Use 5 endereços IP estáticos sem NAT nos hosts atrás do roteador atrás do Comcast Business IP Gateway

1

Eu tenho um roteador VyOS. O VyOS é um fork do OSS do Vyatta pre-Brocade / pre-Ubiquiti EdgeRouter. Ele tem uma DMZ que atende a vários servidores que enfrentam o público e uma zona privada em frente a nossas redes WiFi e Ethernet privadas.

Anteriormente, trabalhamos com o DSL com um endereço IP estático. O modem DSL estava simplesmente no modo bridge, e o endereço IP estático foi atribuído à interface WAN do roteador VyOS. DSL (e um único endereço IP) tornou-se insustentável.

Estamos configurando a Internet da Comcast Business Class (5 endereços IP estáticos). Com ele, você deve usar o Comcast Business IP Gateway (um sofisticado modem DOCSIS 3.0, neste caso um modelo tipo BWG da Cisco-DPC3939B) se quiser ter endereços IP estáticos (seu próprio equipamento só é permitido com um endereço IP dinâmico ). Além disso, se você quiser ter endereços IP estáticos, não poderá colocar o gateway IP no modo bridge. Ele será revertido para endereçamento dinâmico se você fizer isso. O endereçamento estático só está disponível no modo roteador, embora a Comcast enfatize que você pode desativar todos os recursos do roteador (DHCP, NAT, WiFi, firewall, etc.) e usar seu próprio equipamento (nosso roteador VyOS) atrás do modem. E é aí que as coisas são estranhas.

Os 5 endereços IP estáticos vêm de um / 29: no nosso caso, são * .168 a * .175, com * .168 e * .175 reservados / não utilizáveis, e * .174 atribuídos ao Gateway IP, deixando-nos com * .169, * .170, * .171, * .172 e * .173 para usar em nosso equipamento. * .174 é o "gateway padrão", o endereço pelo qual todo o tráfego de saída passa.

Eu sou capaz de configurar uma configuração simples em que o VyOS tem um endereço IP estático (* .169) em sua WAN e todo o tráfego entra e sai do mesmo através do Gateway IP. Funciona bem. Mas não tenho certeza de como / a melhor maneira de usar todos os cinco. Imaginei que posso atribuir todos os cinco endereços à WAN e usar NAT 1: 1 (DNAT + SNAT) para manipular o mapeamento de tráfego de entrada para esses endereços IP públicos para endereços IP privados na DMZ e reverter, mas eu queria evite esta configuração. (Eu sei que tenho que usar o SNAT para minhas redes privadas DHCP / WiFi / ethernet; não preciso de ajuda com isso.)

Eu esperava poder atribuir apenas um IP público (* .169) ao VyOS WAN e, em seguida, atribuir * .170 a * .173 diretamente aos hosts em minha DMZ, configurar o VyOS para rotear o tráfego para aqueles IPs públicos na DMZ, e configure o IP Gateway para enviar todo o tráfego * .169 - * .173 para * .169 para roteamento adicional. Isso é possível? Ou a abordagem NAT acima é a melhor / única solução?

    
por Nick Williams 10.01.2018 / 19:53

1 resposta

1

Em geral, a ferramenta que você deseja / precisa aqui é o proxy arp. Seu roteador responde a solicitações arp como se fosse o host em questão e pode, então, direcioná-lo para sua rede original.

Eu não tenho ideia se o vyos suporta isso.

    
por 11.01.2018 / 04:33