Como configurar uma rede doméstica com dois roteadores Wi-Fi, com um fornecendo acesso regular à Internet e a outra conexão VPN?

1

Na minha rede doméstica, estou executando dois Wifi Routers,

  • um búfalo WHR-HP-G300N executando DD-WRT v24-sp2 (24/07/13) std (192.168.1.2)
  • um Linksys WRT320N executando o Shibby Tomato 1.28.0000 MIPSR2-121 K26 Max (192.168.1.3)

O Buffalo está fornecendo uma rede Wi-Fi de 2.4GHz, mantém a conexão PPPOE via minha linha ADSL, fornece designação de endereço DHCP (192.168.1. *) e vários dispositivos conectados a ele (telefone VoIP, etc.)

O Linksys é conectado ao Buffalo através de uma conexão LAN - a conexão WAN é desabilitada e a porta WAN é usada como LAN, ele fornece uma rede Wi-Fi de 5GHz e os dispositivos que suportam GBit Lan (Home Server, NAS) são conectados via LAN. isso, já que o Linksys também faz troca de GBit.

Recentemente, me inscrevi em um Provedor de VPN chamado Mullvad para melhorar a privacidade geral das conexões de saída / exclusão de geolocalização. Shibby Tomato é configurado para estabelecer a conexão VPN e, tanto quanto eu posso dizer, a conexão está em funcionamento - pelo menos os logs não fornecem informações que nada dá errado, eu tenho um dispositivo TUN (tun11) nas tabelas de roteamento etc

Eu quero alcançar o seguinte:

  • A Linksys Wifi Network fornece acesso à internet pela VPN conexão
  • O Buffalo Router fornece acesso ao link da Internet não VPN
  • No Linksys, alguns dispositivos em certas portas LAN devem rotear todos os seus tráfego pela VPN
  • No Linksys, alguns dispositivos devem direcionar o tráfego para o DSL "normal" conexão
  • No Buffalo, todos os dispositivos conectados às portas LAN podem usar a conexão DSL normal (sem necessidade de VPN para as portas LAN)
  • Todos os dispositivos devem poder se conectar uns aos outros pelo rede (192.168.1. *)

Neste momento, nenhum tráfego está saindo pela VPN, minha suposição é que, como o Buffalo Router (192.168.1.2) avalia os endereços pelo DHCP, ele também se anuncia como o gateway padrão ... Não importa se eu ligar DHCP no Linksys também, qualquer coisa que se conecta terá um gateway padrão de 192.168.1.2 ...

A tabela de roteamento do Linksys se parece com isso:

Eutenhoconhecimentomuitolimitadoderedesnessacomplexidade,entãonãoseiqualéamelhorsolução,talvezusandoVLANs,talvezissoenvolvaumaconfiguraçãomanualdoIPTablesnoroteador,issoestáalémdomeuentendimento.Outalvezoqueeudesejofazernãopossaserfeito?

Editar-EmrespostaàrespostadeIszi:

EuqueriasaberseasVLANsnãopermitiriamessetipodecomportamento?Tantoodd-wrtquantooShibby'sTomatopermitemconfigurarVLANsemumabase"por porta". Eu poderia criar uma rede privada para o Buffalo - distribuindo um espaço de endereço DHCP de 192.168.1.50-100 e NAT'e estes para a conexão ADSL. Todo o tráfego para essa rede pode ser marcado com um ID de VLAN, ou seja, VLAN1

Em seguida, eu poderia configurar redes privadas duplas no Linksys, ou seja, distribuir um espaço de endereçamento DHCP de, por exemplo, 192.168.1.10-49 e marcar todas as portas / interfaces que também devem se conectar com isso como VLAN1. Do meu entendimento limitado da finalidade das VLANs, elas devem suportar exatamente esse caso de uso de redes distribuídas em diferentes roteadores, fazendo com que elas sejam tratadas como se estivessem na mesma rede, de acordo com a marcação de VLAN.

Em seguida, eu configuraria uma segunda rede, distribuindo um espaço de endereço DHCP de 10.8.0. * marcando todo o tráfego nas portas / interfaces desejadas, por exemplo, VLAN2 ...

