Порт доступа / пересылки к серверу во вторичной подсети LAN-WAN из основной подсети в каскадной сети

599
lanette

У меня проблема с сетью, похожая на Маршрут к серверу в подсети . Я пробовал решение, но безуспешно.

Вот моя топология сети:

Internet |  |  ADSL  x.x.x.x (external) Linksys WAG120N (Router1)---------------------+ 255.255.255.0 | 192.168.1.1 (internal) | DHCP active | | | | | | | LAN-to-WAN | 192.168.1.2 (external, static) 192.168.1.100 (DHCP) D-link DSL-2730E (Router2) PC1 Windows 10 255.255.255.0  192.168.2.1 (internal) DHCP active | |  192.168.2.2 (static)  Ubuntu Server 16.04 with node server on Port 3344

Дополнительная информация:

  • Маршрутизатор 1 подключен к маршрутизатору 2 LAN-to-WAN
  • на обоих маршрутизаторах включена NAT, динамическая маршрутизация отключена
  • Защита межсетевого экрана Router2 SPI отключена, разблокированный анонимный WAN-запрос
  • Переадресация порта Router1 на 192.168.1.2 WAN порт 3344, LAN порт 3344 TCP
  • Переадресация порта Router2 на порт WAN 3344.1.2.2.2, порт LAN 3344 TCP
  • Я могу пинговать Router2 192.168.2.1 с моего ПК1
  • Я не могу пропинговать сервер 192.168.2.2 с моего ПК1

Переадресация портов работает, и сервер отвечает, когда трафик поступает из Интернета, то есть когда я ввожу внешний IP-адрес Router1 и перенаправленный порт xxxx: 3344 в браузере на ПК1, я получаю ответ в браузере. Как ни странно, когда я ввожу внешний IP-адрес Router2 192.168.1.2:3344 или внутренний IP-адрес Router2 192.168.2.1:3344 (через статический маршрут) в браузере на ПК1, который, как я ожидаю, Router2 перенаправит трафик на мой сервер@192.168.2.2 : 3344, ни один из них не работает, в Google Chrome написано "Этот сайт недоступен". Я что-то пропустил? Заранее спасибо.

Edit1:

  • Причина, по которой я хочу разделить две подсети, заключается в том, что я хочу заблокировать доступ в Интернет для подсети 192.168.2.0/24.
  • Я также попытался настроить статический маршрут на маршрутизаторе Router1 с пунктом назначения 192.168.2.0, маской подсети 255.255.255.0, адресом следующего перехода 192.168.1.2, доступен только один интерфейс - интерфейс a1, а метрика - 1 (не конечно, что он делает), но все равно не повезло.

Edit2:

  • Моя цель - полностью заблокировать доступ в Интернет для подсети 192.168.2.0/24 и разрешить доступ в Интернет для подсети 192.168.1.0/24.
  • В подсети 192.168.2.0/24 будет подключено около 12 клиентских устройств Android, которые не имеют доступа к Интернету, кроме сервера.
  • Еще одна причина, по которой я хочу использовать отдельную подсеть, заключается в том, что управлять фильтром доступа в Интернет будет проще, отфильтровывая весь диапазон IP-адресов (кроме сервера) в подсети через один маршрутизатор.
1

2 ответа на вопрос

0
mariaczi

Если вам не нужно иметь две отдельные сети 192.168.1.0/24 и 192.168.2.0/24, подключите ваш первый маршрутизатор ко второму маршрутизатору через порты LAN. Второй способ - попытайтесь настроить статический маршрут на вашем ПК или на первом маршрутизаторе: если источником является IP-адрес локальной сети (192.168.1.0/24), а адрес назначения - 192.168.2.0/24, направьте пакет на интерфейс локальной сети (на первом маршрутизатор).

