So konfigurieren Sie dieses Netzwerk: Mehrere drahtlose Zugangspunkte, die als Router fungieren

682
MountainX

Ich möchte ein WLAN erstellen, bei dem ich 3 separate WLAN-Zugangspunkte (die über ein Ethernet-Kabel miteinander verbunden sind) habe und bei dem alle an diese WAPs angeschlossenen Clients miteinander kommunizieren können, während sie sich auch hinter einer Firewall befinden.

Wenn ich ein weiteres Gerät, einen Router und eine Firewall hinzufüge, weiß ich, wie diese Netzwerkkonfiguration erstellt wird:

[Cable Modem] 192.168.0.1 │ └─[Wireless Router & Firewall] 192.168.1.0 │ ├── Wireless Access Point #1 - 192.168.1.1 ├── Wireless Access Point #2 - 192.168.1.2 └── Wireless Access Point #3 - 192.168.1.3

Ist es jedoch möglich, dasselbe zu erreichen, ohne ein viertes Gerät hinzuzufügen?

Alle 3 drahtlosen Zugangspunkte sind eigentlich drahtlose Router. Wenn ich sie in den Routermodus versetze und die Verbindung wie unten gezeigt herstelle, wie stelle ich die Routing- und Firewall-Regeln so ein, dass die an jeden Router angeschlossenen Geräte ein Netzwerk bilden und auch vor der Außenwelt geschützt sind?

[Cable Modem] 192.168.0.1 │ ├── Wireless Router #1 - 192.168.1.1 ├── Wireless Router #2 - 192.168.1.2 └── Wireless Router #3 - 192.168.1.3

Das Kabelmodem macht NAT, es ist ein DHCP-Server und es verfügt über einen 4-Port-Switch. Die 3 Wireless-Router können dd-wrt ausführen.

Mein Ziel ist es, entweder einen Router / eine Firewall hinter dem Kabelmodem zu haben, wie im ersten Netzwerklayout, oder 3 Router / Firewalls hinter dem Kabelmodem (um die Kosten für den Kauf eines vierten Geräts zu vermeiden), wobei alle 3 dieser Router / Router Firewalls können als ein Netzwerk fungieren. Ich möchte nicht einfach Zugangspunkte hinter das Kabelmodem stellen.

Ich gehe davon aus, dass ich in den DHCP-Servern der 3 Router eindeutige Adressbereiche für 192.168.1.X einrichten würde.

0
Möchten Sie, dass sich die Zugangspunkte im Routermodus befinden? Wie Davidgo feststellte, haben Sie bereits einen Router / eine Firewall - das "4. Gerät" ist Ihr Kabelmodem. (Wie bei Kabel "Modems" üblich.) grawity vor 6 Jahren 0
@ grawity - Ich vertraue der Sicherheit des Kabelmodems nicht. Ich ziehe es vor, entweder 1 oder 3 Router hinter sich zu haben. Ich habe die Frage aktualisiert, um das zu klären. Vielen Dank. MountainX vor 6 Jahren 0
Kannst du den WLAN-Router nachbauen? Wenn es sich um WLAN-Router mit Ethernet-Switches auf der Rückseite handelt, können Sie einen der drei Zugriffspunkte als Router AND AP verwenden und dann die anderen Router (im AP-Modus) an den "Router" -AP anschließen Kinnectus vor 6 Jahren 0
@Kinnectus - ja, es sind kabellose Router mit Ethernet-Switches. Netgear R7000. MountainX vor 6 Jahren 0
@MountainX - grawitys Antwort scheint ziemlich genau das zu sein, was ich dachte ... so sehr, dass mein Kommentar und seine Antwort so aussehen, als wären sie gleichzeitig gepostet worden! Für ein einzelnes Subnetz 9 (wo alle Geräte miteinander kommunizieren können), dann Methode 1 .... auch sehr leicht zu erreichen. Eine kleine Konfiguration, bei der Sie jedem AP eine eigene IP-Adresse außerhalb des DHCP-Pools zuweisen, einen DHCP-Pool auf Router Nr. 1 erstellen und DHCP auf allen anderen APs deaktivieren müssen. Kinnectus vor 6 Jahren 0
Um nur darauf hinzuweisen, dass Geräte über Subnetze hinweg _talk_ laufen können, wenn eine Routing-Tabelle vorhanden ist (so funktioniert das gesamte Internet), können sie nur automatische Protokolle für die Broadcast-Erkennung verwenden. grawity vor 6 Jahren 0

