4'
Alternativamente se si ha il dhcp abilitato lato gateway si può semplificare la terza tab in questo modo:

Codice: [Seleziona]

config interface 'wan'                     
        option ifname 'waneth3'           
        option proto 'dhcp'

La versione firmware è la 2.3.5, ed ho la ansuel GUI vers: 9.6.87

[racosirif]

Ciao @spyrito79 ! Sono approdato su questo tuo post dopo aver letto molte discussioni passate riguardo la creazione di vlan su DGA4132, ma prima di procedere mi piacerebbe confrontarmi con qualcuno con più esperienza.
In pratica vorrei - come molti - separare la lan primaria, dalla rete guest, dalla rete IoT, usando le vlan. Ho letto anche sulla discussione al topic https://www.ilpuntotecnico.com/forum/index.php/topic,78585.2265.html che @sanzoghenzo aveva dato una soluzione tramite regole firewall da inserire nel firewall.user, ma la situazione ahimè non è cambiata.   
Purtroppo non ho ancora capito fino in fondo la configurazione giusta per creare le vlan e farle dialogare rispettivamente tra due DGA4132 (lan-lan con un solo cavo).
Qualcuno che magari ci è riuscito, potrebbe cortesemente darmi una mano? Accetto anche link per acculturarmi 

[spyrito79]

Ciao @racosirif a me è servito creare una vlan lato wan per collegare mia cognata in modo che fosse “isolata” dalla mia rete locale. Credo che possa essere comunque un buon punto di partenza per creare le vlan iOT e guest lato lan. Ti consiglio di creare prima la rete guest e fare delle prove. Successivamente guarda questo video:
https://youtu.be/UvniZs8q3eU
Ti spiegherà che regole firewall abilitare per  la rete guest(dhcp e dns). Ovviamente nel video il tizio usa luci; tu dovrai tradurle in istruzioni da riga di comando come uci oppure andando a modificare direttamente il file firewall. A meno che ovviamente tu non abbia luci installata sul timhub. Nel caso non avessi installato luci e/o non coglia installarla, chiedi a chatgpt come tradurre quelle regole da luci ad uci per risparmiare tempo ma se vuoi un consiglio non affidarti completamente all’intelligenza artificialità. La spacciano come la panacea ma ti porta spessissimo in vicoli ciechi che puoi risolvere molto più facilmente con una sana e buon vecchia semplice ricerca su google!
Spero che questo mio consiglio ti sia utile.
Fammi sapere se risolvi e, in caso affermativo, posta l’howTo in modo da aiutare la community.👍🏻
P.s: per quanto riguarda le regole di firewall che hai linkato devi sapere che quelle agiscono a layer3 ossia network, vale a dire a livello superiore dei frames della lan. Cosa significa nel tuo caso? Che le vlan sono a livello2 mentre le regole di firewall agiscono a livello 3. Detta ancora più facilmente il firewall ti serve per mettere in comunicazione le network o  alternativamente, per bloccare le stesse a livello di routing mentre le vlan  sono a layer2. Praticamente la comunicazione tra reti(tra lan e wan oppure tra reti lan) avviene a layer3 mentre la comunicazione tra devices della stessa lan avviene a layer2(molto banalmente attraverso di MAC address) e puoi capirlo utilizzando il protocollo arp.
Spero che quest’ultima aggiunta ti sia di maggiore aiuto e non ti crei invece ancor più confusione; l’ho voluto mettere in evidenza semplicemente perché, nel mio caso NON volevo comunicazione tra due apparati, ma solo un forward per uscire su internet da parte del secondo dispositivo attraverso il primo. Tuttavia nel mio caso, mentre il secondo apparato è un timhub, il primo è un container proxmox dove gira openwrt. 

[racosirif]

Grazie 1000 @spyrito79  ogni informazione è preziosa, mi permette di capire meglio e avvicinarmi a una soluzione. Spero di riuscire nel mio intento, così da poter aggiungere procedure che possono essere utili ad altri.
Ho utilizzato chatGPT, ma non come "pappa pronta", perché le soluzioni che mi ha proposto potevano andare bene per dispositivi con Openwrt non "custom" e con configurazioni che non appartengono al DGA4132  più che altro lo uso come spunto o per avere dei riassunti di nozioni, ma spesso in passato sono andato di google e di esperienze altrui (molto meglio).
In realtà Luci l'ho installato su entrambi i dispositivi, ma evito di fare modifiche tramite interfaccia grafica, preferisco dare direttamente i comandi o modificare i file a mano perché, da quel che ho notato, Luci non è perfettamente compatibile con il fw 2.3.5 e vorrei evitare che vada a toccare cose che non posso rimettere a posto senza un reset

