Ich möchte ein WLAN erstellen, bei dem ich über drei separate WiFi-Zugangspunkte verfüge (die über ein Ethernet-Kabel miteinander verbunden sind) und bei dem alle an diese WAPs angeschlossenen Clients miteinander kommunizieren können, während sie sich gleichzeitig hinter einer Firewall befinden.
Wenn ich ein weiteres Gerät, einen Router und eine Firewall hinzufüge, weiß ich, wie ich diese Netzwerkkonfiguration erstelle:
[Cable Modem]
192.168.0.1
│
└─[Wireless Router & Firewall]
192.168.1.0
│
├── Wireless Access Point #1 - 192.168.1.1
├── Wireless Access Point #2 - 192.168.1.2
└── Wireless Access Point #3 - 192.168.1.3
Ist es jedoch möglich, dasselbe zu erreichen, ohne ein viertes Gerät hinzuzufügen?
Alle 3 WLAN-Zugangspunkte sind eigentlich WLAN-Router. Wenn ich sie in den Router-Modus setze und wie unten gezeigt verbinde, wie richte ich dann die Routing- und Firewall-Regeln ein, damit die an jeden Router angeschlossenen Geräte ein Netzwerk bilden und auch einen gewissen Schutz vor der Außenwelt haben?
[Cable Modem]
192.168.0.1
│
├── Wireless Router #1 - 192.168.1.1
├── Wireless Router #2 - 192.168.1.2
└── Wireless Router #3 - 192.168.1.3
Das Kabelmodem unterstützt NAT, ist ein DHCP-Server und verfügt über einen 4-Port-Switch. Die 3 WLAN-Router können dd-wrt ausführen.
Mein Ziel ist es, entweder einen Router/Firewall hinter dem Kabelmodem zu haben, wie im ersten Netzwerklayout, oder drei Router/Firewalls hinter dem Kabelmodem (um die Kosten für den Kauf eines vierten Geräts zu vermeiden), wobei alle drei Router/Firewalls als ein Netzwerk fungieren können. Ich möchte nicht einfach nur Access Points hinter dem Kabelmodem platzieren.
Ich gehe davon aus, dass ich in den DHCP-Servern jedes der drei Router eindeutige 192.168.1.X-Adressbereiche einrichten würde.
Antwort1
Angenommen, SieTunWenn Sie einen Router/eine Firewall benötigen (sagen wir, das Kabelmodem bietet keinen), haben Sie hierfür zwei Möglichkeiten:
Naheliegende Methode: Machen Sie aus dem 1. Access Point einen Router.
[Cable Modem]
192.168.0.1
│
└─[Wireless Access Point #1 & Router & Firewall]
192.168.1.1/24
│
├── Wireless Access Point #2 - 192.168.1.2/24
└── Wireless Access Point #3 - 192.168.1.3/24
Die Zugriffspunkte Nr. 2 und Nr. 3 würden im Bridge-Modus bleiben.
Vorteil: Dadurch haben Sie ein einziges Subnetz für alle Zugriffspunkte (was eine automatische Geräteerkennung, z. B. für Chromecasts usw., ermöglicht).
Die andere Methode: Verwenden Sie separate Subnetze.
Ich gehe davon aus, dass ich in den DHCP-Servern jedes der drei Router eindeutige 192.168.1.X-Adressbereiche einrichten würde.
Nein, Sie müssen die einmalige Nummer 192.168 einrichten.X.0 Adressbereiche in jedem Router.
[Cable Modem]
192.168.0.1/24
│
├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.2.1/24
├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.3.1/24
└── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.4.1/24
Jeder Router sollte grundsätzlich ein eigenes Subnetz haben. Dadurch hat jeder RouterRoutenzu den verbleibenden Subnetzen. Beispielsweise könnte Router Nr. 1 eine Routentabelle haben:
DESTINATION GATEWAY INTERFACE
192.168.2.0/24 - lan
192.168.3.0/24 192.168.0.3 wan
192.168.4.0/24 192.168.0.4 wan
Nachteil: Dies erfordert, dass jeder Router/AP eine andere SSID hat (kein automatisches Roaming, da die Subnetze unterschiedlich sind) und ermöglicht keine Geräteerkennung über verschiedene Subnetze hinweg.
Nachteil: Erfordert eine komplexere NAT- und Firewall-Konfiguration. Sie sollten den Verkehr zu anderen LAN-Subnetzen „durchlassen“ lassen (ohne NAT weiterleiten). Ebenso müssen Ihre Filterregeln in jedem Router Folgendes akzeptieren:eingehendPakete aus den Subnetzen anderer Router.
Hier ist ein grobes iptables-Beispiel:
-t filter
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -j ACCEPT
-A FORWARD -s 192.168.3.0/24 -j ACCEPT
-A FORWARD -s 192.168.4.0/24 -j ACCEPT
-A FORWARD -j REJECT
-t nat
-A PREROUTING -d 192.168.2.0/24 -j ACCEPT
-A PREROUTING -d 192.168.3.0/24 -j ACCEPT
-A PREROUTING -d 192.168.4.0/24 -j ACCEPT
-A PREROUTING -o <wan> -j MASQUERADE (or SNAT or whatever)
Noch eine andere Methode: Verwenden Sie ein Subnetz und drei DHCP-Server.
Damit kommen Sie wahrscheinlich durch:
[Cable Modem]
192.168.0.1/24
│
├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.1.1/24
│ │
├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.1.2/24
│ │
└── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.1.3/24
Ja, dies zeigt an, dass alle drei LANs der Router zu einem einzigen Ethernet verbunden sind – obwohl wichtig istnichtin einer Schleife (es sei denn, DDWRT unterstützt RSTP, dann können Sie loslegen). Die Verbindung aller LANs ist erforderlich, wenn Sie eine gemeinsame SSID wünschen.
Ja, alle drei Router können DHCP. In dieser Situation ist der DHCP-Adressbereich jedes Routerssollenunterschiedlich sein, obwohl sie aus demselben Subnetz stammen (z. B. 192.168.1.101–192.168.1.125, 192.168.1.126-192.168.1.150 usw.)
Vorteil: Sie haben ein einziges Subnetz – alle drei APs können die gleiche SSID teilen, Roaming funktioniert, die Geräteerkennung funktioniert.
Nachteil: Die Fehlerbehebung kann lästig werden. Port-Forwarding wirdHölle.
(Das heißt, es ist keine verrückte Methode. Es istähnlichwie große Netzwerke Router-Failover implementieren: Sie haben zwei Router, die sich das gleiche Ethernet, das gleiche LAN-Subnetz teilen,Undgemeinsame Nutzung einer IP-Adresse mithilfe eines Protokolls wie VRRP. Es wird dann nur ein DHCP-Server und -Pool benötigt.)
Antwort2
Es klingt, als wäre das Kabelmodem mehr als nur ein Modem (weil es mehrere Ethernet-Ports hat). Vorausgesetzt, es führt NAT aus, was eine vernünftige Annahme ist)
Um dies einzurichten, würde ich DHCP auf den DDWRT-Routern deaktivieren, sie als APs mit derselben SSUD und demselben Passwort (aber unterschiedlichen, sich nicht überschneidenden Kanälen) konfigurieren und Ethernet vom Modem mit dem LAN-Port verbinden – auf diese Weise haben Sie ein Zeitnetzwerk, in dem das Modem DHCP für alles bereitstellt und das Roaming zwischen den Geräten nahtlos ist, weil die APs eher überbrücken als routen.