2 Antworten auf die Frage

3
grawity

Angenommen, Sie tun einen Router / Firewall benötigen (sagen wir mal, das Kabelmodem keine anbietet), haben Sie zwei Möglichkeiten dies zu tun:

Offensichtliche Methode: Verwandeln Sie den ersten Zugangspunkt in einen Router.

[Cable Modem] 192.168.0.1 │ └─[Wireless Access Point #1 & Router & Firewall] 192.168.1.1/24 │ ├── Wireless Access Point #2 - 192.168.1.2/24 └── Wireless Access Point #3 - 192.168.1.3/24

Die Zugangspunkte # 2 und # 3 bleiben im Bridge-Modus.

Vorteil: Auf diese Weise können Sie ein einziges Subnetz für alle Zugriffspunkte einrichten (wodurch die automatische Geräteerkennung möglich ist, z. B. für Chromecasts usw.).

Die andere Methode: Separate Subnetze.

Ich gehe davon aus, dass ich in den DHCP-Servern der 3 Router eindeutige Adressbereiche für 192.168.1.X einrichten würde.

Nein, Sie würden einmalig 192.168 einrichten. X .0 Adressbereiche in jedem Router.

[Cable Modem] 192.168.0.1/24 │ ├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.2.1/24 ├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.3.1/24 └── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.4.1/24

Jeder Router sollte im Allgemeinen ein eigenes Subnetz haben. Dadurch kann jeder Router Routen zu den verbleibenden Subnetzen haben. Router Nr. 1 könnte beispielsweise eine Routentabelle haben:

DESTINATION GATEWAY INTERFACE 192.168.2.0/24 - lan 192.168.3.0/24 192.168.0.3 wan 192.168.4.0/24 192.168.0.4 wan

Nachteil: Dies erfordert, dass jeder Router / AP eine andere SSID hat (kein automatisches Roaming, da die Subnetze unterschiedlich sind) und keine Geräteerkennung über verschiedene Subnetze zulässt.

Nachteil: Erfordert eine komplexere NAT- und Firewall-Konfiguration. Sie sollten den Datenverkehr in andere LAN-Subnetze "durchleiten" (ohne NAT weiterleiten). Entsprechend müssen Ihre Filterregeln in jedem Router eingehende Pakete aus den Subnetzen anderer Router akzeptieren .

Hier ist ein grobes iptables-Beispiel:

-t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 192.168.2.0/24 -j ACCEPT -A FORWARD -s 192.168.3.0/24 -j ACCEPT -A FORWARD -s 192.168.4.0/24 -j ACCEPT -A FORWARD -j REJECT -t nat -A PREROUTING -d 192.168.2.0/24 -j ACCEPT -A PREROUTING -d 192.168.3.0/24 -j ACCEPT -A PREROUTING -d 192.168.4.0/24 -j ACCEPT -A PREROUTING -o <wan> -j MASQUERADE (or SNAT or whatever)

Noch eine andere Methode: Sie haben ein Subnetz und drei DHCP-Server.

Sie können wahrscheinlich damit davonkommen:

[Cable Modem] 192.168.0.1/24 │ ├── WAN 192.168.0.2 - Wireless Router #1 - LAN 192.168.1.1/24 │ │ ├── WAN 192.168.0.3 - Wireless Router #2 - LAN 192.168.1.2/24 │ │ └── WAN 192.168.0.4 - Wireless Router #3 - LAN 192.168.1.3/24

Ja, dies weist auf die LANs aller drei Router hin, die zu einem einzigen Ethernet verbunden sind - wenn auch nicht in einer Schleife (es sei denn, DDWRT unterstützt RSTP, in diesem Fall "go wild"). Die Verbindung aller LANs ist erforderlich, wenn Sie eine gemeinsame SSID wünschen.

