Cara mengkonfigurasi jaringan ini: beberapa titik akses nirkabel bertindak sebagai router

0

Saya ingin membuat WLAN di mana saya memiliki 3 titik akses WiFi terpisah (terhubung satu sama lain melalui kabel Ethernet) dan di mana semua klien yang terhubung ke WAP ini dapat berkomunikasi satu sama lain sementara juga berada di belakang firewall.

Jika saya menambahkan satu perangkat lagi, router dan firewall, saya tahu cara membuat konfigurasi jaringan ini:

[Cable Modem]
192.168.0.1
│
└─[Wireless Router & Firewall]
        192.168.1.0
        │
        ├── Wireless Access Point #1 - 192.168.1.1
        ├── Wireless Access Point #2 - 192.168.1.2
        └── Wireless Access Point #3 - 192.168.1.3

Namun, mungkinkah mencapai hal yang sama tanpa menambahkan perangkat ke-4?

Semua 3 titik akses nirkabel sebenarnya adalah router nirkabel. Jika saya menempatkan mereka dalam mode router dan terhubung seperti yang ditunjukkan di bawah ini, bagaimana cara mengatur aturan perutean dan firewall sehingga perangkat yang terhubung ke setiap router membentuk satu jaringan dan juga memiliki beberapa perlindungan dari dunia luar?

[Cable Modem]
192.168.0.1
│
├── Wireless Router #1 - 192.168.1.1
├── Wireless Router #2 - 192.168.1.2
└── Wireless Router #3 - 192.168.1.3

Modem kabel tidak NAT, itu adalah server DHCP dan memiliki 4 port switch. 3 router nirkabel mampu menjalankan dd-wrt.

Tujuan saya adalah memiliki 1 router / firewall di belakang modem kabel, seperti pada tata letak jaringan pertama, atau memiliki 3 router / firewall di belakang modem kabel (menghindari biaya membeli perangkat ke-4) di mana ketiga router tersebut / firewall dapat bertindak sebagai satu jaringan. Saya tidak ingin hanya meletakkan titik akses di belakang modem kabel.

Saya berasumsi saya akan mengatur rentang alamat 192.168.1.X yang unik di server DHCP masing-masing dari 3 router.

MountainX
sumber
Apakah Anda ingin titik akses berada dalam mode router? Seperti yang dicatat davidgo, Anda sudah memiliki router / firewall - "perangkat ke-4" adalah modem kabel Anda. (Seperti biasa untuk kabel "modem".)
grawity
@grawity - Saya tidak percaya dengan keamanan modem kabel. Saya lebih suka memiliki 1 atau 3 router di belakangnya. Saya memperbarui pertanyaan untuk mengklarifikasi itu. Terima kasih.
MountainX
Bisakah Anda memposting membuat / model router nirkabel? Jika mereka adalah router nirkabel dan memiliki switch ethernet di belakang maka Anda dapat menggunakan salah satu dari tiga titik akses sebagai router DAN AP, kemudian hubungkan router lain (dalam mode AP) ke "router" AP
Kinnectus
@Kinnectus - ya, mereka adalah router nirkabel dengan switch ethernet. Netgear R7000.
MountainX
@MountainX - jawaban grawity sepertinya cukup tepat dengan apa yang saya pikirkan ... sangat banyak sehingga komentar saya dan jawabannya tampak seperti mereka diposting secara bersamaan! Untuk satu subnet 9 di mana semua perangkat dapat berbicara / menemukan satu sama lain) maka metode 1 .... juga sangat mudah dicapai. Sebuah konfigurasi kecil di mana Anda harus memberikan masing-masing AP IP mereka sendiri di luar kolam DHCP, buat kolam DHCP pada router # 1 dan matikan DHCP pada semua AP lainnya.
Kinnectus

Jawaban:

3

Dengan asumsi Anda memang membutuhkan router / firewall (misalkan modem kabel tidak menyediakan satu), Anda memiliki dua cara untuk melakukan ini:

Metode yang jelas: Ubah jalur akses 1 menjadi router.

[Cable Modem]
192.168.0.1
│
└─[Wireless Access Point #1 & Router & Firewall]
        192.168.1.1/24
        │
        ├── Wireless Access Point #2 - 192.168.1.2/24
        └── Wireless Access Point #3 - 192.168.1.3/24

Jalur akses # 2 dan # 3 akan tetap dalam mode jembatan.

Keuntungan: Ini memungkinkan Anda memiliki satu subnet di semua titik akses (memungkinkan penemuan perangkat otomatis, seperti untuk Chromecasts & c.)

Metode lainnya: Memiliki subnet yang terpisah.

Saya berasumsi saya akan mengatur rentang alamat 192.168.1.X yang unik di server DHCP masing-masing dari 3 router.

Tidak - Anda akan menyiapkan 192.168 unik. Rentang alamat X .0 di setiap router.

