Quero criar uma WLAN onde eu tenha três pontos de acesso WiFi separados (conectados entre si via cabo Ethernet) e onde todos os clientes conectados a esses WAPs possam se comunicar entre si enquanto também estão protegidos por um firewall.
Se eu adicionar mais um dispositivo, um roteador e um firewall, sei como criar esta configuração de rede:
[Cable Modem]
192.168.0.1
│
└─[Wireless Router & Firewall]
192.168.1.0
│
├── Wireless Access Point #1 - 192.168.1.1
├── Wireless Access Point #2 - 192.168.1.2
└── Wireless Access Point #3 - 192.168.1.3
Porém, é possível fazer a mesma coisa sem adicionar um quarto dispositivo?
Todos os três pontos de acesso sem fio são, na verdade, roteadores sem fio. Se eu colocá-los no modo roteador e conectar conforme mostrado abaixo, como configuro as regras de roteamento e firewall para que os dispositivos conectados a cada roteador formem uma rede e também tenham alguma proteção do mundo exterior?
[Cable Modem]
192.168.0.1
│
├── Wireless Router #1 - 192.168.1.1
├── Wireless Router #2 - 192.168.1.2
└── Wireless Router #3 - 192.168.1.3
O modem a cabo faz NAT, é um servidor DHCP e possui um switch de 4 portas. Os 3 roteadores sem fio são capazes de executar dd-wrt.
Meu objetivo é ter 1 roteador/firewall atrás do modem a cabo, como no primeiro layout de rede, ou ter 3 roteadores/firewalls atrás do modem a cabo (evitando o custo de comprar um 4º dispositivo) onde todos os 3 roteadores/ firewalls podem atuar como uma rede. Não quero apenas colocar pontos de acesso atrás do modem a cabo.
Presumo que configuraria intervalos de endereços 192.168.1.X exclusivos nos servidores DHCP de cada um dos três roteadores.
Responder1
Supondo que vocêfazerprecisar de um roteador/firewall (digamos que o modem a cabo não forneça um), você tem duas maneiras de fazer isso:
Método óbvio: Transforme o primeiro ponto de acesso em um roteador.
[Cable Modem]
192.168.0.1
│
└─[Wireless Access Point #1 & Router & Firewall]
192.168.1.1/24
│
├── Wireless Access Point #2 - 192.168.1.2/24
└── Wireless Access Point #3 - 192.168.1.3/24
Os pontos de acesso nº 2 e nº 3 permaneceriam no modo bridge.
Vantagem: isso permite que você tenha uma única sub-rede em todos os pontos de acesso (permitindo a descoberta automática de dispositivos, como Chromecasts etc.)
O outro método: tenha sub-redes separadas.
Presumo que configuraria intervalos de endereços 192.168.1.X exclusivos nos servidores DHCP de cada um dos três roteadores.
Não – você configuraria 192.168.0.0 exclusivo.X.0 intervalos de endereços em cada roteador.
[Cable Modem]
192.168.0.1/24
│
├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.2.1/24
├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.3.1/24
└── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.4.1/24
Cada roteador geralmente deve ter sua própria sub-rede. Isso permite que cada roteador tenharotaspara as sub-redes restantes. Por exemplo, o roteador nº 1 poderia ter uma tabela de rotas:
DESTINATION GATEWAY INTERFACE
192.168.2.0/24 - lan
192.168.3.0/24 192.168.0.3 wan
192.168.4.0/24 192.168.0.4 wan
Desvantagem: Isso exige que cada roteador/AP tenha um SSID diferente (sem roaming automático porque as sub-redes são diferentes) e não permite a descoberta de dispositivos em diferentes sub-redes.
Desvantagem: Requer configuração de NAT e firewall mais complexa. Você deve fazer o tráfego para outras sub-redes da LAN "passar" (ser encaminhado sem qualquer tipo de NAT). Da mesma forma, suas regras de filtro em cada roteador devem aceitarentradapacotes de sub-redes de outros roteadores.
Aqui está um exemplo aproximado de iptables:
-t filter
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -j ACCEPT
-A FORWARD -s 192.168.3.0/24 -j ACCEPT
-A FORWARD -s 192.168.4.0/24 -j ACCEPT
-A FORWARD -j REJECT
-t nat
-A PREROUTING -d 192.168.2.0/24 -j ACCEPT
-A PREROUTING -d 192.168.3.0/24 -j ACCEPT
-A PREROUTING -d 192.168.4.0/24 -j ACCEPT
-A PREROUTING -o <wan> -j MASQUERADE (or SNAT or whatever)
Ainda outro método: tenha uma sub-rede e três servidores DHCP.
Você provavelmente pode se safar disso:
[Cable Modem]
192.168.0.1/24
│
├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.1.1/24
│ │
├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.1.2/24
│ │
└── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.1.3/24
Sim, isso indica que todas as LANs dos três roteadores estão conectadas para formar uma única Ethernet – embora seja importantenãoem um loop (a menos que DDWRT suporte RSTP; nesse caso, vá à loucura). A interconexão de todas as LANs é necessária se você quiser um SSID comum.
Sim, todos os três roteadores podem usar DHCP. Nesta situação, o intervalo de endereços DHCP de cada roteadordeveser diferente, embora seja da mesma sub-rede (por exemplo, 192.168.1.101–192.168.1.125, 192.168.1.126-192.168.1.150, etc.)
Vantagem: você tem uma única sub-rede – todos os três APs podem compartilhar o mesmo SSID, o roaming funciona e a descoberta de dispositivos funciona.
Desvantagem: solucionar esse problema pode ser irritante. O encaminhamento de porta seráinferno.
(Dito isto, não é um método maluco. Ésemelhantecomo grandes redes implementam failover de roteador: elas têm dois roteadores compartilhando a mesma Ethernet, a mesma sub-rede LAN,ecompartilhando um endereço IP usando um protocolo como VRRP. Somente um servidor DHCP e um pool serão necessários.)
Responder2
Parece que o modem a cabo é mais do que apenas um modem (porque tinha várias portas Ethernet). Supondo que esteja fazendo NAT, o que é razoável acrescentar)
Para configurar isso, eu desabilitaria o DHCP nos roteadores DDWRT, configuraria-os como APs com o mesmo SSUD e senha (mas diferentes canais não sobrepostos) e conectaria Ethernet do modem à porta LAN - desta forma você tem um tempo A rede onde o modem fornece DHCP para tudo e o roaming entre dispositivos é contínuo porque os APs fazem ponte em vez de roteamento.