So richten Sie ein Heimnetzwerk mit zwei WLAN-Routern ein, von dem ein Internetzugang und der andere eine VPN-Verbindung bietet?

5710
Hans Meiser

In meinem Heimnetzwerk betreibe ich zwei WLAN-Router,

  • ein WHR-HP-G300N von Buffalo, auf dem DD-WRT v24-sp2 (07/24/13) std (192.168.1.2) läuft
  • ein Linksys WRT320N mit Shibby-Tomate 1.28.0000 MIPSR2-121 K26 Max (192.168.1.3)

Der Buffalo stellt ein 2,4-GHz-WLAN-Netzwerk bereit, das die PPPOE-Verbindung über meine ADSL-Leitung aufrechterhält, die DHCP-Adresszuweisung bereitstellt (192.168.1. *) Und mehrere Geräte angeschlossen sind (VoIP-Telefon usw.).

Der Linksys ist über eine LAN-Verbindung mit dem Buffalo verbunden - die WAN-Verbindung ist deaktiviert und der WAN-Port wird als LAN verwendet, er bietet ein 5-GHz-WLAN-Netzwerk und die Geräte, die GBit Lan (Home Server, NAS) unterstützen, sind seitdem über LAN verbunden Der Linksys führt auch GBit-Switching durch.

Ich habe vor kurzem einen VPN-Provider mit dem Namen Mullvad abonniert, um die allgemeine Privatsphäre für ausgehende Verbindungen / die Umgehung von Geolocation zu verbessern. Shibby Tomato ist so konfiguriert, dass die VPN-Verbindung hergestellt wird. Soweit ich das beurteilen kann, ist die Verbindung aktiv - zumindest die Protokolle liefern keine Informationen, dass irgendetwas schief geht. Ich habe ein TUN (tun11) -Gerät in den Routingtabellen usw.

Ich möchte folgendes erreichen:

  • Das Linksys Wifi Network bietet über die VPN-Verbindung Zugang zum Internet
  • Der Buffalo Router bietet Zugriff auf die Internetverbindung ohne VPN
  • Auf dem Linksys sollten einige Geräte an bestimmten LAN-Ports ihren gesamten Internetverkehr über das VPN weiterleiten
  • Auf dem Linksys sollten einige Geräte den Datenverkehr über die "normale" DSL-Verbindung leiten
  • Auf dem Buffalo können alle an die LAN-Ports angeschlossenen Geräte die normale DSL-Verbindung verwenden (für die LAN-Ports ist kein VPN erforderlich).
  • Alle Geräte sollten sich über das interne Netzwerk miteinander verbinden können (192.168.1. *).

Im Moment geht kein Datenverkehr über das VPN aus. Ich gehe davon aus, dass sich der Buffalo Router (192.168.1.2) die Adressen über DHCP aussendet, da er sich auch als Standard-Gateway anmeldet. Egal ob ich DHCP einschalte Auch beim Linksys erhält alles, was sich verbindet, ein Standard-Gateway von 192.168.1.2 ...

Die Routingtabelle des Linksys sieht folgendermaßen aus: Routing Table Linksys

Ich habe nur ein sehr begrenztes Wissen über Netzwerke in dieser Komplexität. Daher weiß ich nicht, welche Lösung am besten geeignet ist. Vielleicht verwenden Sie VLANs. Möglicherweise handelt es sich dabei um eine manuelle Konfiguration der IPTables auf dem Router. Dies liegt außerhalb meines Verständnisses. Oder kann das, was ich tun möchte, überhaupt nicht getan werden?

Bearbeiten - Als Antwort auf die Antwort von Iszi:

Ich habe mich gefragt, ob VLAN diese Art von Verhalten nicht zulassen würde. Sowohl bei dd-wrt als auch bei Shibby's Tomato können VLANs pro Port eingerichtet werden. Ich könnte ein privates Netzwerk für den Buffalo einrichten - einen DHCP-Adressraum von 192.168.1.50-100 verteilen und diesen NAT über die ADSL-Verbindung zuordnen. Der gesamte Datenverkehr für dieses Netzwerk konnte mit einer VLAN-ID (VLAN1) gekennzeichnet werden

Dann könnte ich auf dem Linksys zwei private Netzwerke einrichten, dh einen DHCP-Adressraum von zB 192.168.1.10-49 verteilen und alle Ports / Schnittstellen, die mit diesem verbunden werden sollen, als VLAN1 kennzeichnen. Von meinem begrenzten Verständnis des Zwecks von VLANs aus sollen sie genau diesen Anwendungsfall von Netzwerken unterstützen, die auf verschiedenen Routern verteilt sind, sodass sie gemäß ihrem VLAN-Tagging als IF im selben Netzwerk behandelt werden.

Dann würde ich ein zweites Netzwerk einrichten und einen DHCP-Adressraum von 10.8.0 verteilen. * Den gesamten Datenverkehr auf den gewünschten Ports / Schnittstellen mit zB VLAN2 kennzeichnen ...

