Sieć LAN-WAN i dostęp do Internetu dla rejestratora

[orzelpolski]

Cześć,

 

mam trzy routery:

 

R1 GŁÓWNY ROUTER PODŁĄCZONY PRZEZ WAN DO MODEMU UPC, STAŁY ZEW. ADRES IP NA WAN. W LAN ROUTER MA 192.168.50.1, SERWER DHCP WŁĄCZONY DLA 192.168.50.100-200

R2 ROUTER W LAN 192.168.2.1, ROUTER W WAN 192.168.50.2, BRAMA WAN 192.168.50.1? DHCP WŁĄCZONE DLA 192.168.2.100-200?

R3 ROUTER W LAN 192.168.1.1, ROUTER W WAN 192.168.50.3 , BRAMA WAN 192168.50.21? DHCP WŁĄCZONE DLA 192.168.1.100-200?

 

Jak ustawić trasowanie Internetu dla R2 i R3?

 

Jak włączyłem DMZ, to w sieci R2 rejestrator na ip 192.168.2.129 jest niewidoczny w aplikacji na telefonie poza siecią. Dopiero jak rejestrator ze switchem przepne na R1 widać go w Intertnecie.

 

Jak ustawić R1, R2, R3 żeby mieć Internet również w sieci R2, R3?

 

Ustawienie np routingu statycznego dla R2:

 

Source IP w ustawieniach R2 192.168.50.2? Zrodlo czyli WAN IP R2?

Destination IP 192.168.50.1? Cel czyli R1?

Brama IP? 

 

Jest jakiśmateriał w Internecie któy wytłumaczy na przykładach a nie teorii jak to działać powinno? Dziękuję Państwu za pomoc.

 

 

 

 

 

[Bors]

Cześć

 

Po pierwsze po co Ci trasowanie? Jak potrzebujesz mieć tylko dostep do neta dla tych urzadzen to najlepiej jak by były w tej samej sieci przeźroczyste i to z kilku powodów pierwszy nie będziesz miał 4 natów po drodze, dwa, za każdym razem jest inny DHCP który będzie sie wykluczał w dzierżawie trzy, pingi możesz mieć wyższe bo HOP następnego urzdzenia sie wydłuża.

Wyprzedzac twoja odpowiedz.

 

Ja bym wszystkie te zabawki zrobił w AP i to bez żadnych wizadrów

2. Wyłaczył DHCP i NAT na wszystkich urzdzeniach po za tym z UPC to jest bardzo ważne!!

3 zostawił adresacje taka jak ma ten z UPC. np. ten ostatni na 254 przed ostatni na 253 i pierwszy na 252

4 wpiał każdy AP do gniazda LAN żeby dostawać z sieci to co sie chchce dalej wysłać

5 wywalił te DMZ-ty bo to tylko komplikuje cała sytuacje

6. przeadresował ten rejestrator do sieci z UPS

 

Jeżli chcesz miec dwie sieci to tylko możesz używac VLANów i dopiero możesz to podzielić na adresacje, ale to tylko skoplikuje bo ruting między vlanami będzie na ruterze i jak tego nie wytniesz jakas ACL to i tak z jednej sieci będzie widać druga. DMZ to możesz sobie zrobić na łaczach backupowych a nie na sieci w lokalu bo to jest juz dosc skoplikowana procedura i sama zahaczajka nie uruchomi ci wszytskiego

 

[orzelpolski]

Część Borys,

 

dziękuję za Twoją odpowiedź. Czy mógłbyś wytłumaczyć mi o co Ci chodzi żeby wyłączyć NAT? Czyli wyłączyć firewalla dla R2, R3? DHCP mam wyłączone, mam R2, R3 jako AP, podpięte tylko są wejścia LAN w R2, R3, bez podłączania pod WAN. Wolno chodzi i jak ktoś z gości podłączył się pod AP swoim routerem Tenda i ma włączone dhcp to na komputerze stacjonarnym podpiętym pod R2 mam dhcp nadane przez router Tendy gościa... goście przywożą różne rzeczy i podpinają pod sieć. dzieją się cuda, dlatego chcę wydzielić sieć dla mniej ważnych gości oraz dla strategicznych.

