Eu tenho um servidor rodando Lubuntu com IP 192.168.1.11/24. O servidor DHCP está em execução e distribuindo IPs para toda a sub-rede.
192.168.1.1 é meu roteador doméstico que está roteando todo o outro tráfego para 192.168.0.1, que é o roteador do meu ISP.
Tudo funciona como esperado, o comando route me dá
Destination Gateway Genmask Flags Metric Ref Use Iface
default router.asus.com 0.0.0.0 UG 100 0 0 enp0s31f6
192.168.1.0 * 255.255.255.0 U 100 0 0 enp0s31f6
Portanto, todo o tráfego é roteado via 192.168.1.1.
Agora estou tentando configurar uma segunda NIC no servidor. A única tarefa desta NIC seria distribuir endereços DHCP para a sub-rede 192.168.0.0/24, nada mais.
Meu problema: assim que configuro o endereço IP estático para 192.168.0.2, a tabela de roteamento é atualizada:
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.1.1 0.0.0.0 UG 100 0 0 enp0s31f6
192.168.0.0 * 255.255.255.0 U 100 0 0 enx00e04c20e315
192.168.1.0 * 255.255.255.0 U 100 0 0 enp0s31f6
É claro que isso faz sentido, já que enx00e04c20e315 agora pertence à sub-rede 192.168.0.0/24 e certamente é mais rápido usar essa rota para a sub-rede.
Tentei excluir a rota manualmente, mas não consegui.
Como posso configurar o enx00e04c20e315 para lidar apenas com solicitações DHCP e ainda rotear todo o outro tráfego por meio de enp0s31f6 ?
Fundo
A configuração talvez seja um pouco estranha, então deixe-me dar algumas informações básicas. Estou usando VLANs para separar a rede. Há uma VLAN 1 padrão, onde está a maioria das portas. E há uma VLAN 2 para WAN. Somente a porta WAN dos meus roteadores e o roteador ISP fazem parte da VLAN 2.
Estou tentando configurar uma WLAN convidada no meu roteador. Para que isso funcione, é necessário que haja um servidor DHCP no lado WAN do roteador, ou seja, na VLAN 2. É por isso que estou configurando uma segunda NIC e também a adicionei à VLAN 2. Agora, se algum dispositivo convidado se conectar, ele deve obter o endereço DHCP do servidor e passar diretamente por 192.168.0.1 sem nunca chegar à rede interna.
Muito obrigado
Responder1
Uma opção para fazer isso seria configurar um servidor DHCP em uma VM no seu sistema e conectar a segunda NIC à VM. Dê a essa VM um endereço IP na rede 192.168.0.0/24. Ele será capaz de distribuir endereços nessa rede, mas manterá algum isolamento seguro da sua rede principal. Você pode conectar uma NIC a uma VM sem atribuir um endereço IP a ela e, assim, mantê-la fora das tabelas de roteamento do host.
Observe que isso ainda não é totalmente seguro, pois seu sistema principal permaneceria vulnerável a ataques de camada 2 da rede convidada e um comprometimento da VM poderia potencialmente sair da VM se houvesse um bug no hipervisor. A importância dessas considerações para você depende exatamente de quão seguro você está tentando tornar isso.