Questão Separando a conectividade entre dois roteadores


Precisamos de redes Ethernet separadas com todo o tráfego de rede que passa pelo modem / roteador emitido pelo ISP (ZyXEL P2812) (possivelmente com suas funções sem fio desabilitadas e definidas para o modo bridge).

Estamos planejando usar dois roteadores para o tráfego de rede sem fio. Asus AC87U e NetGear WNR612.

o Asus roteador seria o roteador principal, lidando com as tarefas mais importantes, eo NetGear roteador seria o roteador “escravo”.

A solução ideal seria ter os dois roteadores agindo independentemente uns dos outros. Onde os dispositivos conectados ao i.e. Asus roteador não teria como se comunicar com o NetGear roteador e vice-versa.

Illustration

Os dispositivos de rede no diagrama são os dispositivos reais que tenho à mão. Usar outro hardware também é uma possibilidade.

Parece um cenário bastante simples, mas não tenho certeza de como configurá-lo corretamente.

Basicamente, funcionaria como se fossem duas casas diferentes em duas redes diferentes. Não deve haver nenhuma maneira de se comunicar com a outra rede sem estar conectado ao roteador correspondente.

Quaisquer pensamentos que não sejam grandes o suficiente para uma resposta ainda são bem-vindos como comentários.


0


origem


O que você quer dizer com "separado redes ethernet "e por que eles precisam ser separados? - harrymc
@harrymc Fazendo os roteadores funcionarem como se eles não estivessem conectados uns aos outros de alguma forma. A razão para isso é simplesmente por causa de dispositivos não usados ​​na rede escrava. - Aleksander Azizi


Respostas:


Uma quantidade enorme depende do hardware exato que você tem, como está conectado e da sua confiança na rede. Você pode adicionar uma lista de modelos exatos dos 3 itens de WiFi e equipamento de roteamento na sua foto, incluindo a caixa real conectando você à internet se for diferente (fotos não são de uso algum) e um pouco de descrição de sua confiança, experiência ou capacidade, para a pergunta?

Também é importante, precisamos saber mais detalhes exatos de como a rede deve acabar. Todas as conexões são WiFi ou existem dispositivos conectados usando cabos de rede? Em caso afirmativo, qual? Quantos dispositivos estão conectados no total, que estão conectados e quais são conectados (WiFi / com fio)? Quais devem ser capazes de falar uns com os outros, ou impedidos de ver um ao outro?

É um pouco de informação, mas se você pode adicioná-lo, alguém pode ser capaz de lhe responder e ajudar.

Como está, uma boa resposta para você pode ser qualquer coisa, desde "embutido, faça assim", até "instalar o OpenWRT porque o código do fabricante não permite", para completar a ajuda do noob ou reorganizar tudo . O que eu faço aqui é outra solução diferente - adicione um roteador de software que eu mesmo instalei para controlar o acesso. Então você pode ver, existem várias opções dependendo de você e seu equipamento. Mas o que você procura não deve ser difícil, para quase qualquer roteador, até mesmo um roteador doméstico.

As respostas básicas são adicionar regras de firewall ou roteamento (para que os dois IPs não possam se comunicar), usando isolamento interno, se incluído, ou usando VLANs. Os dois primeiros são geralmente mais fáceis se são novos para você. Nem todos os roteadores domésticos têm o segundo. Quase todos os roteadores domésticos têm capacidade suficiente para fazer isso usando regras e / ou roteamento. Em muitos casos, depende de quais dispositivos exatos na rede precisam ser capazes de ver (ou não ver) quais outros dispositivos e como estão conectados.

Detalhes exatos além disso são quase impossíveis sem conhecer as informações acima. Se você adicionar isso, será mais fácil comentar.

Atualização 1: segurança / privacidade 

  • Lembre-se de que, se os dados de um roteador trafegarem pelo outro roteador, o roteador mestre será confiável para não assistir aos dados em trânsito. Mesmo que as duas redes não se comuniquem, o roteador pelo qual ambas as viagens podem ver todos os dados, para que qualquer pessoa que controle esse dispositivo possa organizar todos os dados. Isso é aceitável?

Atualização 1: howto 

O Asus RT-AC87U é um roteador moderno muito bem caracterizado que, sem dúvida, fará o que você precisa sem pensar duas vezes. O manual (on-line no suporte da Asus) sugere imediatamente várias maneiras de fazê-lo. Dois deles parecem muito fáceis. Outros métodos precisariam de um pouco mais de explicações e não há sentido em escrever sobre isso, se um dos dois primeiros funcionar bem o suficiente.

  • Seção 3.2 "Criando uma rede de convidado" - cria uma rede de convidado que não pode acessar sua rede principal, diretamente na Asus. Pros - parece morto simples, menos para dar errado, e deve fazer o que quiser. Contras - pessoa usando o roteador escravo não terá um roteador escravo, uma vez que não será necessário, eles se conectariam diretamente à Asus, que lidaria com o isolamento em si. Esta é de longe a maneira mais fácil, se aceitável.
  • O zyxel pode estar bloqueado, mas provavelmente está funcionando bem no modo de ponte. Mesmo que o ISP tenha colocado fita em outras portas, como alguns fazem, elas ainda devem ser conectadas se puderem ser usadas. Eu não posso pensar porque eles não seriam deixados assim. Como o Zyxel quase certamente tem sua configuração DHCP funcionando (sabemos disso porque ele funciona como um roteador e não apenas como um modem), ele irá lidar com dispositivos conectados através dos outros dois roteadores. Então, se você puder, tente se conectar ambos o Asus eo Netgear diretamente para ele, e ver se eles podem ambos veja a internet ao mesmo tempo. Se eles puderem, está tudo muito bem resolvido. O que isto faz é fazer com que o Netgear apareça no Asus como um dispositivo WAN (não local), que pode ser facilmente bloqueado em 100% e tratado como não confiável. (Também faz a Asus parecer estar na WAN do ponto de vista da Netgear, mas isso não é um problema, como você explicou). Você precisará classificar o DHCP, mas como o ISP fornece o Zyxel, é bem provável que ele já esteja configurado corretamente e funcione automaticamente. O que deve acontecer é que o Asus e o Netgear (e dispositivos conectados a eles) aceitarão endereços IP do Zyxel, já que você já parece ter o Asus por trás do Zyxel, e então configurar os serviços de rede ou firewall ou regras de entrada. , para evitar pacotes inesperados de fora do Asus passando pelo Asus. Pros-tudo, se funciona (o que deveria). Contras - nenhum se funciona (o que deveria :))

