Múltiplas conexões de internet com sub-rede interna

1
  • Temos 4 conexões comerciais de banda larga e 1 endereço IP estático.
  • Temos vários servidores que precisam acessar um ao outro e internet e alguns precisam ser acessíveis remotamente da internet.

O principal problema que preciso resolver é como distribuir os dados por meio da conexão relevante, dependendo de sua origem / destino. No momento, cada roteador tem seu próprio intervalo de endereços 10.0.2.0/24, 192.168.0.0/24, 192.168.1.0/24 etc. 3 dos roteadores são conectados a um comutador de rede com apenas um fornecendo DHCP / Wi-Fi. Os servidores na rede DHCP principal têm endereços IP estáticos, bem como NICS virtuais, que permitem que eles se conectem a outros intervalos de IP.

O 4º roteador está atualmente fornecendo uma rede de escritório Wi-Fi sobressalente completamente separada e um servidor DHCP separado.

Então, qual seria a melhor maneira de lidar com essa configuração?

É confuso ter tantas sub-redes separadas e configurar NICs virtuais. Também é confuso escrever comandos de rota IP separados para cada servidor. Alguns dos servidores possuem dados críticos que devem ser enviados no tempo (streaming). Outros servidores têm menos dados críticos que simplesmente precisam ser carregados em um tempo razoável para a Internet. Há também um servidor web acessível a partir do endereço IP estático externo / nome de domínio.

Nenhum dos roteadores (BT / Virgin) atualmente permite DNS personalizado, o que dificulta o gerenciamento do acesso ao nome de domínio do servidor Web internamente (ele deve estar acessível em velocidades de LAN).

Então, eu poderia colocar todos os roteadores na mesma sub-rede, mas há a possibilidade de os usuários usarem gateways que eles não deveriam.

Eu também posso comprar um roteador apenas para lidar com todo o tráfego e direcioná-lo de acordo (e também um que permita DNS personalizado).

Quaisquer pensamentos / sugestões apreciados!

obrigado James

    
por James 29.02.2016 / 14:22

1 resposta

3

Há tanta coisa acontecendo aqui, então vou tentar abordá-los um por um (fora de ordem, provavelmente)

Servers on the main DHCP network have static IP addresses as well as virtual NICS that enable them to connect to the other IP ranges.

O que? Você tem uma rede com um servidor DHCP, mas você tem endereços IP estáticos? E NICs virtuais? Que tipo de máquinas são essas? As máquinas virtuais possuem vNICs, mas as máquinas desktop não. Eles podem ter NICs virtuais que representam VLANs diferentes, mas não está muito claro o que você está realmente dizendo que está acontecendo aqui.

None of the routers (BT/Virgin) currently allow custom DNS, which makes it more difficult to handle access to the web server domain name internally

I could also buy a router just to handle all the traffic and route it accordingly (and also one that allows custom DNS).

Mais uma vez, estou apenas adivinhando o que você está recebendo aqui, mas os roteadores não têm muito a ver com o DNS. DHCP pode (emitindo uma lista de servidores DNS para uso dos clientes), mas acho que o que você está recebendo aqui é que seu DNS retorna seu endereço IP público para o seu site, mas seu site está realmente hospedado dentro da sua rede e, portanto, não funciona?

As soluções aqui são para obter um servidor DNS interno e DNS de horizonte dividido e apontar sua rede clientes para usar isso em vez do DNS do seu ISP ou roteador. Ou você pode consolidar suas redes (mais sobre isso depois) e configurar o hairpinning NAT. Ou você pode mover seu website para fora da sua rede e para um host comercial.

So I could put all the routers in the same subnet, but there is the possibility of users using gateways that they shouldn't.

Mas você disse que suas máquinas estão conectadas a todas as redes simultaneamente de qualquer maneira, então o que está parando isso agora? Além disso, você provavelmente dá muito crédito a seus usuários.

We have 4 x business broadband connections and 1 static IP address.

Uuh, um endereço IP estático por conexão ou apenas no total?

It's get's messy having so many separate subnets and configuring virtual NIC's

Sim, não há merda.

Veja o que você faz. Você compra um roteador adequado. Algo como um Cisco 887 ou ao longo dessas linhas provavelmente faria bem a você, mas eles são muito fáceis de estragar e podem exigir uma quantidade razoável de know-how. Eu também sou fã dos roteadores Mikrotik, algo como o RB2011UiAS-RM (este é o que uso pessoalmente em casa) . Mas, novamente, pode exigir um pouco de conhecimento para realmente funcionar do jeito que você gostaria - mas se você dedicar tempo e esforço, pode fazer tudo o que precisa e muito mais. Algo como o Meraki mx64w também pode se encaixar no projeto.

Eu não tenho ideia do tipo de conexão que você tem lá, mas se for o cabo, você vai querer colocar os dispositivos em "modem apenas". Se for ADSL2 + ou qualquer uma das * DSLs, você precisará usar a ponte rfc1483 (ou qualquer que seja o seu equivalente). Se for uma queda de fibra ethernet, provavelmente você pode simplesmente conectá-la diretamente (se tiver portas de fibra no seu dispositivo ou usar um conversor de mídia se não tiver).

Então você quer que todas as suas conexões de internet entrem no mesmo hardware físico, e você quer se livrar de todas de suas redes separadas. Você quer uma rede central e unificada para tudo (com exceção talvez de várias redes sem fio, como uma rede de convidados ou algo em que faça sentido separá-las, mas não parece que você tenha esse requisito).

Uma vez que você tenha todas as suas conexões de internet entrando no mesmo roteador, e você tenha apenas uma única rede, agora você pode começar a resolver as coisas.

Ponha no roteamento (ou vamos ser honestos aqui, mascarando) regras para classificar quais endereços IP usarão quais conexões de internet para o tráfego de saída. Obtenha seus redirecionamentos de porta de entrada classificados. Espero que o seu roteador seja inteligente o suficiente para enviar tráfego para fora da mesma interface em que ele entrou, caso contrário, você provavelmente acabará com um firewall com estado deixando cair o tráfego.

O que você tem aqui é bastante insustentável a longo prazo, para algo mais do que segregação realmente básica. Conseguir todas as suas conexões no mesmo roteador é um lugar extremamente importante para começar, então pelo menos você tem um lugar onde tudo está ciente de todas as suas conexões, e você tem um lugar central para gerenciar as coisas.

    
por 29.02.2016 / 15:32