спасибо за предложение, я рассмотрел этот вариант, но я хотел бы отделить сеть, потому что я хочу заблокировать доступ в Интернет в подсети 192.168.2.0/24, чтобы предотвратить перегрузку трафика доступа в Интернет. lanette 5 лет назад 0
@Tim_Stewart, спасибо за ваш ответ, я должен объяснить, что я проектирую подсеть 192.168.2.x для внутреннего использования отчетности моей компании, и мы беспокоимся о том, что наши сотрудники будут проводить слишком много времени в Интернете, а не работать, поэтому мы нужна отдельная подсеть, чтобы я мог отфильтровать IP / MAC-адрес для доступа в Интернет с моего Router2, нам также нужен доступ к серверу из подсети 192.168.1.x (мой офис) для получения данных, я знаю, что это не идеально, или есть лучший способ сделать это? lanette 5 лет назад 0
Воспользуйтесь приведенными мною инструкциями. Перейдите по этой ссылке, когда вы настроите qos. Это позволит вам запретить доступ в Интернет к любой конечной станции ПК, которую вы хотите ... https: //www.linksys.com/us/support -Статья? articleNum = 136710 Tim_Stewart 5 лет назад 0
@ Tim_Stewart, пожалуйста, позвольте мне исправить себя, что моя цель - полностью заблокировать доступ в Интернет, а не расставлять приоритеты в услугах, я не вижу, как QoS поможет. Кроме того, мы используем приложение Android для отправки данных на сервер, поэтому мне будет сложно фильтровать IP / MAC-адреса каждого устройства, и поэтому я хотел бы иметь отдельную подсеть для управления IP-адресами, чтобы я мог фильтровать весь диапазон IP-адресов в подсети, за исключением сервера (так как для этого потребуется доступ в интернет). Это сэкономит мне больше времени и хлопот, чем поддержание фильтра IP-адресов для каждого устройства. lanette 5 лет назад 0
Вы должны добавить исправленную информацию в свой вопрос, когда у вас есть время. На всякий случай, если у кого-то есть лучший ответ на это. Это будет трудно для вас при любых обстоятельствах. Вы используете маршрутизаторы потребительского уровня (домашние маршрутизаторы) для бизнес-сети. И, откровенно говоря, вы получаете то, за что платите с точки зрения возможностей. Очень часто сотрудники Mac располагаются в организованном списке и дают сотрудникам инструкции для ОС Android по извлечению беспроводного Mac и отправке его вам по электронной почте. Я не уверен, что вы можете честно делать диапазоны IP-адресов с этими параметрами фильтрации маршрутизаторов. Tim_Stewart 5 лет назад 0
К серверу будет подключено около 12 клиентских устройств. lanette 5 лет назад 0
Вы всегда можете заблокировать приложение, а не пары IP / Mac, оно будет блокировать только трафик, пытающийся покинуть шлюз. Т.е. блокируйте http / https и блокируйте все и все VPN / прокси-порты, чтобы ваши сотрудники не обходили политики, которые вы пытаетесь внедрить. КСТАТИ 12 очень мало для управления! Tim_Stewart 5 лет назад 0
0
Tim_Stewart

Вы противоречили себе. Вы пытаетесь перенести порт на сервер, чтобы открыть порт для Интернета для вашего сервера. но затем скажите, что вы хотите заблокировать доступ в Интернет для сети 192.168.2.0 / 24.

Способ контролировать перегрузку в вашей локальной сети - это использовать качество обслуживания на главном маршрутизаторе, или, если вы использовали qos и полностью используете соединение ISP с qos, вы должны обновить план ISP до плана с большей пропускной способностью.

Вот как вы бы это настроили:

ADSL (wag120N).
SSID = "домашняя сеть".
IP-адрес локальной сети = "192.168.1.1 255.255.255.0".
DHCP-пул = "192.168.1.2 - 192.168.1.249".
WPA2-PSK = "MyPass1234!".
тип безопасности = "только AES".
Брандмауэр = включен!
Канал-1.

