Diagnosticando roteadores em cascata

Navegue suas respostas
0

Estou executando uma rede contendo dois roteadores. O Zyxel P-600 está conectado para a linha DSL. Eu anexei a porta Ethernet do Zyxel para a porta WAN do segundo roteador, um D-Link 605L.

Ambos os roteadores têm NAT e um firewall ativados e estão executando um servidor DHCP.

Meus dispositivos estão todos conectados ao roteador D-Link e podem acessar a Internet. Às vezes parece que demora um pouco demais até que uma conexão seja estabelecida. De tempos em tempos, o ping mostra as perdas de pacotes, mas a perda de pacotes se foi se eu executar o ping pela segunda vez.

Eu não encontrei argumentos de que um deve executar o segundo roteador no modo de ponte, embora isso seja frequentemente reivindicado. Da minha compreensão básica do NAT a configuração deve funcionar pelo menos em teoria (e funciona).

Outro ponto que está me preocupando é que os logs do roteador D-Link ataques de IPs da Internet, bem como do IP do roteador Zyxel:

Per-source ACK Flood Attack Detect

Whole System ACK Flood Attack from WAN Rule:Default deny

Como o roteador Zyxel tem um firewall, esses pacotes nunca devem alcançar o segundo roteador D-Link. Esta é uma das razões pelas quais não confio no Zyxel firewall completamente e gostaria de ter um adicional da D-Link.

Quais são os primeiros passos para diagnosticar o atraso e a perda ocasional de pacotes? Como posso saber se os ataques ao roteador D-Link são ataques reais ou apenas causados por pacotes que não são roteados adequadamente?

Editar: o roteador Zyxel não aparece como um passo no traceroute. Por que isso?

    
por mna 06.10.2015 / 01:40

2 respostas

1

Na verdade, você executa o roteador de borda no modo em ponte, e não o contrário ou é mais fácil, basta usar as portas do switch, se aplicável.

Você está tendo latência? Agora você sabe uma razão pela qual não é recomendado fazer o roteamento em cascata. Você menciona que é por razões de segurança. Você não está realmente ganhando segurança aqui em geral. Não conhecendo suas configurações, é impossível fazer mais do que especular como isso é um benefício de segurança.

Existem muitas razões para não fazer o roteamento em cascata.

  1. Se você abrir uma porta no roteador de borda, o outro roteador também precisará de uma porta aberta para dispositivos por trás desse roteador.
  2. Qual servidor DNS está atribuído a cada roteador? Eles são iguais ou diferentes? Se demorar um pouco para se conectar a um alvo, ele pode estar aguardando uma resposta do DNS.
  3. Cada roteador suporta os serviços de que você precisa para seus dispositivos? Ex. VoIP? QoS?

Por que você colocaria um roteador atrás de um roteador? Você já teve e / ou o segundo roteador oferece sem fio que o primeiro não. No seu caso, o seu roteador principal também é o seu dispositivo de telecomunicações para o seu DSL. Tudo bem, mas você ainda pode colocá-lo no modo em ponte, o que permite que todos os endereços públicos toquem no lado da WAN do seu segundo roteador. Então você tem a melhor segurança que você queria e você só tem que lidar com configurações de tarefas únicas, para não mencionar que você pode apenas esclarecer sua latência. Não há informações suficientes para ter certeza.

Eu não tenho pontos suficientes para comentar.

"Quais são os primeiros passos para diagnosticar o atraso e a perda ocasional de pacotes?"

Como você está determinando o atraso? Sua configuração apresentará atrasos desnecessários. Embora o ping não seja uma ferramenta de desempenho, ele pode fornecer informações limitadas sobre latência intermitente. Para descobrir onde, você precisará fazer uma rota de rastreamento. Você pode realizar um teste de velocidade, mas isso é um desempenho agregado.

Você pode expandir a perda ocasional de "pacotes" [pacotes]? Quando isso acontece? Ao tentar se conectar a um alvo ou durante um fluxo de vídeo, etc.?

"Como posso saber se os ataques ao roteador D-Link são ataques reais ou apenas causados por pacotes que não são roteados adequadamente?"

A menos que o roteador seja conhecido por emitir falsos positivos, você forneceu a resposta nessas duas declarações e também no título "roteadores em cascata".

"O Zyxel P-600 está conectado à linha DSL. Eu conectei a porta Ethernet do Zyxel à porta WAN do segundo roteador, um D-Link 605L."

"Outro ponto que está me preocupando é que o roteador D-Link registra ataques de IPs da Internet, bem como do IP do roteador Zyxel:"

Eu vou explicar. Os roteadores conectam redes diferentes. Eles só conhecem seus vizinhos. O seu primeiro Zyxel é o único vizinho do seu D-Link. Você está vendo esses ataques com o IP da LAN da Zyxel porque todo o tráfego da Internet vem de lá. Se você tiver portas abertas no Zyxel, verá o tráfego roteado de endereços IP públicos.

    
por 06.10.2015 / 04:14
0

Para detectar perda de pacotes, use algo como MTR (ou WinMTR).

Você pode, de fato, fazer NAT duas vezes - não é uma prática recomendada, mas funciona principalmente. Pode encher algumas coisas como p2p e alguns aplicativos VOIP embora (embora o NAT único possa fazer isso também)

Se você configurar o segundo roteador "soho" (brinquedo) como ponte, é melhor ter um switch.

Para determinar os ataques reais, você precisará de um roteador decente. (Talvez você possa rodar o DD-WR no seu roteador D-Link, e então usar o ethereal ou o tcpdump para ver o tráfego, dependendo da versão)

    
por 06.10.2015 / 03:36

Tags

Trocador de volume mais conveniente elantech mouse pad-up falha no win10