Quiero crear una WLAN donde tenga 3 puntos de acceso WiFi separados (conectados entre sí mediante un cable Ethernet) y donde todos los clientes conectados a estos WAP puedan comunicarse entre sí y al mismo tiempo estar detrás de un firewall.
Si agrego un dispositivo más, un enrutador y un firewall, sé cómo crear esta configuración de red:
[Cable Modem]
192.168.0.1
│
└─[Wireless Router & Firewall]
192.168.1.0
│
├── Wireless Access Point #1 - 192.168.1.1
├── Wireless Access Point #2 - 192.168.1.2
└── Wireless Access Point #3 - 192.168.1.3
Sin embargo, ¿es posible lograr lo mismo sin agregar un cuarto dispositivo?
Los 3 puntos de acceso inalámbrico son en realidad enrutadores inalámbricos. Si los pongo en modo enrutador y los conecto como se muestra a continuación, ¿cómo configuro las reglas de enrutamiento y firewall para que los dispositivos conectados a cada enrutador formen una red y también tengan cierta protección contra el mundo exterior?
[Cable Modem]
192.168.0.1
│
├── Wireless Router #1 - 192.168.1.1
├── Wireless Router #2 - 192.168.1.2
└── Wireless Router #3 - 192.168.1.3
El cable módem hace NAT, es un servidor DHCP y tiene un switch de 4 puertos. Los 3 enrutadores inalámbricos son capaces de ejecutar dd-wrt.
Mi objetivo es tener 1 enrutador/firewall detrás del módem por cable, como en el primer diseño de red, o tener 3 enrutadores/firewalls detrás del módem por cable (evitando el costo de comprar un cuarto dispositivo) donde los 3 enrutadores/ Los cortafuegos pueden actuar como una sola red. No quiero simplemente poner puntos de acceso detrás del módem por cable.
Supongo que configuraría rangos de direcciones 192.168.1.X únicos en los servidores DHCP de cada uno de los 3 enrutadores.
Respuesta1
Suponiendo que ustedhacerrequiere un enrutador/firewall (digamos que el módem por cable no proporciona uno), tiene dos formas de hacerlo:
Método obvio: convierta el primer punto de acceso en un enrutador.
[Cable Modem]
192.168.0.1
│
└─[Wireless Access Point #1 & Router & Firewall]
192.168.1.1/24
│
├── Wireless Access Point #2 - 192.168.1.2/24
└── Wireless Access Point #3 - 192.168.1.3/24
Los puntos de acceso #2 y #3 permanecerían en modo puente.
Ventaja: esto le permite tener una única subred en todos los puntos de acceso (lo que permite el descubrimiento automático de dispositivos, como Chromecasts, etc.)
El otro método: tener subredes separadas.
Supongo que configuraría rangos de direcciones 192.168.1.X únicos en los servidores DHCP de cada uno de los 3 enrutadores.
No, configurarías un archivo 192.168.X.0 rangos de direcciones en cada enrutador.
[Cable Modem]
192.168.0.1/24
│
├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.2.1/24
├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.3.1/24
└── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.4.1/24
Cada enrutador debería, generalmente, tener su propia subred. Esto permite que cada enrutador tengarutashacia las subredes restantes. Por ejemplo, el enrutador n.° 1 podría tener una tabla de rutas:
DESTINATION GATEWAY INTERFACE
192.168.2.0/24 - lan
192.168.3.0/24 192.168.0.3 wan
192.168.4.0/24 192.168.0.4 wan
Desventaja: esto requiere que cada enrutador/AP tenga un SSID diferente (sin roaming automático porque las subredes son diferentes) y no permite el descubrimiento de dispositivos en diferentes subredes.
Desventaja: Requiere una configuración de firewall y NAT más compleja. Debe hacer que el tráfico a otras subredes LAN "pase" (se reenvíe sin ningún tipo de NAT). De manera similar, sus reglas de filtrado en cada enrutador deben aceptarentrantepaquetes de las subredes de otros enrutadores.
Aquí hay un ejemplo aproximado de iptables:
-t filter
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -j ACCEPT
-A FORWARD -s 192.168.3.0/24 -j ACCEPT
-A FORWARD -s 192.168.4.0/24 -j ACCEPT
-A FORWARD -j REJECT
-t nat
-A PREROUTING -d 192.168.2.0/24 -j ACCEPT
-A PREROUTING -d 192.168.3.0/24 -j ACCEPT
-A PREROUTING -d 192.168.4.0/24 -j ACCEPT
-A PREROUTING -o <wan> -j MASQUERADE (or SNAT or whatever)
Otro método más: tener una subred y tres servidores DHCP.
Probablemente puedas salirte con la tuya con esto:
[Cable Modem]
192.168.0.1/24
│
├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.1.1/24
│ │
├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.1.2/24
│ │
└── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.1.3/24
Sí, esto indica que las LAN de los tres enrutadores están conectadas para formar una única Ethernet, aunque es importantenoen un bucle (a menos que DDWRT admita RSTP, en cuyo caso enloquezca). Se requiere la interconexión de todas las LAN si desea un SSID común.
Sí, los tres enrutadores pueden utilizar DHCP. En esta situación, el rango de direcciones DHCP de cada enrutadordeberíaser diferente aunque de la misma subred (por ejemplo, 192.168.1.101–192.168.1.125, 192.168.1.126-192.168.1.150, etc.)
Ventaja: tiene una única subred: los tres AP pueden compartir el mismo SSID, el roaming funciona y el descubrimiento de dispositivos funciona.
Desventaja: solucionar este problema puede resultar molesto. El reenvío de puertos seráinfierno.
(Dicho esto, no es un método loco. Essimilara cómo las redes grandes implementan la conmutación por error del enrutador: tienen dos enrutadores que comparten la misma red Ethernet, la misma subred LAN,ycompartir una dirección IP utilizando un protocolo como VRRP. Entonces solo se necesita un servidor DHCP y un grupo).
Respuesta2
Parece que el módem por cable es más que un simple módem (porque tenía varios puertos Ethernet). Suponiendo que esté haciendo NAT, lo cual es razonable suponer)
Para configurar esto, deshabilitaría DHCP en los enrutadores DDWRT, los configuraría como AP con el mismo SSUD y contraseña (pero diferentes canales que no se superpongan) y conectaría etherenet desde el módem al puerto LAN; de esta manera, tiene tiempo La red donde el módem proporciona DHCP para todo y la itinerancia entre dispositivos es perfecta porque los AP actúan como puente en lugar de enrutamiento.