Configuração e conselhos da rede doméstica

2

Estou querendo algumas ideias e conselhos sobre como fazer minha rede doméstica. Eu sou um técnico de TI e conheço o básico, no entanto a rede não é o meu conjunto strong e quero melhorar.

[Configuração atual]

Há duas famílias em minha casa, então preciso separar as redes. Eu tenho um roteador TP-Link Arch c9 (R1) conectado à caixa de internet. Em seguida, tenho meu Asus RT68R (R2) conectado à porta lan do R1 e hospedando a rede para a reinicialização da casa. A outra família tem seu roteador Linksys (R3) também conectado à porta lan no R1. Todos os roteadores fornecem sua própria rede com DHCP Eu entendo que isso é chamado de triple nating e pode causar algum problema ou latência. R1 Tem esquema ip de 10.0.20.xe R2 tem esquema IP de 192.168.1.x R3 eu não sei ao certo mas acredito que comece com 10.something. Acredito que todas as máscaras de sub-roteadores estão definidas como 255.255.255.0 Não tenho certeza se o R3 não tem acesso ao roteador.

Por trás do R2 há um datacenter de servidor de arquivos e domínio de 2016 com 4 a 5 desktops e 2 a 3 sem fio. R2 Também tem um ssid sem fio para a rede e um ssid convidado. R2 tem um ip estático de R1 e está no DMZ para permitir o acesso VPN ao servidor de arquivos R2

[Problema]

A família que usa o R3 tem um problema de vez em quando quando o roteador perde a internet e a única coisa que o conserta é reinicializar o R1 e algumas vezes até reinicializar todos os roteadores e caixas de internet. Para solucionar o problema, tentei fazer a varredura da rede para o R3 e fazer o ping dele de um dispositivo para o R2. Mas não é preciso encontrá-lo ou vê-lo, como posso ver o R1 bem. Eu conversei com alguns colegas de trabalho e eles acreditam que o famos que usa o R3 configurou algo em seu roteador que faz com que algumas vezes inicie em uma configuração diferente, como o modo AP ou o modo bridge. Também descobri se eu desabilitar o DHCP na Internet R1 funciona bem para R2 e R3, mas depois de um tempo R3 perde a internet.

[O que eu gostaria de fazer]

Eu quero separar completamente R2 e R3 para que eles não estejam se comunicando para remover qualquer tipo de conflito ou problema que possa ser causado pela configuração atual. Por trás do R2, gostaria de ter algumas sub-redes para vários dispositivos para melhorar a segurança de dispositivos mais importantes. Exemplo seria rede principal R2 Com servidor de domínio e dispositivos domésticos em geral, como computador de mídia ou roku ou fogo tv stick ect. Em seguida, seria uma sub-rede para mais dispositivos pessoais que podem conter documentos e arquivos mais importantes, mas eu ainda quero que eles possam se comunicar com o servidor de domínio e servidor de arquivos para a unidade de rede. Por último, eu quero duas sub-redes, uma para fins de teste e para consertar computadores que possam estar infectados, por isso não posso me comunicar com nenhuma outra rede. O segundo seria para os convidados.

Eu entendo que parte do que eu quero fazer pode custar mais dinheiro e um firewall seria uma boa ideia para ajudar a separar R2 e R3 Eu só quero saber se é possível fazer algum tipo de configuração com o consumidor roteadores e waps ou se eu realmente precisar de firewalls / switches gerenciados e waps de nível comercial

Pensei em comprar alguns roteadores mais recentes, como o netger xr500 ou o asus ac3100 e waps de ubiquidade.

Última pergunta. é possível configurar uma rede ssid guest no meu roteador asus e atribuir dispositivos nas portas lan para essa rede ou é a rede de convidado somente acessível via wifi

Agradeço qualquer ajuda ou conselho que alguém tenha a oferecer.

    
por Josiah Christiansen 31.08.2018 / 04:52

2 respostas

0

1) Uma razão possível para o "problema da Internet" no R3 é que o R3 parece depender do DHCP para a conexão com o R1, e se isso não funcionar por algum motivo, o R3 perde o aluguel e, portanto, o R1 . Para depurar este, seria necessário acessar o R3.

Uma maneira de evitar isso é fornecer endereços estáticos R2 e R3, então você pode desativar o DHCP em R1 (ou reservar um intervalo estático). Você precisará configurar o endereço estático no R3, então converse com a outra família ("ajudará com seus problemas de internet" é provavelmente um bom argumento para "eu precisarei fazer algo no seu roteador"). / p>

2) Idealmente, apenas R1 deve fazer NAT, mas a configuração exigirá regras de roteamento em R1 e a configuração correta de R2 e R3. Dada a situação, isso pode não ser tão fácil, então eu acho que você está preso com NAT duplo (não triplo NAT - em cada caminho R2-R1 e R3-R1 ambos os roteadores estão fazendo NAT).

3) R2 e R3 "comunicando" e causando problemas é muito provavelmente não o problema. Você pode configurar um firewall no R1 se estiver realmente preocupado com isso. Isso provavelmente exigirá um firmware personalizado como o OpenWRT no R1 (o Archer C9 deve ser suportado) e exigirá algum conhecimento, então talvez seja mais fácil deixá-lo como está.

