3 つの個別の WiFi アクセス ポイント (イーサネット ケーブルで相互に接続) があり、これらの WAP に接続されたすべてのクライアントがファイアウォールの背後にありながら相互に通信できる WLAN を作成したいと考えています。
ルーターとファイアウォールというデバイスをもう 1 つ追加すると、次のネットワーク構成を作成する方法がわかります。
[Cable Modem]
192.168.0.1
│
└─[Wireless Router & Firewall]
192.168.1.0
│
├── Wireless Access Point #1 - 192.168.1.1
├── Wireless Access Point #2 - 192.168.1.2
└── Wireless Access Point #3 - 192.168.1.3
しかし、4 番目のデバイスを追加せずに同じことを実現することは可能でしょうか?
3 つのワイヤレス アクセス ポイントはすべて、実際にはワイヤレス ルーターです。これらをルーター モードにして、以下のように接続した場合、各ルーターに接続されたデバイスが 1 つのネットワークを形成し、外部から保護されるように、ルーティングとファイアウォールのルールを設定するにはどうすればよいでしょうか。
[Cable Modem]
192.168.0.1
│
├── Wireless Router #1 - 192.168.1.1
├── Wireless Router #2 - 192.168.1.2
└── Wireless Router #3 - 192.168.1.3
ケーブル モデムは NAT を実行し、DHCP サーバーであり、4 ポート スイッチを備えています。3 つのワイヤレス ルーターは dd-wrt を実行できます。
私の目標は、最初のネットワーク レイアウトのように、ケーブル モデムの背後に 1 つのルーター/ファイアウォールを配置するか、ケーブル モデムの背後に 3 つのルーター/ファイアウォールを配置して (4 つ目のデバイスを購入するコストを回避)、3 つのルーター/ファイアウォールすべてを 1 つのネットワークとして機能させることです。ケーブル モデムの背後にアクセス ポイントを配置するだけでは不十分です。
3 台のルーターそれぞれの DHCP サーバーに、固有の 192.168.1.X アドレス範囲を設定することになると思います。
答え1
あなたがするルーター/ファイアウォールが必要な場合 (ケーブル モデムがルーター/ファイアウォールを提供していない場合)、これを行うには 2 つの方法があります。
明らかな方法: 最初のアクセス ポイントをルーターに変えます。
[Cable Modem]
192.168.0.1
│
└─[Wireless Access Point #1 & Router & Firewall]
192.168.1.1/24
│
├── Wireless Access Point #2 - 192.168.1.2/24
└── Wireless Access Point #3 - 192.168.1.3/24
アクセス ポイント #2 と #3 はブリッジ モードのままになります。
利点: これにより、すべてのアクセス ポイントにわたって単一のサブネットを持つことができます (Chromecast などのデバイスの自動検出が可能になります)。
他の方法: 別々のサブネットを用意する。
3 台のルーターそれぞれの DHCP サーバーに、固有の 192.168.1.X アドレス範囲を設定することになると思います。
いいえ、一意の 192.168 を設定します。バツ各ルーターの .0 アドレス範囲。
[Cable Modem]
192.168.0.1/24
│
├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.2.1/24
├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.3.1/24
└── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.4.1/24
一般的に、各ルータは独自のサブネットを持つ必要があります。これにより、各ルータはルート残りのサブネットに向けて。たとえば、ルータ #1 には次のようなルート テーブルがあります。
DESTINATION GATEWAY INTERFACE
192.168.2.0/24 - lan
192.168.3.0/24 192.168.0.3 wan
192.168.4.0/24 192.168.0.4 wan
デメリット: 各ルーター/AP に異なる SSID が必要 (サブネットが異なるため自動ローミングは行われません) であり、異なるサブネット間でのデバイス検出は許可されません。
デメリット: より複雑なNATとファイアウォールの設定が必要です。他のLANサブネットへのトラフィックを「通過」させる必要があります(NATなしで転送されます)。同様に、各ルーターのフィルタルールは、着信他のルーターのサブネットからのパケット。
大まかな iptables の例を次に示します。
-t filter
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -j ACCEPT
-A FORWARD -s 192.168.3.0/24 -j ACCEPT
-A FORWARD -s 192.168.4.0/24 -j ACCEPT
-A FORWARD -j REJECT
-t nat
-A PREROUTING -d 192.168.2.0/24 -j ACCEPT
-A PREROUTING -d 192.168.3.0/24 -j ACCEPT
-A PREROUTING -d 192.168.4.0/24 -j ACCEPT
-A PREROUTING -o <wan> -j MASQUERADE (or SNAT or whatever)
別の方法: サブネットを 1 つと DHCP サーバーを 3 つ用意します。
おそらく、次のようにすれば大丈夫です:
[Cable Modem]
192.168.0.1/24
│
├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.1.1/24
│ │
├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.1.2/24
│ │
└── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.1.3/24
はい、これは3つのルーターのLANが1つのイーサネットに接続していることを示しています。ただし、重要なのはないループ内です (DDWRT が RSTP をサポートしていない場合、その場合は大騒ぎになります)。共通の SSID が必要な場合は、すべての LAN を相互接続する必要があります。
はい、3つのルーターはすべてDHCPを実行できます。この場合、各ルーターのDHCPアドレス範囲はすべき同じサブネットであっても異なる(例:192.168.1.101~192.168.1.125、192.168.1.126~192.168.1.150 など)
利点: サブネットが 1 つであるため、3 つの AP すべてが同じ SSID を共有でき、ローミングが機能し、デバイスの検出が機能します。
デメリット:トラブルシューティングが面倒になることがあります。ポート転送は地獄。
(とはいえ、これは突飛な方法ではありません。似ている大規模ネットワークでルータのフェイルオーバーを実装する方法:2台のルータが同じイーサネット、同じLANサブネットを共有し、そしてVRRP などのプロトコルを使用して IP アドレスを共有します。その場合、必要な DHCP サーバーとプールは 1 つだけです。
答え2
ケーブル モデムは単なるモデム以上の機能を持っているようです (複数のイーサネット ポートがあるため)。NAT を実行していると仮定すると、これは当然のことです)
これを設定するには、DDWRT ルーターの DHCP を無効にし、同じ SSUD とパスワード (ただし重複しない異なるチャネル) を持つ AP として構成し、モデムから LAN ポートにイーサネットを接続します。この方法では、モデムがすべての DHCP を提供するタイム ネットワークが実現し、AP がルーティングではなくブリッジングを行うため、デバイス間のローミングがシームレスになります。