Várias sub-redes na rede doméstica ... isso funcionaria? [fechadas]

2

Estamos procurando alugar o terno do porão em nossa casa e queremos oferecer internet como parte do pacote. No entanto, não quero que os tenentes de baixo tenham acesso à nossa rede (home office = dados privados).

Atualmente, temos um firewall pfsense, já que nosso gateway e uma caixa do Windows Server 2003 estão executando nosso DHCP primário (192.168.0.0/24) e DNS. Aqui está o que eu gostaria de fazer ...

Gostaria de configurar outra sub-rede no servidor DHCP (192.168.1.0/24) e conectar em outro roteador sem fio (apenas como ponto de acesso) e endereçá-lo como 192.168.1.1 ... a partir daí o roteador conecte-se ao nosso principal switch e saia pelo firewall.

O Server 2003 (se eu adicionar um IP 192.168.1.x / 24 ao nic) servir DHCP aos dispositivos que se conectam ao novo roteador, e irá isolá-lo da nossa rede?

Agradecemos antecipadamente ... Sou muito novo em várias sub-redes.

    
por Chase Florell 17.04.2010 / 23:40

3 respostas

3

Para evitar que os inquilinos do andar de baixo acessem sua rede, você não pode ter duas sub-redes na mesma rede física (ou seja, você deseja conectar o ponto de acesso ao seu comutador principal). Você precisa comprar um comutador que suporte VLANs, portanto, você pode ter duas redes lógicas por meio do único comutador físico ou precisa ter dois comutadores separados. Os dois switches separados são então conectados ao firewall em NICs separados, mas o firewall não faz roteamento entre as duas sub-redes - somente entre as sub-redes e a Internet.

Em relação ao DHCP, o firewall ou roteador / ponto de acesso fornece um servidor DHCP? Caso contrário, você pode adicionar uma segunda NIC à sua caixa Server 2003, conectá-la à VLAN do switch / porão do porão, adicionar 192.168.1.x / 24 como um novo escopo e, em seguida, garantir que o DHCP esteja vinculado à segunda NIC em além do primeiro. No entanto, sua caixa Server 2003 é acessível a partir da sub-rede do porão, portanto, ela precisa ser protegida o suficiente.

Seu firewall pode suportar o DHCP Relay, que poderia encaminhar as solicitações DHCP originadas do porão para a caixa Server 2003 e procurá-las novamente, para que os clientes na sub-rede do porão não possam acessar a caixa Server 2003.

    
por 18.04.2010 / 00:04
3

A melhor solução seria adicionar outra NIC no firewall. Você pode então colocar a rede 192.168.1.0/24 nela e configurar o firewall para não permitir o tráfego entre as duas redes internas.

O pfsense pode fornecer DNS e DHCP para a rede do locatário.

    
por 18.04.2010 / 00:45
1

Você poderia apenas colocar dois roteadores em cascata (pfSense e outro Linksys ou qualquer outro):

modem - > pfsense - > mudar - > linksys

pfsense: WAN, para modem, como normal. LAN para suas máquinas de locatários, executando DHCP e para sua interface WAN da Linksys.

alternar: para lhe dar portas suficientes para fazer tudo isso.

Linksys:

WAN: para uma porta no switch, obtendo um IP do pfSense

LAN: suas máquinas de escritório doméstico, com o DHCP desativado (o servidor Win2003 faz o DHCP, suponho).

O Linksys, por padrão, soltará tudo do lado "WAN", que seria sua rede; você, no entanto, pode enviar NAT para a rede de locatários e enviar NAT duplo para a Internet.

Tenha em mente que isso é uma dificuldade para permitir a entrada de serviços da Internet em sua rede. Mas se você não estiver executando o Exchange ou qualquer serviço de servidor de entrada, aplicativos, etc., isso funcionará bem.

A outra opção (eu prefiro isso) seria obter um switch Netgear Layer 2 (menos de 100 dólares no NewEgg), configurar um par de VLANs - uma para você, uma para seus inquilinos, pfSense fazendo DHCP para ambos (ou um, e seu servidor Win2003 pode fazer o DHCP para você) e configurar VLANs na interface LAN e conectá-lo a uma porta de tronco no seu switch gerenciado; Dessa forma, você pode adicionar regras de firewall para descartar / permitir pacotes entre as duas redes, conforme necessário. Essa topologia é chamada de roteador-em-um-bastão e é bem -suportado pelo pfSense.

    
por 18.04.2010 / 00:46

Tags