D-Link DSL-2730E.
MODE = AP.
SSID = "домашняя сеть".
IP-адрес локальной сети = "192.168.1.254 255.255.255.0".
DHCP = «отключен на этом маршрутизаторе!».
WPA2-PSK = "MyPass1234!".
тип безопасности = "только AES".
NAT & Firewall = ВЫКЛ!
Канал - 6 или 11.
Подключите два (порт LAN маршрутизатора 1) к (порт Lan маршрутизатора 2)

Ubuntu Server 16.04 192.168.2.250 255.255.255.0

Запишите Mac-адрес серверов ник. Он понадобится вам для следующих шагов.

Сейчас самое время выполнить тест скорости speakeasy.net, чтобы определить реальную пропускную способность, которую вы получаете от своего интернет-провайдера. Убедитесь, что никто не использует Интернет, когда вы делаете, вы хотите, чтобы он был точным. Отключите пользователей, если вам нужно. Запишите общее количество вверх / вниз. Зайдите на 192.168.1.1, войдите через ваш админ / пароль.

Нажмите на вкладку «Приложения и игры», затем выберите QoS во вложенных вкладках.

ПРИМЕЧАНИЕ. Поддержка Wi-Fi Multimedia (WMM) - это функция беспроводного QoS, которая улучшает качество аудио-, видео- и голосовых приложений, отдавая приоритет беспроводному трафику. Он включен по умолчанию.

В разделе «Нет подтверждения» оставьте этот параметр отключенным.

В поле «Приоритет политики доступа в Интернет» выберите «Включено».

ПРИМЕЧАНИЕ. Вы можете установить для входной полосы пропускания значение Авто или Вручную. Авто установит пропускную способность восходящего канала на 512 Кбит / с. Используйте руководство, введите общее значение вверх / вниз, которое вы записали ранее. Введите его в это поле примерно на 10% ниже для того, что вы записали. Идея состоит в том, чтобы на вашей стороне соединения было узкое место, которым вы управляете, а не маршрутизаторы ISP.

Нажмите на стрелку раскрывающегося списка, чтобы выбрать соответствующую категорию в зависимости от того, как вы хотите установить приоритет. Создайте имя, чтобы легко идентифицировать устройство и введите его MAC-адрес, затем выберите желаемый уровень приоритета.

Нажмите, чтобы сохранить изменения.

ПРИМЕЧАНИЕ. Установленные вами параметры будут отображаться в поле «Сводка» ниже.

Вот и все, если вы не хотите, чтобы трафик сервера мешал вашему домашнему сетевому трафику, установите для сервера более низкий приоритет, чем для остальных домашних клиентов.

Я надеюсь, что это помогает вам.

В качестве дополнительного бонуса, следуя этим инструкциям, вы получите бесперебойную роуминговую сеть, в которой клиенты Wi-Fi будут переключаться на точку доступа с максимальной мощностью без вмешательства. Ключ wpa2 и SSID должны быть одинаковыми для его работы. Tim_Stewart 5 лет назад 0
Я сделал исключение, чтобы не блокировать доступ к Интернету сервера, назначив ему статический IP-адрес вне диапазона DHCP, и фильтровать доступ в Интернет только по диапазону IP, назначенному DHCP маршрутизатора2. lanette 5 лет назад 0
Я проверил переадресацию портов, и сервер отвечает, когда трафик поступает из Интернета, то есть когда я ввожу внешний IP-адрес Router1 и перенаправленный порт xxxx: 3344 в браузере на ПК1, я получаю ответ в браузере. Как ни странно, когда я ввожу внешний IP-адрес Router2 192.168.1.2:3344 или внутренний IP-адрес Router2 192.168.2.1:3344 (через статический маршрут) в браузере на ПК1, который, как я ожидаю, Router2 перенаправит трафик на мой сервер@192.168.2.2 : 3344, ни один из них не работает, Google Chrome говорит "Этот сайт не доступен". lanette 5 лет назад 0
Если у вас есть правила блокировки, поместите их в одну подсеть (соедините два). Вы прыгаете через обручи для чего-то очень простого .... Tim_Stewart 5 лет назад 0

Похожие вопросы