Как настроить эту сеть: несколько точек беспроводного доступа, действующих как маршрутизаторы

182
MountainX

Я хочу создать WLAN, в которой у меня есть 3 отдельные точки доступа WiFi (соединенные друг с другом через кабель Ethernet) и где все клиенты, подключенные к этим WAP, могут общаться друг с другом, находясь за брандмауэром.

Если я добавлю еще одно устройство, маршрутизатор и брандмауэр, я знаю, как создать эту конфигурацию сети:

[Cable Modem] 192.168.0.1 │ └─[Wireless Router & Firewall] 192.168.1.0 │ ├── Wireless Access Point #1 - 192.168.1.1 ├── Wireless Access Point #2 - 192.168.1.2 └── Wireless Access Point #3 - 192.168.1.3 

Однако возможно ли выполнить то же самое без добавления 4-го устройства?

Все 3 точки беспроводного доступа фактически являются беспроводными маршрутизаторами. Если я переведу их в режим маршрутизатора и подключу, как показано ниже, как мне настроить правила маршрутизации и брандмауэра, чтобы устройства, подключенные к каждому маршрутизатору, образовывали одну сеть и имели некоторую защиту от внешнего мира?

[Cable Modem] 192.168.0.1 │ ├── Wireless Router #1 - 192.168.1.1 ├── Wireless Router #2 - 192.168.1.2 └── Wireless Router #3 - 192.168.1.3 

Кабельный модем делает NAT, это сервер DHCP, и он имеет 4-портовый коммутатор. 3 беспроводных маршрутизатора могут работать в режиме dd-wrt.

Моя цель - иметь 1 маршрутизатор / брандмауэр за кабельным модемом, как в первом сетевом макете, или иметь 3 маршрутизатора / брандмауэра за кабельным модемом (избегая затрат на покупку 4-го устройства), где все 3 из этих маршрутизаторов / межсетевые экраны могут действовать как одна сеть. Я не хочу просто ставить точки доступа за кабельным модемом.

Я предполагаю, что настроил бы уникальные диапазоны адресов 192.168.1.X на серверах DHCP каждого из 3 маршрутизаторов.

0
Вы хотите, чтобы точки доступа находились в режиме роутера? Как отметил Давидго, у вас уже есть маршрутизатор / межсетевой экран - «4-е устройство» - это ваш кабельный модем. (Как обычно для кабельных «модемов».) grawity 2 года назад 0
@ Grawity - я не доверяю безопасности кабельного модема. Я предпочитаю иметь 1 или 3 маршрутизатора позади него. Я обновил вопрос, чтобы уточнить это. Благодарю. MountainX 2 года назад 0
Можете ли вы опубликовать марку / модели беспроводного маршрутизатора? Если они являются беспроводными маршрутизаторами и имеют коммутаторы Ethernet на задней панели, то вы можете использовать одну из трех точек доступа в качестве маршрутизатора и точки доступа, а затем подключить другие маршрутизаторы (в режиме точки доступа) к точке доступа «маршрутизатора». Kinnectus 2 года назад 0
@ Kinnectus - да, это беспроводные маршрутизаторы с коммутаторами Ethernet. Netgear R7000. MountainX 2 года назад 0
@MountainX - ответ Гравити, кажется, в точности соответствует тому, о чем я думал ... настолько, что мой комментарий и его ответ выглядят так, как будто они были опубликованы одновременно! Для одной подсети 9, где все устройства могут общаться / обнаруживать друг друга), тогда метод 1 .... тоже очень легко реализовать. Небольшая конфигурация, в которой вам нужно будет назначить каждой точке доступа свой IP вне пула DHCP, создать пул DHCP на маршрутизаторе № 1 и отключить DHCP на всех других точках доступа. Kinnectus 2 года назад 0
Просто для того, чтобы указать, что устройства могут нормально общаться по подсетям, если существует таблица маршрутизации (так работает весь Интернет), они не могут использовать только протоколы автоматического широковещательного обнаружения. grawity 2 года назад 0

2 ответа на вопрос

3
grawity

Предполагая, что вы делаете требуют маршрутизатора / брандмауэра (скажем, кабельный модем не обеспечивает один), у вас есть два способа сделать это:

Очевидный метод: превратить первую точку доступа в маршрутизатор.

[Cable Modem] 192.168.0.1 │ └─[Wireless Access Point #1 & Router & Firewall] 192.168.1.1/24 │ ├── Wireless Access Point #2 - 192.168.1.2/24 └── Wireless Access Point #3 - 192.168.1.3/24 

Точки доступа № 2 и № 3 останутся в режиме моста.

Преимущество: это позволяет вам иметь единую подсеть для всех точек доступа (что позволяет автоматически обнаруживать устройства, например, для Chromecasts и т. Д.)

Другой метод: иметь отдельные подсети.

Я предполагаю, что настроил бы уникальные диапазоны адресов 192.168.1.X на серверах DHCP каждого из 3 маршрутизаторов.

Нет - вы бы создали уникальный 192.168. Диапазон адресов X .0 в каждом маршрутизаторе.