Se eu conseguir configurar a VPN como um gateway para a rede 10.8.0. * / VLAN2 e a conexão PPPOE como o gateway para 192.168.1. * / VLAN1 para isso, basicamente permitiria que eu designasse VPN acesso por porta / base de interface. Então, novamente, em teoria, eu também poderia configurar uma Conexão Wifi 5ghz primária roteada para a rede 192.168.1. * E o AP Sem Fio Virtual roteado para a rede 10.8.0. * ...

O que eu não entendo é como - ou se, seria possível permitir o acesso da VLAN1 à VLAN2 (ou se isso é impossível) ... A outra coisa é que essa é uma consideração puramente teórica, já que a A configuração necessária do iptables está além do meu conhecimento neste momento. Se alguém pudesse delinear as necessidades de roteamento ou me esclarecer se e como esse uso de VLANs faz sentido, eu agradeceria.

    
por Hans Meiser 08.09.2014 / 10:59

1 resposta

1

Eu duvido que você consiga obter a configuração exatamente como deseja, enquanto os roteadores lidam com a conexão VPN. Desafios particulares (se não impossibilidades imediatas), serão:

  • Conseguir algumas portas no Linksys para usar a VPN, enquanto outras não.
  • Obtendo qualquer coisa de um roteador para falar pela LAN com os dispositivos do outro, enquanto o Linksys está conectado à VPN.
  • Obtendo dispositivos que não estão na VPN para se comunicar internamente com dispositivos que estão na VPN.

Acredito que o seu provedor de VPN só permite que você tenha uma conexão por vez, e é por isso que você deseja usar um roteador para distribuir o acesso a essa conexão em vários dispositivos. Dado que, aqui está o melhor que posso apresentar:

Conecte seus roteadores como abaixo.

[Gateway]---WAN:[Buffalo]:LAN---WAN:[Linksys]

Certifique-se de que ambos os roteadores estejam configurados para atuar como roteadores - não em um "modo de ponte". Ambos os roteadores devem estar recebendo IPs WAN via DHCP e servindo IPs para suas respectivas LANs com DHCP. Verifique se o lado da LAN de cada roteador está em uma sub-rede diferente (por exemplo, Buffalo LAN em 192.168.1.0/24 e Linksys LAN em 192.168.2.0/24).

Conecte qualquer coisa que precise estar na VPN ao roteador Linksys, e tudo mais ao roteador Buffalo. Em seguida, configure a VPN no Linksys.

Com essa configuração, tudo o que está por trás do Linksys deve estar enviando o tráfego para fora da VPN, enquanto que tudo que estiver conectado ao Buffalo não funcionará. Dependendo se as regras da VPN (ou o próprio cliente Linksys VPN) permitirem o tunelamento dividido, seus dispositivos podem não conseguir se comunicar internamente. Se houver suporte a tunelamento dividido, os dispositivos por trás do Linksys provavelmente poderão fazer conexões de saída para dispositivos conectados ao Buffalo, mas será necessário configurar o encaminhamento de porta para qualquer conexão de entrada ao Linksys (mesmo assim, a VPN pode ou pode não permitir isso.

Resumindo:

  • Sub-rede 1 para Internet: direta
  • Sub-rede 2 para a Internet: VPN
  • Sub-rede 2 para Sub-rede 1: Teoricamente possível, dependendo do suporte ao túnel dividido.
  • Sub-rede 1 para Sub-rede 2: improvável. Dependerá do suporte ao túnel dividido e exigirá o encaminhamento de porta e / ou configurações DMZ no Linksys.

O que você deve fazer, se puder, para configurar as coisas do jeito que você quer é configurar clientes individuais e conexões para cada um dos dispositivos que você quer ter na VPN. Dessa forma, independentemente de como você expõe sua infra-estrutura de rede e outros dispositivos, esses serão os únicos dispositivos que usam a VPN e os outros devem poder se comunicar livremente entre si. Então, os únicos problemas de conectividade local que você pode ter serão entre os poucos dispositivos que estão na VPN e os que não estão. Isso também permitirá que esses dispositivos usem a VPN fora de sua rede local.

    
por 08.09.2014 / 18:45