[Cable Modem]
192.168.0.1/24
│
├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.2.1/24
├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.3.1/24
└── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.4.1/24

Setiap router harus, secara umum, memiliki subnet sendiri. Ini memungkinkan setiap router memiliki rute menuju subnet yang tersisa. Misalnya, router # 1 dapat memiliki tabel rute:

DESTINATION        GATEWAY        INTERFACE
192.168.2.0/24     -              lan
192.168.3.0/24     192.168.0.3    wan
192.168.4.0/24     192.168.0.4    wan

Kekurangan: Ini mengharuskan setiap router / AP untuk memiliki SSID yang berbeda (tidak ada roaming otomatis karena subnet berbeda), dan tidak memungkinkan penemuan perangkat di subnet yang berbeda.

Kerugian: Membutuhkan konfigurasi NAT dan firewall yang lebih kompleks. Anda harus membuat lalu lintas ke subnet LAN lain "pass through" (diteruskan tanpa NAT). Demikian pula, aturan filter Anda di setiap router harus menerima paket yang masuk dari subnet router lain.

Berikut ini contoh iptables kasar:

-t filter
    -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -s 192.168.2.0/24 -j ACCEPT
    -A FORWARD -s 192.168.3.0/24 -j ACCEPT
    -A FORWARD -s 192.168.4.0/24 -j ACCEPT
    -A FORWARD -j REJECT
-t nat
    -A PREROUTING -d 192.168.2.0/24 -j ACCEPT
    -A PREROUTING -d 192.168.3.0/24 -j ACCEPT
    -A PREROUTING -d 192.168.4.0/24 -j ACCEPT
    -A PREROUTING -o <wan> -j MASQUERADE (or SNAT or whatever)

Namun metode lain: Memiliki satu subnet dan tiga server DHCP.

Anda mungkin bisa lolos dengan ini:

[Cable Modem]
192.168.0.1/24
│
├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.1.1/24
│                                           │
├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.1.2/24
│                                           │
└── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.1.3/24

Ya, ini menunjukkan ketiga LAN router terhubung untuk membentuk ethernet tunggal - meskipun penting tidak dalam satu lingkaran (kecuali DDWRT mendukung RSTP, dalam hal ini menjadi liar). Interkoneksi semua LAN diperlukan jika Anda menginginkan SSID yang umum.

Ya, ketiga router dapat melakukan DHCP. Dalam situasi ini, setiap kisaran alamat DHCP router harus berbeda walaupun dari subnet yang sama (mis. 192.168.1.101–192.168.1.125, 192.168.1.126-192.168.1.150, dll.)

Keuntungan: Anda memiliki satu subnet - ketiga AP dapat berbagi SSID, karya roaming, dan penemuan perangkat yang sama.

Kerugian: Mengatasi masalah ini bisa mengganggu. Port-forwarding akan menjadi neraka .


(Yang mengatakan, itu bukan metode gila. Ini mirip dengan bagaimana jaringan besar mengimplementasikan failover router: mereka memiliki dua router berbagi ethernet yang sama, subnet LAN yang sama, dan berbagi alamat IP menggunakan protokol seperti VRRP. Hanya satu server DHCP dan diperlukan kolam renang.)

grawity
sumber
Terima kasih atas jawaban komprehensifnya. Alasan utama saya tidak melakukan solusi jelas Anda adalah karena saya ingin belajar tentang alternatif. Anda membantu saya memahami alternatifnya. Pada akhirnya, saya pikir saya akan melakukan solusi yang paling jelas sekarang karena saya mengerti kelemahan dari solusi yang lain.
MountainX
Bukankah solusi termudah, yang sepenuhnya memenuhi masalah, seringkali merupakan yang terbaik?
Kinnectus
@Kinnectus: Tidak selalu. Menumpuk dua router NAT sepertinya merupakan solusi termudah bagi sebagian besar (secara harfiah menyambungkan dua router nirkabel), namun ia memiliki semua kelemahan: tidak ada roaming nirkabel, tidak ada penemuan perangkat, tidak ada jangkauan dua arah antara subnet, tidak ada penerusan port UPnP otomatis, port sulit meneruskan semua lapisan ...
grawity
Saya baru saja memeriksa dan dd-wrt tampaknya memiliki STP (Tidak yakin tentang RSTP.). Saya tidak tahu persis bagaimana spanning tree protocol akan digunakan dalam situasi saya, jadi saya akan mencarinya dan mengajukan pertanyaan baru jika diperlukan.
MountainX
RSTP hanyalah catatan samping. (Ini adalah protokol untuk deteksi loop Ethernet dan failover.)
grawity
1

Sepertinya modem kabel lebih dari sekedar modem (karena memiliki beberapa port Ethernet). Dengan asumsi itu melakukan NAT, yang masuk akal untuk menambahkan)

Untuk mengatur ini saya akan menonaktifkan DHCP pada router DDWRT, konfigurasikan mereka sebagai AP dengan SSUD dan kata sandi yang sama (tetapi saluran non-tumpang tindih yang berbeda) dan hubungkan etherenet dari modem ke port LAN s - dengan cara ini Anda punya waktu Jaringan di mana modem menyediakan DHCP untuk semuanya dan roaming antar perangkat mulus karena AP sedang menjembatani daripada routing.

davidgo
sumber
memperbarui pertanyaan
MountainX