Estou no processo de reconstrução do(s) meu(s) sistema(s) e me deparei com um obstáculo.
Quero usar meus roteadores antigos para separar coisas diferentes. Por exemplo, um roteador que apenas gerencie o Wi-Fi de todos os dispositivos de IOT e impressoras, outro roteador para as câmeras de segurança e, claro, o principal apenas para a infinidade de telefones, laptops e tablets.
Todos os computadores são instalações novas do Windows 7 Pro, o roteador principal é Linksys no firmware de estoque, 192.168.1.2. WAN é de um modem a cabo. LAN é para um Cisco 3750. Tudo está conectado ao Cisco. Todos os computadores têm uma conexão estável e podem ver qualquer coisa que eu conectar a essa rede.
O roteador secundário é um antigo Linksys 2,4 GHz (novamente, para impressoras sem fio e IOT), executando DD-WRT, 192.168.1.3, porta WAN aberta, portas LAN de entrada do Cisco e de saída para um laptop, então posso configurar/monitorar até que ele esteja instalado e funcionando e posso acessá-lo remotamente.
Posso fazer ping em qualquer computador ou no roteador primário na rede a partir do laptop (conectado ao roteador secundário/IOT), mas não consigo fazer ping no roteador IOT/Print (secundário) (192.168.1.3) de nenhum outro lugar na rede. "Host de destino inacessível".
Eu posso fazer ping de qualquer computador para qualquer hardware sob o controle do roteador primário, mas se eu tentar fazer ping no roteador secundário de qualquer computador, ele falha. Eu posso, no entanto, fazer ping no roteador primário do roteador secundário, mas não vice-versa, então, é isso.
Li aqui, no post de outra pessoa, sobre um problema não tão parecido:
192.168.1.1-25 como seu intervalo estático para Equipamentos de Rede, roteador, servidores, switches gerenciados, etc., 26-50 seriam impressoras, 51-100 seriam para DHCP, 101-254 seriam Hardware de Rede. (Não tenho certeza de qual é a diferença, neste contexto, entre "equipamento" de rede e "hardware" de rede...)
Não tenho certeza se é uma boa ideia ou não, mas originalmente eu estava brincando, indo para o roteador de impressão e definindo o IP para 2.1, 1.5 ou outra coisa, mas tive os mesmos resultados. Naquele ponto, era apenas "cutucar e torcer".
Obviamente, não entendo nada sobre protocolos de endereço IP. Por um bom motivo. Eu simplesmente não entendo. Sou um ex-nerd de help desk e, embora eu possa montar/consertar o hardware e configurá-lo, não importa quantos livros de rede eu tenha ou a magia da internet, a coisa de rede simplesmente não clicou.
Eu não falo "Network", então qualquer dica ou conselho precisará ser bem básico. Tipo, se você disser "Subnet", eu vou fazer o Homer Simpson, de boca aberta.
Espero que um de vocês possa me dar uma dica sobre isso. Talvez como uma aplicação prática, eu possa entender melhor alguns desses conceitos/configurações. Sim, eu sei que é uma subida muito íngreme.
Se separar o intervalo de IPs for bom, eu vou com isso. Se houver uma maneira mais fácil de separar os roteadores individuais para deixá-los fazer suas próprias coisas, mas ainda ver um ao outro conforme necessário, eu vou tentar. Eu tenho martelado nisso por alguns dias agora, mas estou fora do meu alcance.
Isso é possível, embora a princípio adicione muita complexidade sem nenhum ganho real.
A solução 1 pressupõe que você tenha um roteador para cada finalidade, cada um com sua própria conexão de internet.
Sua LAN é 192.168.1.0 /24, o que significa .1 até .254, e cada dispositivo pode ver todos os outros dispositivos através da LAN.
Cada um dos três roteadores tem um IP exclusivo na LAN internamente, juntamente com qualquer IP público que cada ISP fornece a esse roteador.
Como a LAN é um ambiente compartilhado, cada dispositivo pode ver todos os outros dispositivos diretamente. Não há segurança oferecida aqui.
Além disso, só pode haver um servidor DHCP autoritativo que tem permissão para servir IPs. Como você provavelmente quer fazer isso automaticamente para telefones que vêm e vão, isso significa que neste exemplo as impressoras e dispositivos IOT precisam ser configurados estaticamente com um endereço IP.