 

 

Ogólnie jak odpiąłem całą sieć, zostawiłem tylko router główny z dostępem do Internetu i 5 punktów dostępowych bez R2 i R3 to pingi spadły, strony ładowały się w mig. Podłączyłem z powrotem wolno wszystko chodzi i się piernandoli jak coś goście połączają pod sieć.

 

Muszę się podszkolić z tym konfigurowaniem sieci korzystając z podłączenia pod WAN. Bo muszę wydzielić sieć dla gości w hostelu i wydzielić osobną sieć dla kamer dla bezpieczeństwa, sieć innych urządzeń w firmie. Nie chce żeby ktoś widział w ogóle kamery w sieci dla gości.

[Bors]

Siemka

 

Już śpiesze sie z wyjaśnieniem żeby było jaśniesze.

 

Tak rozumiem Cie juz o co chodzi, Po pierwsze (tak z grubsza)  jak byś sieci nie miał dobrze skonfigurowanej i podłączysz jakiś ruter który zaczyna rozdawać swoje adresy to jest efekt "lewego DHCP"

dzieje sie tak że serwer DHCP wysyła ACK do klientów (np. telefon, lapek)  którzy sie łączą i dostają adresacje od DHCP'a z którym szybciej wynegocjują adresacje. od strony Klinenta wygląda to że dostał poprawny adres dns etc. ale nie wie gdzie jest internet i wysyła broadcastem zapytanie do tego serwera (gateway) a ten nie wie co z tym zrobić bo pakiety sie zapętlają, jeszcze pół biedy jak rozgłasza różne sieci ale jak są takie same to każdy z ruterów myśli że ma wyjście na świat. Więc trzeba kategorycznie tego zabronić.

 

Po drugie

Wyłączenie DHCP i NATÓW

 

Każdy ruter czy AP działający w warstwie 3ciej jak już wiesz posiada możliwość trasowania ruchu co składa sie na NAT czyli tłumaczenie adresów publicznych na adresy prywatne, 

ruter nie wie co jest adresem publicznym a co prywatnym, dlatego tłumaczy to co dostał od LANu na WAN, A jak jest włączony to stara sie pchać to na WAN i żeby to wyłączyć:

w zależności od zabawek jakie tam masz, 

przeważnie jest to w obrębie konfiguracji WAN/DHCP/FIREWALL, czasem też jest zakładka NAT, wyłączasz NAT i dhcp żeby nie powodowało i nie próbowało rozdzielać adresów z LAN. W Każdej sieci jest konieczny i potrzebny tylko jedna bramka NAT w twoim przypadku UPC powinno zostać NATem i DHCPem i DNSem

Czasem jak wyłączych DHCP to automatycznie również NAT zostanie wyłączony

 

I teraz jak ja bym to zrobił na twoich ruterach

 

Podłączył R1 do lan zaadresował bym statyczie żeby mieć do niego wjazd z każdego miejsca np. jak masz sieć z UPC 192.168.1.x to na rutery i neuralgiczne urządzenia od góry adresował np. R1 251, R2 252, R3 253 i powyłączał to wszytsko (DHCP,NAT,DNS), następnie sprawdził czy pingi są stabilne wpinając sie kablem do lanu i czy sieć nie rwie i to samo bym zrobił nalaogicznie z R2 i R3. I szukał czy masz opcje DHCP Snooping -to jest zabezpieczenie przed lewym DHCP i zarazem natem, ustawił UPLINK na DHCP Snooping trust co znaczy że ufasz tylko zapytaniom ACK przychodzące z portu źródłowego.