Per un'analisi maggiore, riporto la mia configurazione attuale (con delle piccole riflessioni personali):
- un DGA4132 come router - che chiamerò GW
- un altro DGA4132 come access point  - che chiamerò AP
Entrambi con 2.3.5 e GUI Ansuel 9.7.7 (ultima dev)
GW è collegato con cavo da eth0 alla eth0 di AP  (lan-lan, nulla di trascendentale in teoria).
Riguardo il br-lan tutto funziona correttamente. Non ho modificato molto nelle configurazioni dei due dispositivi, infatti la wifi della lan principale funziona a dovere. Sul GW ho attivato la wifi ospiti e anche quella funziona a dovere (sia 2.4 che 5 ghz).
Su AP invece attivando la wifi ospiti di default, un qualsiasi client che ci si connette va a ricercarsi il DHCP giustamente sulla 192.168.168.x (_.1 per la 2.4ghz e _.129 per la 5ghz), ma il DHCP è disattivato sia per ospiti che per br-lan per evitare conflitti (vorrei che fosse solo GW a gestirlo).
Se su br-lan ovviamente il DHCP di GW è raggiungibile, su wlnet_b_2 e wlnet_b_5 (rispettive interfacce di wifi ospiti a 2.4 e 5 ghz) naturalmente non lo è.

Voglio procedere per step, provando su entrambi i dispositivi a riservare le rispettive porte eth1 per l'interfaccia che avrà configurate le VLAN, lasciando la eth0 così com'è e vedere come si comporta man mano che modifico, tenendomi la configurazione attuale funzionante. Possibilmente vorrei utilizzare già le interfacce presenti, semplicemente mettendole in comunicazione per non impestare ulteriormente, ma se ciò fosse sconsigliato, le creerò.

Vediamo che combino   speriamo bene..

[racosirif]

Non sono sicuro che sia la configurazione giusta, ma funziona 
Leggendo anche altre discussioni qui sul forum, la cosa era già stata fatta, ma ho notato che si possono configurare vlan anche senza aggiungere uno switch ulteriore nel file network e senza flag su option enable_vlan in switch.
Ho studiato e sfruttato il più possibile ciò che era già configurato di default (come ad esempio la vlan 3 per la guest su eth5). Ho trasformato l'interfaccia wlnet_b_5 in un bridge e inserito il device vlan creato usando il nome definito in option name e avendo cura di specificare nel device vlan creato option enable '1' con l'id corretto (3).

[ You must login or register to view this spoiler! ]

Ora non so se è tecnicamente corretto, sta di fatto che collegando un pc qualsiasi alla porta fisica eth1, se non specifico nulla nella configurazione della scheda di rete del pc, va in automatico sul br-lan. Invece se imposto VLAN ID 3 prende l'ip della rete guest, quindi su br-wlnet_b_5.
Apparentemente funziona, però sembra come se da mdkshell non venga riconosciuta la vlan, nonostante da brctl show sembra risultare:

[ You must login or register to view this spoiler! ]

Non so neanche se può aver senso creare allo stesso modo delle wan "dedicate" per ogni vlan o se è una cavolata..

[racosirif]

Dopo qualche mese di ricerca e approfondimento anche su questo forum (fondamentale), ho rivisto la mia soluzione precedente trovando anche ulteriori informazioni riguardo il wifi 5ghz quantenna.
Condivido la mia configurazione così che chi fosse interessato può prendere spunto (ben venga qualsiasi domanda, se posso sarò lieto di aiutare).

file network con:
[ You must login or register to view this spoiler! ]

Nel file wireless ho inserito "option vlan_id" nelle config wifi-iface relative. Ho deciso di usare entrambe le bande per la rete default, solo la 2.4ghz per la IoT e solo la 5ghz per la rete ospiti.
Sia con mdkshell vlan show che con brctl show la configurazione sembra corretta. Inoltre con tcpdump vedo correttamente gli ID delle VLAN.
Sto ancora sperimentando con il firewall dato che con nmap da una vlan all'altra riesco a vedere comunque tutti i dispositivi, ma dal punto di vista logico mi sembra tutto corretto.

Spero sia utile!