Tente obter uma dessas duas maneiras de trabalhar. Se precisar de mais ajuda, atualize sua pergunta para explicar o que você tentou, o que funcionou e o que ainda não está funcionando.

Veja também

  • seção 4.1.6 "profissional" abrange o "AP isolamento" configuração que provavelmente não é o que você quer, mas vale a pena conhecer, caso se torne relevante. Isso impediria a intercomunicação de todos os dispositivos sem fio conectados à Asus.
  • seção 4.6.4 "serviços de rede", que cobre parte do firewall. Ele diz "bloqueia LAN para WAN", mas há uma chance de também ser usado para bloquear LAN de / para WiFi usando uma regra baseada em IP, e se ambos os roteadores trabalharem atrás do zyxel é provavelmente o que você precisa para bloquear os pacotes recebidos o netgear.

Além disso, se confiante, não negligencie a opção de definir um intervalo de IP específico (sub-rede) para dispositivos conectados ao Asus, ou para usar o servidor DHCP integrado, o que também ajudará, garantindo que seus dispositivos "principais" sejam em uma sub-rede diferente inteiramente dos outros. Consulte as seções 3.1.1 "configurando as configurações de segurança sem fio" e 4.2.2 abrange a configuração de rede para a rede com fio.


1



Atualizado com o hardware usado. Todas as conexões serão sem fio. Uma lista de entrada de dispositivos "separados" só funcionaria se fosse dinâmica. Em suma, a solução tornaria cada roteador independente entre si (exceto pelo fato de compartilharem a mesma conexão de saída). - Aleksander Azizi
Você pode identificar o dispositivo ISP também. Geralmente, essas marcas são renomeadas, dê uma olhada nos rótulos e embaixo, para ver se você pode dizer ao fabricante ou à marca, seja nos rótulos ou números de produto, ou pesquisando na USP ou na foto. - Stilez
Também parece que todos os equipamentos da esquerda devem intercomunicar e todos os equipamentos à direita se intercomunicar, com um roteador dedicado a este último. Isso é correto, pode ser flexível ou é a única maneira de organizá-lo? - Stilez
O dispositivo ISP é um ZyXEL P2812. Se eu entendi corretamente, então sim. Os dispositivos do lado esquerdo só poderiam se comunicar com os dispositivos à esquerda. E vice-versa para o lado direito. Sem exceções. - Aleksander Azizi
Isso é bom. Uma pergunta, o zyxel, que parece ser um P2812 HNU-F1 da sua descrição, também é um roteador sem fio, assim como suporta openWRT se você quiser seguir essa rota (você provavelmente não Apesar). Ele também tem conexões para 4 roteadores na parte de trás. O ISP bloqueou ou minimizou seu painel de controle, ou você pode acessar e configurar o próprio Zyxel? Se você puder, isso pode ser uma boa solução. Se não nos deixar saber. - Stilez


Para separar dispositivos no roteador secundário daqueles no principal, basta conectar o secundário em uma das portas LAN do principal:

image

Para mais informações, veja esta resposta meu.


-1



Isso não bloquearia a comunicação entre os dispositivos conectados a cada roteador. Ou seja, um iPhone no roteador secundário ainda pode se conectar à Apple TV no roteador principal. - Aleksander Azizi
Isso não garante nada do jeito que está, porque muitos roteadores configuram suas portas LAN como ponte. Para fazer melhor, precisamos saber qual é o modem / roteador principal, para que possamos decidir se separar as redes no roteador principal, pelos fios no roteador 1, usando o roteador 2 como um AP sem fio ou algum outro método é melhor aqui, qual roteador é melhor posicionado como mestre / escravo (pode ser importante em alguns casos, se os recursos diferirem), e se o elemento de isolamento é configurado por meio de regras de firewall ou uma configuração simples "isolado vs em ponte" em um deles. Também pode ter problemas NAT / wifi em alguns casos. - Stilez
@AleksanderAzizi: Não é verdade, como seria em diferentes segmentos IP. - harrymc
@Stilez: Com a configuração correta, isso é garantido. Na verdade, seria preciso fazer alguma coisa para permitir conexões entre as duas sub-redes. - harrymc
Não parece assim. Há muitas suposições implícitas sobre quais regras ou sub-redes estariam no lugar para cada roteador por padrão, e que não seria bridging aberto / NAT. Mas uma série de roteadores se conectam sem fio e com fio, não há como ter certeza, e muitas suposições sobre o estado padrão de ambos, qual NAT é usado, qual dhcpd é captado pelo roteador 2, etc. Em última análise, o roteador 2s wan é conectado ao roteador 1s lan, portanto, se regras adequadas não existirem, o roteador 2 pode ser configurado por seu usuário para que os clientes possam acessar os dispositivos do roteador 1 como qualquer outro dispositivo móvel. - Stilez