 

 

I teraz jak to można zrobic jak ty oczekujesz:

 

1 UCP przerobił na Brigde, (jeżeli jest taka możliwość) 

2. Postawił swój ruter i skonfigurwał bym VLANY 10 KAMERY 20 MANAGMENT(wjazd do wszytkiego) 30 OFFICE (komputery służbowe drukarki inne pierdy ALE TYLKO SŁUŻBOWE do kórych tylko pracownicy mają dostęp) Jak masz telefony to 40 na VOIP i dla gości 50, 51, 52,53 (w zależności ile masz pięter) a jak masz mało pokoi to każdy pokój w swoim vlanie

3 uruchomił na tylko koniecznych sieciach DHCPa 

4 zrobił reguły PERMIT i DENAY dla sieci które mają być widoczne,

5 oczywiście zablokował DHCP Sooping LOOP protect.

6, sprawdził dlaczego ludzie podłaczają swoje zabawki (mały zasięg wi-fi?)

7. wydzielił oddzielny WLAN dla każdej z grup, np. WLAN Guest jest podłaczony do vlanu 51 a vlan OFFICE do 30,

8. ukrył sieci które nie są konieczne do broadcastowania.

9. Jak masz TV to również można Multicasty puścić -chromcasty również.

 

I teraz wszytsko zalezy od twojego zapału, funduszy i jak ma ta sieć być nie zawodna.

 

Ja bym to wykonał na Mikrotiku, albo na jakimś switchu L3 np. Cisco, Ruckus, Aruba, HP (oczywiscie używane bo nowe kupe kasy kosztują)

 

Z doświadczenia wiem że w hotelach przewijaą sie rózni ludzie z różnymi pomysłami zamysłami czesto wykonują różne rzeczy które nie powinny mieć miejsca dlatego tak ważne jest żeby sieć była dobrze skonfigurowana i zabezpieczona. 

 

Ja oczywiśćie napisałem to w dużym skrócie żeby zarysować jak ja to widzę, nie wiem ile masz pokoi, ilu masz gośći, jakie masz urządzenia biurowe, jakich zabawek uzywasz, jakie masz łącze. Jakie masz rozmieszczenie tych pokoi (wi-fi).

 

Mam nadzieje że coś ci bardziej sie rozjaśniło  

 

Pzdr.

 

Bors

 

[orzelpolski]

Mam kamery, rejestrator i ip na stalych adresach i zmiana ip dla routerów to bardzo zły pomysł, bo generuje potrzebe ponownej konfiguracji stalych adresow. Wszystkie routery musza miec takie adresy jak teraz nadalem. 

Wszystko działa, lecz, mam router R3, ktory nie jest dobrze skonfigurowany i to z jego winy ludzie obok hotelu podlaczaja sie z extenderami tendy bo znaja haslo hotelu.

 

R3 w tej chwili jest jako ap, ale ma ip po lanie 192.168.1.1 i podpiety kabel od R1 w gniazdo lan zamiast wan.

 

Jesli nadam routerowi ip lan 192.168.2.7 a na brame ip wan adres dostepowego routera R1 czyli 192.168.50.1, ip wan na 192.168.50.3 to czy to bedzie dzialac? Tak tez mozna zrobic?

 

Oczywiscie dhcp snoop loop czy jak to sie nazywalo wylacze, porobie pingi i poszukam gdzie ida przewody od R3 po lanie, bo tego jeszcze nie sprawdziłam.

 

 

 

 

[Bors]

No to ok zostaw sobie adresacje tych kamer jakie masz, Jak ma to działać tak- to musisz mieć po stronie WANU adresacje taką jaka ma wskazywać ruter brzwegowy więc powinno działać, po stronie lanu możesz ustawiac co chcesz bo to i tak będzie tłumaczone przez NAT.  I w sumie odseparuje ci rejestrator bo będzie ten NAT go blokował. 

 

Jak masz chwię to narysuj jak to wygląda na kartce który ruter z którym jest podłączony to może coś więcej ci powiem bo do tej pory sądziłem ze to magistrala a nie gwiazda, co do DHCP snoopingu to włącz a nie wyłącz tak samo sie tyczy Loop detection, a i z ciekawości co to za rutery tam używasz?