Início / computer / Perguntas / 1893592
Accepted
PetaspeedBeaver
Asked: 2025-04-23 16:57:27 +0800 CST

Uma maneira segura e componentes para configurar uma ponte sem fio de longa distância para compartilhar uma conexão de internet entre duas redes domésticas separadas?

  • 772

Tenho duas casas que quero conectar usando uma bridge sem fio TP-Link CPE210 .

A casa 1 tem conexão de internet banda larga por meio de uma tomada Ethernet na parede.

Quero que as duas casas compartilhem a conexão de internet, mas com redes separadas. Acredito que posso obter dois números de IP com o provedor de internet. Nesse caso, eu poderia usar a configuração abaixo, mas minha preocupação é que isso exponha a bridge sem fio TP-Link CPE120 à internet sem um firewall, o que pode não ser a coisa mais segura a se fazer. (Devo me preocupar com isso?)

  • Estou procurando uma configuração simples que envolva o mínimo de equipamento possível.
  • Ao mesmo tempo, quero ter um sistema razoavelmente seguro.

Aqui está um diagrama do sistema como o vejo agora:

FIG. 1
======

WAN-socket of internet provider in home 1
              |
              |
           Switch
          |      |
          |      |
       Router    Wireless bridge (TP-link CPE210) access point in home 1
       for                  .
       home 1               .
                 Wireless bridge (TP-link CPE210) client in home 2
                            |
                            |
                      Router for home 2

Na base de conhecimento da TP-Link, há uma entrada sugerindo esta configuração:

FIG. 2
======
  WAN
   |
   |
 Router home 1
   |
   |
 CPE210 access point
   .
   .
 CPE210 client
   |
   |
 Router home 2

Isso exige menos equipamento (não preciso de um switch extra) e apenas um número IP, o ponto de acesso não fica exposto diretamente à Internet — mas ele fornecerá a mesma estabilidade que a outra solução e as redes ficarão tão separadas?

networking

2 respostas

  1. Quero que as duas casas compartilhem a conexão de internet, mas tenham redes separadas.

    Isso significa que você não deve fazer a ponte entre as redes, mas sim o roteamento entre elas. O roteamento implica em sub-redes diferentes para cada casa. Observando o diagrama sugerido, um problema potencial aqui é que a ponte sem fio pode acabar transportando tráfego que logicamente faz parte da rede, Home 1apenas para descartá-lo no Home 2ponto de entrada. O ideal é garantir que a ponte sem fio transporte apenas o tráfego necessário e que Home 2não tenha acesso à Home 1rede.

    Se eu estivesse fazendo isso, usaria um roteador voltado para a Internet que pudesse fornecer duas redes separadas em suas portas LAN. (Dispositivos Draytek Vigor, entre outros, podem fazer isso.)

                      [      ]L1----Home 1
--//--Internet----[Router]
                  [      ]L2----[Bridge]--//--[Bridge]----Home 2

    Aqui,

    • L1teria uma sub-rede como 192.168.1.0/24, e o roteador deveria ser algo como 192.168.1.1
    • L2teria uma sub-rede como 192.168.2.0/24, e o roteador deveria ser algo como 192.168.2.1

    Ambos Home 1podem Home 2ser expandidos com um Switch ou Ponto de Acesso Sem Fio. Se você tiver um roteador capaz de fornecer WiFi, talvez seja interessante conectar o SSID local dele à mesma sub-rede que L1.

    Você pode optar por isolar as duas redes para que elas não se vejam. Ou seu roteador pode permitir que você roteie seletivamente entre elas por meio de um firewall interno.

    Para constar, eu faço quase a mesma coisa em casa, entre minha rede residencial, de trabalho e de convidados.

    Por fim, lembre-se de que, como "proprietário" da conexão de internet, você é responsável por todo o tráfego enviado/recebido de tudo por trás dela. Obviamente, isso significa tanto Home 1e Home 2.

    • 9
  2. Best Answer

    Minha preocupação é que isso exponha a ponte sem fio TP-Link CPE120 à internet sem um firewall, e isso pode não ser a coisa mais segura a se fazer? (Devo me preocupar com isso?)

    Na rede desenhada, se você disser que obterá dois endereços IP do ISP – bem, você tem quatro dispositivos, então se ambos os roteadores obtiverem um endereço IP público cada, isso implica que as pontes não receberão nenhum. Se elas não tiverem um endereço de internet, não poderão receber tráfego da internet.

    Portanto, o tráfego regular que eles manipularão não será endereçado ao endereço IP da ponte, ou mesmo ao endereço MAC da ponte em operação normal (o ISP verá diretamente o endereço MAC do Roteador 2 e vice-versa), o que significa que todos os pacotes serão encaminhados apenas para o "outro lado" da ponte e não terão como afetar o próprio sistema operacional da ponte.

    As pontes devem ter endereços IP configurados estaticamente de uma sub-rede privada, preferencialmente sem sobreposição com a sub-rede LAN do usuário em ponte. Por exemplo, se o "Roteador para a casa 2" usa 192.168.1.0/24, configure manualmente as pontes para 192.168.7.x ou algo parecido.

    Para acessar as pontes para configuração, você conectaria um laptop diretamente a elas, faria a configuração e as deixaria pelos próximos 10 anos.

    Nesse caso, você pode configurá-los sem um endereço de gateway; eles não terão acesso à internet, portanto, não precisarão de atualizações de firmware nem nada. Mas, como são basicamente inacessíveis e só realizam uma única tarefa para sempre, podem viver sem isso. (Além disso, é TP-Link – imagino que os aparelhos já estejam "no fim da vida útil, sem mais atualizações" quando você os desembalar.)

    Porém, se o Roteador 2 for capaz disso, você também pode configurar 192.168.7.x/24 na interface WAN dele como um endereço extra para gerenciar as pontes através do roteador; mas, muitas vezes, os roteadores domésticos não permitem isso.

    Uma pequena melhoria na segurança seria se as pontes suportassem um recurso de "VLAN de gerenciamento", de modo que só aceitassem conexões de gerenciamento se os pacotes tivessem um ID de VLAN 802.1Q específico (em oposição ao tráfego normal recebido do ISP, que geralmente não tem). Isso efetivamente daria a você dois "cabos" completamente isolados nas mesmas pontes; na verdade, é semelhante a como os próprios ISPs trazem redes separadas de Internet/Gerenciamento/IPTV para um roteador do cliente.

    A pequena vantagem de usar VLANs seria que as pontes poderiam usar o Roteador 2 como seu gateway para a Internet; a desvantagem é que isso torna a configuração do Roteador 2 mais complexa (muitos roteadores domésticos não oferecem suporte a isso) e torna a conexão direta com laptops mais complexa também (especialmente para Windows).

    Na base de conhecimento da TP-Link há uma entrada sugerindo esta configuração: [figura 2]

    Isso funciona bem se ambos os roteadores estiverem sob o mesmo "gerenciamento", ou seja, se você estiver usando as pontes para estender uma única LAN. (Nesse caso, eu nem teria dois roteadores – o roteador 2 estaria no modo "ponte" ou "ponto de acesso", servindo Wi-Fi, mas sem roteamento.)

    Porém, se forem residências diferentes, eu evitaria isso fortemente – isso significa que o roteador 2 estará sujeito a qualquer interrupção do tipo "o site não abre, vamos reiniciar o roteador" do usuário 1 (enquanto no primeiro diagrama, um pequeno interruptor terá mais probabilidade de ser esquecido); e vice-versa, esse layout significa que a rede interna do roteador 1 estará totalmente acessível a partir do roteador 2.

    • 4

relate perguntas