O truque é que as impressoras tenham um conjunto de IP de gateway/roteador de R2, ou 192.168.1.2, e que os dispositivos IOT procurem um IP de gateway de 192.168.1.200. Todos eles têm um /24 ou uma
255.255.255.0máscara de rede e é isso que permite que os clientes descubram se podem se conectar diretamente a um IP ou precisam rotear suas solicitações por meio de seu roteador.Que bagunça, nenhuma separação e você pagando por três conexões de internet.
Podemos fazer isso em uma conexão de internet com três roteadores? Sim, adicionando um quarto roteador, chame-o de R4.
Também precisamos de uma LAN de interconexão que não seja 192.168.1
Isso permite que você faça a Solução 1, mas pagando apenas por um único link de internet. Não acrescenta nada em segurança porque os clientes ainda podem se conectar diretamente pela rede 192.168.1.x /24 sem passar por um roteador, e custa mais eletricidade para outro roteador.
Então, como separamos esses dispositivos? Cortamos a LAN em três pedaços e fazemos com que o tráfego entre redes tenha que passar pelos roteadores para chegar à próxima rede.
Vantagens: Cada LAN tem que ter DHCP novamente.
O tráfego entre dispositivos tem que ser expressamente permitido na configuração do firewall de cada roteador pelo qual ele passa.
Desvantagem: isso está ficando bem complexo de gerenciar, e em pouco tempo você provavelmente adicionará regras de firewall permitindo "qualquer fonte para qualquer destino" só para fazer as coisas funcionarem.
Esse também é um design conhecido como "NAT duplo" porque o tráfego do cliente para a internet é NATted atrás de seu próprio roteador, e depois novamente atrás do R4. Isso pode causar problemas com jogos e bate-papo por vídeo, etc.
Protocolos de descoberta como mDNS e Bonjour etc tendem a não funcionar em redes roteadas , que é o que isso é.
E agora você precisa de três switches ethernet separados, um para cada rede.
E seu wireless está apenas na LAN, então as impressoras wireless precisarão de seu próprio ponto de acesso separado, assim como os clientes IOT wireless.
O roteador R1 precisa ter a capacidade de ter rotas estáticas, dizendo "A rede 192.168.2.x é acessada via 192.168.44.2" porque esse é o IP de interconexão do R2.
Da mesma forma, outra rota estática no R1 dizendo "192.168.200.x é via 192.168.44.200"
Mais duas rotas estáticas precisam ser definidas em R2 e R3 cada para as outras LANs que não estão conectadas diretamente. Você pode precisar adicionar três rotas estáticas em R4 especificamente dizendo a essa como se conectar às três LANs no lado direito.
Um desafio significativo é fazer todas as mudanças necessárias em todos os lugares que precisam delas.
Por fim, percebemos que quatro roteadores de consumo serão um pesadelo para manter e solucionar problemas.
Se você está decidido a seguir esse caminho com várias redes separadas, substitua todos os seus roteadores por um PC confiável executando uma das distros de firewall de código aberto como pfSense ou similar. Você pode até fazer isso com distro Linux genérica e iptables.
Você pode escolher manter switches ethernet separados e especificar um firewall que tenha 4 interfaces ethernet físicas, OU você pode ter um switch ethernet gerenciado que pode falar VLANs. Isso permite que você diga a cada switchport para estar na LAN ou na IOT-LAN ou na Printer LAN.
Vantagens: qualquer configuração no firewall é feita em um só lugar, não em vários roteadores diferentes.
Essa última solução é o que eu tenho em casa - eu tenho uma rede de CFTV, onde cada cliente não tem gateway padrão e não consegue ver além de sua LAN local, porque eu tenho câmeras chinesas baratas que tentam ligar para casa. O firewall sabe que não deve permitir que eles acessem a internet.
Eu também tenho uma rede wireless para convidados que tem acesso à internet, mas não consegue ver minha LAN. É onde coloco meu computador de trabalho quando trabalho em casa porque ele está cheio de spyware corporativo.
O fato de você estar usando clientes Windows obsoletos e sem suporte é irrelevante para a rede, embora pensar bastante sobre segurança seja uma excelente ideia.
Qualquer dúvida ou esclarecimento, por favor, pergunte.
E quando estiver em dúvida, desenhe uma figura. Com networking, isso realmente ajuda.