Como o R2 e o R3 fazem o NAT, as redes por trás do R2 e do R3 são efetivamente separadas, mesmo com mais firewalls.

4) Se você quiser diferentes sub-redes atrás do R2, você deve estar ciente de que isso exigirá roteamento entre sub-redes, que por sua vez exigirão rotas em todos os membros de um sub-rede. Você pode distribuir rotas via DHCP. Para uma pergunta semelhante, veja por exemplo aqui .

Isso exigirá uma configuração muito personalizada no R2 e novamente possivelmente abrirá o firmware no R2 se o firmware fornecido não permitir. É certamente possível configurar algo assim, mas novamente requer alguma experiência em rede.

5) Uma rede de convidados na LAN não é diferente de uma rede de convidados na WLAN. Mas, novamente, o firmware precisa suportá-lo. Se o firmware fornecido não, você precisa do OpenWRT, etc., e precisa configurá-lo você mesmo (o que além disso requer um entendimento operacional das regras de firewall / iptables).

Tudo o que você quer fazer é factível. Mesmo sem hardware adicional (embora você possa precisar de alguns switches LAN para todos os dispositivos, se você ainda não os tiver). Se você está fazendo isso pela primeira vez, não subestime a curva de aprendizado - você precisará ler um pouco sobre os fundamentos da rede.

    
por 31.08.2018 / 08:31
0

Segregação

Isso pode ser feito usando a sub-rede . Sub-redes é a divisão de bits de rede e bits de host. Eu não sei se você sabe disso ou não, então eu vou listar isso.

Para endereços IP privados:

+-------+-------------------------+-------------+-------------------------------+
| Class |     Private Network     | Subnet Mask |             Range             |
+-------+-------------------------+-------------+-------------------------------+
| A     | 10.0.0.0                |   255.0.0.0 | 10.0.0.0 - 10.255.255.255     |
| B     | 172.16.0.0 - 172.32.0.0 | 255.240.0.0 | 172.16.0.0 - 172.31.255.255   |
| C     | 192.168.1.0             | 255.255.0.0 | 192.168.0.0 - 192.168.255.255 |
+-------+-------------------------+-------------+-------------------------------+


+-------+-------------------+-----------------+-------------+----------------+----------------------+-----------------------+
| Class | First Octet Range | High Order Bits | Notation ID | Default Subnet |   Num of Networks    |     Num of Hosts      |
+-------+-------------------+-----------------+-------------+----------------+----------------------+-----------------------+
| A     | 1 – 126           |               0 | N.H.H.H     |      255.0.0.0 | 126 (2^7 – 2)        | 16,777,214 (2^24 – 2) |
| B     | 128 – 191         |              10 | N.N.H.H     |    255.255.0.0 | 16,382 (2^14 – 2)    | 65,534 (2^16 – 2)     |
| C     | 192 – 223         |             110 | N.N.N.H     |  255.255.255.0 | 2,097,150 (2^21 – 2) | 254 (2^8 – 2)         |
|       |                   |                 |             |                |                      |                       |
+-------+-------------------+-----------------+-------------+----------------+----------------------+-----------------------+

Veja as classes de endereços IP , se você tiver guias.

Usando as tabelas acima e os dados da sua pergunta:

  • R1 está usando um endereço de classe A.
  • O R2 está usando um endereço de classe C.
  • R3 está usando um endereço de classe A.
  1. Certamente você não precisa de 16.777.214 dispositivos LAN em sua rede. Vamos colocá-los todos na mesma classe, que deve ser da classe C.
  2. Certifique-se de que todos os roteadores estejam configurados para o mesmo protocolo IP. Se o seu provedor de serviços de Internet e o modem suportarem IPv6 e estiverem atualmente configurados como IPv6, todos os dispositivos na linha deverão suportar o IPv6. Se um dispositivo fizer apenas IPv4, você deverá definir todos os dispositivos como IPv4.
  3. Decida sobre uma topologia. Existem algumas opções aqui:
    • Remova todos os roteadores, exceto o conectado ao ISP : Substitua os dois roteadores por um com portas suficientes para suportar todos os membros da família. Compra dizer três interruptores e ponte 2, também funciona. Usar um switch aliviaria as sub-redes, já que cada dispositivo está agora em uma sub-rede e compartilha apenas a senha sem fio entre as famílias.
    • Deixe cada roteador ser sua própria sub-rede : Use o filtro MAC Address para que o serviço DHCP em R1 sempre forneça os mesmos endereços IP para R2 e R3, desde que você os tenha uplinkado. @djkrt aludiu a isso em sua sugestão sobre endereços IP estáticos.
  4. Depois de escolher uma topologia, leia Criação de sub-redes facilitada e use esta Calculadora de sub-rede , para calcular a sub-rede apropriada para R2 e novamente para R3.

Observe que R3 deve estar em uma sub-rede diferente para dividir o tráfego e não se comunicará com R1 ou R2, a menos que você habilite regras de roteamento, como encaminhamento de porta etc. Observe também que, se desejar R1 e R2 para se comunicarem juntos devem estar na mesma Classe e sub-rede. A conversão NAT só ocorre uma vez, se isso for corrigido. R3 pode estar perdendo conexão porque o NAT ocorre duas vezes. Uma vez da tradução original e novamente quando o R3 adiciona a informação à sua própria tabela ARP.

    
por 31.08.2018 / 08:48