[Cable Modem] 192.168.0.1/24 │ ├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.2.1/24 ├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.3.1/24 └── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.4.1/24 

Каждый маршрутизатор, как правило, должен иметь свою собственную подсеть. Это позволяет каждому маршрутизатору иметь маршруты к остальным подсетям. Например, маршрутизатор № 1 может иметь таблицу маршрутов:

DESTINATION GATEWAY INTERFACE 192.168.2.0/24 - lan 192.168.3.0/24 192.168.0.3 wan 192.168.4.0/24 192.168.0.4 wan 

Недостаток: для этого требуется, чтобы у каждого маршрутизатора / точки доступа был свой SSID (без автоматического роуминга, потому что разные подсети), и не было разрешено обнаружение устройств в разных подсетях.

Недостаток: требует более сложной настройки NAT и брандмауэра. Вы должны сделать так, чтобы трафик к другим подсетям ЛВС проходил (передавался без какого-либо NAT). Аналогично, ваши правила фильтрации в каждом маршрутизаторе должны принимать входящие пакеты из подсетей других маршрутизаторов.

Вот пример грубого iptables:

-t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 192.168.2.0/24 -j ACCEPT -A FORWARD -s 192.168.3.0/24 -j ACCEPT -A FORWARD -s 192.168.4.0/24 -j ACCEPT -A FORWARD -j REJECT -t nat -A PREROUTING -d 192.168.2.0/24 -j ACCEPT -A PREROUTING -d 192.168.3.0/24 -j ACCEPT -A PREROUTING -d 192.168.4.0/24 -j ACCEPT -A PREROUTING -o <wan> -j MASQUERADE (or SNAT or whatever) 

Еще один метод: иметь одну подсеть и три DHCP-сервера.

Вы, вероятно, можете сойти с рук с этим:

[Cable Modem] 192.168.0.1/24 │ ├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.1.1/24 │ │ ├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.1.2/24 │ │ └── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.1.3/24 

Да, это указывает на то, что ЛВС всех трех маршрутизаторов подключены к единой сети Ethernet, хотя это важно не в цикле (если DDWRT не поддерживает RSTP, в этом случае происходит сбой). Соединение всех локальных сетей необходимо, если вам нужен общий SSID.

Да, все три маршрутизатора могут использовать DHCP. В этой ситуации диапазон адресов DHCP каждого маршрутизатора должен отличаться, хотя и от одной подсети (например, 192.168.1.101–192.168.1.125, 192.168.1.126-192.168.1.150 и т. Д.)

Преимущество: у вас есть одна подсеть - все три точки доступа могут использовать один и тот же SSID, роуминг работает, обнаружение устройств работает.

Недостаток: устранение неполадок может стать раздражающим. Переадресация портов будет адом .


(Тем не менее, это не сумасшедший метод. Это похоже на то, как крупные сети реализуют аварийное переключение маршрутизаторов: у них есть два маршрутизатора, совместно использующие одну и ту же сеть Ethernet, одну и ту же подсеть LAN, и совместно использующие IP-адрес с использованием протокола, такого как VRRP. Только один сервер DHCP а бассейн нужен тогда.)

Спасибо за исчерпывающий ответ. Основная причина, по которой я не сделал вашего очевидного решения, заключается в том, что я хотел узнать об альтернативах. Вы помогли мне понять альтернативы. В конце концов, я думаю, что я сделаю самое очевидное решение сейчас, когда я понимаю недостатки других решений. MountainX 2 года назад 0
Разве не самые легкие решения, которые полностью решают проблему, часто лучшие? Kinnectus 2 года назад 0
@ Kinnectus: не всегда. Сочетание двух NAT-маршрутизаторов кажется самым простым решением (буквально объединяя два беспроводных маршрутизатора), но у него есть все недостатки: нет беспроводного роуминга, нет обнаружения устройств, нет двунаправленной доступности между подсетями, нет автоматической переадресации порта UPnP, сложный порт пересылка через все слои ... grawity 2 года назад 0
Я только что проверил, и у dd-wrt действительно есть STP (Не уверен насчет RSTP.). Я не знаю точно, как протокол связующего дерева будет использоваться в моей ситуации, поэтому я буду искать его и задавать новый вопрос, если это необходимо. MountainX 2 года назад 0
RSTP был просто дополнительной запиской к дополнительной заметке. (Это протокол для обнаружения петель Ethernet и отработки отказа.) grawity 2 года назад 0
Спасибо за правки. Я, вероятно, все еще пойду с очевидным решением (вашим первым), но моя оригинальная идея звучит не так уж плохо. Я не занимаюсь переадресацией портов. Приятно видеть альтернативы, изложенные так. MountainX 2 года назад 0
1
davidgo

Похоже, что кабельный модем - это больше, чем просто модем (потому что у него было несколько портов Ethernet). Предполагая, что это делает NAT, что разумно привести)

Чтобы настроить это, я бы отключил DHCP на маршрутизаторах DDWRT, настроил их как точки доступа с тем же SSUD и паролем (но с разными непересекающимися каналами) и подключил etherenet от модема к порту локальной сети - таким образом у вас есть время Сеть, где модем предоставляет DHCP для всего и роуминг между устройствами, является бесшовной, потому что точки доступа соединяются мостом, а не маршрутизацией.

обновил вопрос MountainX 2 года назад 0

Похожие вопросы