Para contextualizar, estou seguindo este guia, mas incluirei o máximo possível de informações nesta pergunta, e minha pergunta é sobre uma parte específica deste https://anthonynsimon.com/blog/kubernetes-cluster-raspberry-pi/
Neste guia é apresentada a seguinte topologia de rede:
Meu hardware é diferente do deles, mas estou tentando realizar algo parecido. No momento, meu Home Router neste diagrama é um Orbi, e o Cluster Router é um TP Link AX5400. Tenho um dispositivo conectado ao orbi (192.168.1.0/24 para mim) e um dispositivo conectado ao tp link (10.13.13.0/24 para mim).
A porta WAN do TP Link é conectada a uma das portas LAN do Orbi. O roteador TP Link tem um IP estático de 192.168.1.200 definido para a WAN.
O roteador TP Link tem uma entrada de tabela de rota estática configurada para 192.168.1.0/24 para usar 192.168.1.1 como gateway, e o roteador orbi tem uma entrada de tabela de rota estática configurada para 10.13.13.0/24 para usar 192.168.1.200 como gateway.
Atualmente, consigo fazer ping de 10.13.13.0/24 para 192.168.1.0/24, mas tenho tempos limite ao fazer ping ao contrário.
O que estou esquecendo aqui? Eu olhei em todas as configurações possíveis no roteador TP Link procurando por algo que pudesse estar bloqueando o tráfego que entra na porta WAN destinada a um dispositivo LAN, mas não vejo nada.
Tentei desabilitar o NAT no link TP, mas não ajudou
Ele faz isso por padrão, e pode nem ser uma configuração — os roteadores do estilo "wifi doméstico" pressupõem que a porta "WAN" significa "a Internet ampla" incorporada a eles, bloqueando, portanto, todo o tráfego "WAN", exceto o que é especificamente permitido.
Na verdade, não sei como são os firmwares da TP-Link hoje em dia, mas às vezes haverá um switch "Desabilitar firewall" ou "Desabilitar inspeção de pacotes com estado". Às vezes, haverá uma lista de regras de firewall, onde você pode adicionar os tipos de tráfego que precisa permitir (não confunda com regras de "encaminhamento de porta"!). Às vezes, desabilitar o NAT também desabilita o bloqueio de WAN. Às vezes, você simplesmente não consegue desligá-lo.
Mas como Frank Thomas também diz, se você quer fazer roteamento, então você provavelmente precisa de um dispositivo mais genérico que não seja focado somente no caso de uso "casa<->WAN". Certamente há roteadores sem fio domésticos executando firmwares que são flexíveis o suficiente – não há razão para que eles não possam ser – mas é muito imprevisível qual tipo você obtém.
(Qualquer coisa que possa executar o firmware OpenWrt funcionaria; ele tem como padrão WAN+LAN, mas suas zonas de firewall podem ser configuradas da maneira que você quiser. Dispositivos baseados no Mikrotik RouterOS também podem ser facilmente configurados para rotear em qualquer direção. Não sei se a linha EdgeRouter ainda existe, mas o ER-X costumava ser um dispositivo "genérico" decente no passado. E qualquer PC com portas Ethernet suficientes pode frequentemente ser um roteador melhor que o TP-Link.)
Desabilite-o de qualquer forma. Se você quiser configurar o roteamento bidirecional, então você não precisa de NAT em primeiro lugar, e tê-lo habilitado é o que tende a "esconder" problemas de roteamento.
Essa rota não faz muito sentido, por dois motivos.
Seu TP-Link já faz parte diretamente da rede 192.168.1.0/24 (ele tem um endereço IP dessa rede, 192.168.1.200) e, portanto, já tem uma rota 'local' ou 'direta' para essa rede – então ele não precisa de nenhuma rota 'gateway' personalizada para chegar lá.
Enquanto isso, se a rede 192.168.1.0/24 estivesse distante (atrás de um gateway), isso significaria que 192.168.1.1 também estaria distante, o que a tornaria inválida como um endereço de gateway (já que não há como resolver um endereço IP distante para um endereço MAC local).
Em vez disso, se a rede realmente estivesse distante, ela precisaria usar o outro endereço do gateway, aquele voltado para o TP-Link. (Pense em como o Orbi não roteia 10.13.13.0/24 via 10.13.13.1, mas em vez disso – corretamente – roteia 10.13.13.0/24 via 192.168.1.200.)
Você está usando um roteador de acesso à Internet de nível doméstico, quando seu cenário exige um roteador de uso geral.
Roteadores de acesso à Internet implementam NAT e filtragem Stateful, de modo que um sistema na LAN pode iniciar uma conexão com qualquer endereço acessível na WAN, mas nenhum endereço no lado WAN do roteador pode iniciar uma conexão com um sistema dentro da LAN. Quando usado nas circunstâncias adequadas (o gateway mais externo entre sua rede e seu ISP), isso é muito útil, mas torna esses tipos de roteadores inadequados para uso como um roteador interno dentro de sua rede.
Primeiro, recomendo considerar se você pode implementar sua solução usando apenas a LAN criada pelo seu Orbi. Essa é de longe a abordagem mais simples, e tudo o que você precisa fazer é desabilitar o servidor DHCP do roteador e, em seguida, conectar o cabo da porta WAN do TPLink na porta LAN. Alternativamente, se o roteador suportar o modo bridge (ou modo AP se for um roteador wifi), você pode simplesmente habilitar essa configuração (e desabilitar o servidor DHCP).
Se você realmente quiser seu cluster em uma nova rede, e seu roteador suportar isso, você pode desabilitar o NAT e o firewall com estado na configuração do roteador, enquanto ainda é um roteador. Se for o caso, essa é provavelmente a maneira mais fácil e robusta de lidar com seu problema enquanto ainda usa uma rede separada.
Se você quiser criar uma nova rede, mas não puder desabilitar NAT e SPF no roteador, a única opção (razoável) restante é o Port Forwarding (DNAT). encaminhe quaisquer portas que você precise para fornecer serviço de hosts na rede do cluster para sua rede doméstica. Há muitas razões pelas quais isso é subótimo (você só pode encaminhar uma determinada porta em um único host interno, por exemplo), mas é o que você tem para trabalhar.
Pessoalmente, meu conselho é substituir o TPLink por um roteador de uso geral que você pode configurar conforme necessário, em vez de tentar distorcer as coisas para fazer o dispositivo errado funcionar como você deseja.
Boa sorte