Propojení lokálních sítí

[roman.p]

Dobrý den ve spolek.

vytvořil jsem s pomocí dvou routerů dvě lokální sítě s přístupem na internet dle tohoto schematu:

Kód: [Vybrat]

Internet
     |
WAN 10.34.X.X
  Huawei 2368       GW 10.34.X.Y
LAN 192.168.200.1
     |
     + --- 192.168.200.27
     + --- 192.168.200.33
     + --- 192.168.200.37
     |
WAN 192.168.200.2
  Archer c7         GW 192.168.200.1
LAN 192.168.240.1 
     |
     + --- 192.168.240.10
     + --- 192.168.240.20
     + --- 192.168.240.40
     
Cílem je aby všechna zařízení měla přístup na internet a aby zařízení ze sítě 192.168.200.0 se (až na výjimku) nedostala do 192.168.240.0. Ze sítě 192.168.240.0 pak není potřeba komunikovat na zařízení v síti 192.168.200.0.
Nastavení jsem chtěl začít s tím, že zajistím směrování z 192.168.200.0 do 192.168.240.0 obecně a to přidáním statického směrování na Huawei routeru:

Kód: [Vybrat]

Cílová IP: 192.168.240.0
Brána: 192.168.200.2
Maska subsítě: 255.255.255.0
To je ale asi nesmysl, protože se ze 192.168.200.27 na 192.168.240.40 stejně nedostanu.
Asi jsem zcela špatně pochopil jak se toto nastavuje a ani to takto fungovat nemůže, nebo je zrada jinde.
 
Může mi prosím někdo ze znalých říct, zda je toto principiálně dobře nebo špatně abych se nesnažil rozběhnou něco co jít nemůže? Oba routery mají stock firmware, teoreticky na Archer můžu dát openwrt, na Huawei ne (asi ani není).

Díky moc

[Reklama]

[DgBd]

Toto jednoduše jenom routováním nevyřešíte (ne, že by to úplně nešlo, ale bylo by to poněkud nesystémové).

Správně by bylo na Archer c7 nastavit firewallová pravidla pro přístup do sítě 192.168.240.0/24, pokud to tedy to zařízení umí.

příklad s routováním do 192.168.240.0/24 máte správně. Proč to nefunguje, je otázka. Komunikace by měla probíhat poněkud krkolomně 192.168.200.27 -> Huawei -> 192.168.200.2 (archer) -> 192.168.240.40, odpověď 192.168.240.40 -> 192.168.240.1 (archer) -> 192.168.200.27 (tj. vynechává se Huawei). A to celé se samozřejmě může zkomplikovat tím, že Huawei bude posílat ICMP redirect a případně 192.168.200.27 bude blokovat odpovědi z jiné strany než ze které měly přijít (podle nastavení net.ipv4.conf.all.rp_filter)

V každém případě tcpdump/wireshark je váš přítel :-)

[Roman Priesol]

Neviem ako ten TPLink, ale vacsina SOHO zariadeni ma medzi WAN a LAN VZDY zapnuty NAT a neda sa ho zbavit. Ak si si nie isty, wireshark, ako uz bolo povedane, je tvoj kamarat

Inac to routovanie do 240 siete cez Huawei nie je az taky problem, len to prida jeden hop smerom do 240. Pri sikovnejsich firewalloch by to bol samozrejme problem, lebo by half-open spojenie zahodil, ale tomuto to bude sumafuk.

Systemovejsie riesenie by bolo na tom Huawei vytvorit novu VLAN (snad to umoznuje) s adresou 192.168.240.1/24 a pripojit to k tomu TPLinku cez LAN rozhranie (a nastavit mu inu adresu, nech sa to nebije) - bude sluzit len ako AP a hlupy prepinac.

[roman.p]

Neviem ako ten TPLink, ale vacsina SOHO zariadeni ma medzi WAN a LAN VZDY zapnuty NAT a neda sa ho zbavit.

Na zkoušku jsem vyměnil jsem Archer za Asus a ejhle, chová se to jinak, teď už ze 192.168.200.27 na 192.168.240.40 funguje aspoň ping. Takže to nejspíš končí na tom Archeru. Třeba se rozhoupu a dám na něj openwrt, pak by to snad mohlo jít nastavit ještě lépe, ne jen to, co mi dovolí firmware výrobce. Jen se mi do toho moc nechce.

Taky jsem rozběhnul alternativu a to VPN z 192.168.200.27 na Archer, přes kterou jsem dosáhl přesně toho, co jsem potřeboval, ale nelíbí se mi pouštět před použitím aplikace ještě VPN klienta.

Nejspíš ale lenost zvítězí a mám vyřešeno i když jinak než jsem chtěl.

Díky za váš čas.

[Molex1]

Já udělal pro IOT na modemu hostovanou WiFi (dělá to vlastní VLAN) bez přístupu (ani ping) do zbytku sítě...
pak jsem z jednoho starého APčka udělal clienta a mám kabelem řešené např. chytré žárovky od Philipsu - resp. ten jejich hub) které na internet mohou ale do zbytku sítě ne... Pokud neumí modem jinak VLAN tak je to asi nejlepší řešení, dvojicí routerů jsem se vždy propingoval do druhé sítě nebo např. televize mi viděla zařízení z druhé sítě...

[Reklama]