Я хочу создать беспроводную локальную сеть, в которой будет три отдельные точки доступа WiFi (соединенные друг с другом через кабель Ethernet), и где все клиенты, подключенные к этим точкам беспроводного доступа, смогут взаимодействовать друг с другом, находясь при этом за брандмауэром.
Если я добавлю еще одно устройство, маршрутизатор и брандмауэр, я знаю, как создать следующую конфигурацию сети:
[Cable Modem]
192.168.0.1
│
└─[Wireless Router & Firewall]
192.168.1.0
│
├── Wireless Access Point #1 - 192.168.1.1
├── Wireless Access Point #2 - 192.168.1.2
└── Wireless Access Point #3 - 192.168.1.3
Однако возможно ли добиться того же самого без добавления четвертого устройства?
Все 3 беспроводные точки доступа на самом деле являются беспроводными маршрутизаторами. Если я переведу их в режим маршрутизатора и подключусь, как показано ниже, как мне настроить правила маршрутизации и брандмауэра, чтобы устройства, подключенные к каждому маршрутизатору, образовали одну сеть и также имели некоторую защиту от внешнего мира?
[Cable Modem]
192.168.0.1
│
├── Wireless Router #1 - 192.168.1.1
├── Wireless Router #2 - 192.168.1.2
└── Wireless Router #3 - 192.168.1.3
Кабельный модем делает NAT, это DHCP-сервер и у него есть 4-портовый коммутатор. 3 беспроводных маршрутизатора могут работать под управлением DD-WRT.
Моя цель — иметь либо 1 маршрутизатор/брандмауэр за кабельным модемом, как в первой сетевой схеме, либо 3 маршрутизатора/брандмауэра за кабельным модемом (избегая расходов на покупку 4-го устройства), где все 3 маршрутизатора/брандмауэра могут работать как одна сеть. Я не хочу просто размещать точки доступа за кабельным модемом.
Я предполагаю, что настрою уникальные диапазоны адресов 192.168.1.X на DHCP-серверах каждого из трех маршрутизаторов.
решение1
Предполагая, что выделатьтребуется маршрутизатор/брандмауэр (допустим, кабельный модем его не предоставляет), сделать это можно двумя способами:
Очевидный метод: превратить первую точку доступа в маршрутизатор.
[Cable Modem]
192.168.0.1
│
└─[Wireless Access Point #1 & Router & Firewall]
192.168.1.1/24
│
├── Wireless Access Point #2 - 192.168.1.2/24
└── Wireless Access Point #3 - 192.168.1.3/24
Точки доступа №2 и №3 останутся в режиме моста.
Преимущество: это позволяет иметь единую подсеть для всех точек доступа (что позволяет автоматически обнаруживать устройства, например Chromecast и т. д.)
Другой метод: иметь отдельные подсети.
Я предполагаю, что настрою уникальные диапазоны адресов 192.168.1.X на DHCP-серверах каждого из трех маршрутизаторов.
Нет, вам нужно будет настроить уникальный адрес 192.168.0.1.ИксДиапазоны адресов .0 в каждом маршрутизаторе.
[Cable Modem]
192.168.0.1/24
│
├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.2.1/24
├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.3.1/24
└── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.4.1/24
Каждый маршрутизатор должен, как правило, иметь свою собственную подсеть. Это позволяет каждому маршрутизатору иметьмаршрутык остальным подсетям. Например, маршрутизатор №1 может иметь таблицу маршрутизации:
DESTINATION GATEWAY INTERFACE
192.168.2.0/24 - lan
192.168.3.0/24 192.168.0.3 wan
192.168.4.0/24 192.168.0.4 wan
Недостаток: для этого требуется, чтобы каждый маршрутизатор/точка доступа имел свой SSID (автоматический роуминг невозможен, поскольку подсети разные), и невозможно обнаруживать устройства в разных подсетях.
Недостаток: Требует более сложной конфигурации NAT и брандмауэра. Вам следует заставить трафик в другие подсети LAN "проходить" (пересылаться без какого-либо NAT). Аналогично, ваши правила фильтрации в каждом маршрутизаторе должны приниматьвходящийпакеты из подсетей других маршрутизаторов.
Вот примерный пример iptables:
-t filter
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -j ACCEPT
-A FORWARD -s 192.168.3.0/24 -j ACCEPT
-A FORWARD -s 192.168.4.0/24 -j ACCEPT
-A FORWARD -j REJECT
-t nat
-A PREROUTING -d 192.168.2.0/24 -j ACCEPT
-A PREROUTING -d 192.168.3.0/24 -j ACCEPT
-A PREROUTING -d 192.168.4.0/24 -j ACCEPT
-A PREROUTING -o <wan> -j MASQUERADE (or SNAT or whatever)
Еще один метод: иметь одну подсеть и три DHCP-сервера.
Вероятно, вам это сойдет с рук:
[Cable Modem]
192.168.0.1/24
│
├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.1.1/24
│ │
├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.1.2/24
│ │
└── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.1.3/24
Да, это означает, что все три маршрутизатора подключены к локальной сети Ethernet, хотя важнонетв цикле (если только DDWRT не поддерживает RSTP, в этом случае можно пойти на риск). Взаимосвязь всех локальных сетей необходима, если вам нужен общий SSID.
Да, все три маршрутизатора могут использовать DHCP. В этой ситуации диапазон адресов DHCP каждого маршрутизаторадолженбыть разными, хотя и из одной и той же подсети (например, 192.168.1.101–192.168.1.125, 192.168.1.126-192.168.1.150 и т. д.)
Преимущество: у вас есть одна подсеть — все три точки доступа могут использовать один и тот же SSID, работает роуминг, работает обнаружение устройств.
Недостаток: Устранение неполадок может стать раздражающим. Переадресация портов будетад.
(Тем не менее, это не безумный метод. Этопохожийкак крупные сети реализуют отказоустойчивость маршрутизаторов: у них есть два маршрутизатора, которые совместно используют один и тот же Ethernet, одну и ту же подсеть LAN,и(Обмен IP-адресом с использованием протокола, например VRRP. Тогда нужен только один DHCP-сервер и пул.)
решение2
Похоже, что кабельный модем — это больше, чем просто модем (потому что у него несколько портов Ethernet). Если предположить, что он выполняет NAT, что разумно предположить)
Для настройки я бы отключил DHCP на маршрутизаторах DDWRT, настроил бы их как точки доступа с одинаковым SSUD и паролем (но разными неперекрывающимися каналами) и подключил Ethernet от модема к порту LAN — таким образом, у вас будет временная сеть, в которой модем предоставляет DHCP для всего, а роуминг между устройствами будет бесшовным, поскольку точки доступа работают как мосты, а не маршрутизируют.