Wenn ich das VPN als Gateway für das 10.8.0. * / VLAN2-Netzwerk und die PPPOE-Verbindung als Gateway für 192.168.1. * / VLAN1 einrichten kann, kann ich grundsätzlich einen VPN-Zugriff pro Port zuweisen / Schnittstellenbasis. Theoretisch könnte ich also auch eine primäre 5-GHz-WLAN-Verbindung einrichten, die in das 192.168.1. * -Netzwerk geleitet wird, und den Virtual Wireless AP, der in ein 10.8.0. ...

Was ich nicht verstehe, ist, wie - oder ob es möglich wäre, den Zugriff von VLAN1 auf VLAN2 zuzulassen (oder, wenn das unmöglich ist) ist an dieser Stelle meines Wissens nicht bekannt. Wenn jemand die Routing-Notwendigkeiten beschreiben oder mich aufklären könnte, WENN und WIE diese Verwendung von VLANs sinnvoll ist, würde ich es schätzen.

1

1 Antwort auf die Frage

1
Iszi

Ich bezweifle stark, dass Sie die Konfiguration genau so erhalten können, wie Sie es wünschen, während die Router die VPN-Verbindung abwickeln. Besondere Herausforderungen (wenn nicht gar keine Unmöglichkeit), sind:

  • Einige Ports auf das Linksys beziehen, um das VPN zu verwenden, andere nicht
  • Sie können von einem Router etwas über das LAN mit Geräten auf dem anderen kommunizieren, während der Linksys mit dem VPN verbunden ist.
  • Ermitteln von Geräten, die nicht im VPN sind, zur internen Kommunikation mit Geräten, die sich im VPN befinden.

Ich schätze, Ihr VPN-Anbieter lässt nur jeweils eine Verbindung zu. Deshalb möchten Sie einen Router verwenden, um den Zugriff auf diese Verbindung auf mehrere Geräte zu verteilen. In Anbetracht dessen ist das Beste, was ich mir vorstellen kann:

Verbinden Sie Ihre Router wie folgt.

[Gateway]---WAN:[Buffalo]:LAN---WAN:[Linksys]

Stellen Sie sicher, dass beide Router als Router konfiguriert sind, nicht im "Bridge-Modus". Beide Router sollten WAN-IPs über DHCP erhalten und IPs mit DHCP an ihre jeweiligen LANs liefern. Stellen Sie sicher, dass sich die LAN-Seite jedes Routers in einem anderen Subnetz befindet (zB: Buffalo LAN an 192.168.1.0/24 und Linksys LAN an 192.168.2.0/24).

Verbinden Sie alles, was im VPN sein muss, mit dem Linksys-Router und alles andere mit dem Buffalo-Router. Konfigurieren Sie dann das VPN auf dem Linksys.

Mit dieser Konfiguration sollte alles, was sich hinter dem Linksys befindet, seinen Datenverkehr über das VPN senden, während alles, was an den Buffalo angeschlossen ist, dies nicht tut. Je nachdem, ob die VPN-Regeln (oder der Linksys VPN-Client selbst) Split-Tunneling zulässt, können Ihre Geräte möglicherweise nicht intern kommunizieren. Wenn Split-Tunnelling unterstützt wird, können Geräte hinter dem Linksys wahrscheinlich ausgehende Verbindungen zu an den Buffalo angeschlossenen Geräten herstellen. Sie müssen jedoch die Portweiterleitung für alle Verbindungen konfigurieren, die zu Linksys gelangen (selbst dann kann das VPN dies auch tun.) nicht zulassen).

Zusamenfassend:

  • Subnetz 1 zum Internet: Direkt
  • Subnetz 2 zum Internet: VPN
  • Subnetz 2 bis Subnetz 1: Theoretisch möglich, abhängig von der Unterstützung des Split-Tunnels.
  • Subnetz 1 bis Subnetz 2: Unwahrscheinlich möglich. Hängt von der Unterstützung des Split-Tunnels ab und erfordert Portweiterleitung und / oder DMZ-Einstellungen für Linksys.

Was Sie tun sollten, um die gewünschten Einstellungen vorzunehmen, ist das Einrichten einzelner Clients und Verbindungen für jedes Gerät, das Sie im VPN haben möchten. Unabhängig davon, wie Sie Ihre Netzwerkinfrastruktur und andere Geräte auslegen, sind dies die einzigen Geräte, die das VPN verwenden, und die anderen sollten in der Lage sein, frei miteinander zu kommunizieren. Die einzigen lokalen Verbindungsprobleme, die Sie möglicherweise haben, sind die wenigen Geräte, die sich im VPN befinden, und den nicht vorhandenen. Dadurch haben diese Geräte auch die Möglichkeit, das VPN außerhalb Ihres lokalen Netzwerks zu verwenden.

Verwandte Probleme