Ja, alle drei Router können DHCP ausführen. In dieser Situation jeden DHCP - Adressbereich des Routers sollte anders sein, obwohl aus dem gleichen Subnetz (zB 192.168.1.101-192.168.1.125, 192.168.1.126-192.168.1.150, etc.)

Vorteil: Sie haben ein einziges Subnetz - alle drei APs können dieselbe SSID, Roaming-Werke und Geräteerkennungsfunktionen gemeinsam nutzen.

Nachteil: Die Fehlerbehebung kann ärgerlich werden. Portweiterleitung wird die Hölle sein .

(Das heißt, es ist keine verrückte Methode. Ähnlich wie große Netzwerke Router Failover implementieren: Es gibt zwei Router, die dasselbe Ethernet, dasselbe LAN-Subnetz und eine IP-Adresse mit einem Protokoll wie VRRP verwenden. Nur ein DHCP-Server und Pool wird dann benötigt.)

Danke für die ausführliche Antwort. Der Hauptgrund, warum ich Ihre offensichtliche Lösung nicht getan habe, ist, dass ich mehr über die Alternativen erfahren wollte. Sie haben mir geholfen, die Alternativen zu verstehen. Am Ende denke ich, dass ich die naheliegendste Lösung jetzt machen werde, wenn ich die Nachteile der anderen Lösungen verstehe. MountainX vor 6 Jahren 0
Sind nicht die einfachsten Lösungen, die ganz ein Problem erfüllen, oft die besten? Kinnectus vor 6 Jahren 0
@Kinnectus: Nicht immer. Das Stapeln von zwei NAT-Routern scheint für die meisten die einfachste Lösung zu sein (zwei drahtlose Router werden buchstäblich miteinander verbunden). Dennoch hat es alle Nachteile: kein drahtloses Roaming, keine Geräteerkennung, keine bidirektionale Erreichbarkeit zwischen den Subnetzen, keine automatische UPnP-Port-Weiterleitung, schwieriger Port Weiterleitung durch alle Schichten ... grawity vor 6 Jahren 0
Ich habe gerade überprüft und dd-wrt scheint STP zu haben (nicht sicher über RSTP.). Ich weiß nicht genau, wie das Spanning Tree-Protokoll in meiner Situation verwendet werden würde, also werde ich es durchsuchen und bei Bedarf eine neue Frage stellen. MountainX vor 6 Jahren 0
RSTP war nur eine Beilage zu einer Beilage. (Es ist ein Protokoll zur Erkennung und zum Failover von Ethernet-Schleifen.) grawity vor 6 Jahren 0
Danke für die Änderungen. Ich werde wahrscheinlich immer noch die offensichtliche Lösung wählen (Ihre erste), aber meine ursprüngliche Idee klingt nicht so schlecht. Ich mache keine Portweiterleitung. Es ist schön, die Alternativen so zu sehen. MountainX vor 6 Jahren 0
1
davidgo

Das Kabelmodem ist mehr als nur ein Modem (weil es mehrere Ethernet-Anschlüsse hatte). Angenommen, es handelt sich um NAT, was vernünftigerweise hinzugefügt werden kann)

Um dies einzurichten, würde ich DHCP auf den DDWRT-Routern deaktivieren, sie als APs mit demselben SSUD und Kennwort (aber unterschiedlichen, nicht überlappenden Kanälen) konfigurieren und Etherenet vom Modem an den LAN-Port anschließen - auf diese Weise haben Sie Zeit Das Netzwerk, in dem das Modem DHCP für alles und Roaming zwischen Geräten bereitstellt, ist nahtlos, da die APs Bridging statt Routing verwenden.

hat die Frage aktualisiert MountainX vor 6 Jahren 0

Verwandte Probleme