Conselhos para configuração de rede e dispositivo usando o Comcast Modem?

8

Sumário

Meu objetivo final é executar uma VPN através do meu Cisco Router, o que para mim significa tirar o Comcast Gateway do caminho. Para isso, gostaria de colocar meu roteador Cisco (e / ou switch) logicamente mais próximo da WAN e remover meu modem Comcast como um dispositivo lógico . Na verdade, não consigo remover o modem (afinal, ele fornece acesso à WAN); no entanto, não preciso de seus serviços DHCP, NAT ou firewall. Eu gostaria de conselhos de configuração.

Detalhes

Aqui está minha configuração de rede atual:

Gateway de Comcast - Cisco Router - Cisco Switch <LAN e Wifi (Ruckus)

  • Modem Comcast: TC8305C
  • Roteador Cisco: 1941-sec / k9 + ehwic-4esg
  • Switch Cisco: 2960S 48TS-L (switch multicamada, VLANs, etc.)

O modem é executado como servidor DHCP, NAT e firewall com endereço interno 10.0.0.1/24. A porta WAN do roteador é conectada a ela com um endereço dinâmico (cliente DHCP). No lado da LAN do roteador, ele também está executando NAT (sim, NAT duplo, por enquanto), servidor DHCP, DNS, NTP.

Meus pensamentos sobre as opções são:

  1. Execute o modem no modo Bridge.
  2. Coloque o roteador na DMZ do modem.
  3. Uma variação em 1 e 2 é conectar o modem ao switch.

Modem no modo Bridge

Tentei colocar o modem no modo Bridge e tive um período muito desagradável de 90 minutos em que meu acesso à Internet estava inoperante e tive que suportar alguns usuários muito irritados. Acho que não consegui configurar a porta WAN do roteador corretamente. Provavelmente porque estava no modo DHCP. Eu gostaria de tentar configurá-lo para um endereço estático (por exemplo, 10.0.0.2/24), no entanto, sou um pouco tímido quanto ao modo Bridge, no momento. O Google gera muitos acessos ao pesquisar pelo "Comcast Bridge Mode", no entanto, não pude fazer muito uso do que encontrei. Não consegui encontrar um bom encantamento para a configuração da porta WAN do roteador com o modo Comcast Bridge.

Além disso, a ponte Comcast não é totalmente transparente, o modem mantém seu endereço IP (10.0.0.1) ao qual eu posso conectar via http e reconfigurar (felizmente) quando conecto um laptop diretamente à porta 1 no modem. Portanto, meu laptop entende como lidar com o modem no modo bridge, mesmo que o roteador não.

Também estou confuso quanto ao modo Bridge, o roteador obtém configurações dinâmicas do ISP da Comcast (para DNS e gateway padrão, etc.), como faria com o DHCP. Ou, se elas não forem realmente dinâmicas e eu devo apenas codificá-las no arquivo de configuração do roteador.

Acredito que esta é a melhor opção para a rede, porque o modem sai completamente do caminho e o roteador pode executar segurança, VPN, DDNS etc.

O que devo fazer para fazer isso funcionar?

Roteador no modem DMZ

Aqui, eu posso resolver qualquer problema de configuração que eu esteja tendo e simplesmente colocar o roteador (com um IP estático de, por exemplo, 10.0.0.2/24) na DMZ do modem e permitir que todo o tráfego da Internet seja encaminhado para isso. Não há muita diferença entre essa configuração e a acima, exceto que o modem ainda está agindo como um dispositivo de camada 3 (bem, ainda mais como um dispositivo de camada 3). Estou bastante certo de que posso fazer isso funcionar e não vejo razão para que não tenha conseguido que a VPN funcione através do roteador.

A única desvantagem aqui é que o modem fornece apenas dyndns.org para executar o DNS dinâmico. Não tenho opinião sobre essa organização como um provedor de DDNS; no entanto, gostaria de escolher fornecedores, algo que o roteador permitiria. Além disso, o engenheiro em mim deseja o mínimo de processamento desnecessário no caminho da WAN, portanto, fazer uma ponte entre o Modem é melhor.

Execute o modem através do switch

Quando conversei com um engenheiro de rede há algum tempo, ele sugeriu que eu pudesse executar o modem diretamente no switch. Não entramos em detalhes sobre a configuração. Minha suposição é que qualquer um dos cenários acima (Bridge ou DMZ) poderia funcionar tão bem no Switch diretamente com as seguintes disposições:

  1. Configuração correta da ACL na porta do switch / modem para impedir ataques externos.
  2. Separe a VLAN para comunicação com modem e roteador para encaminhar o tráfego DMZ recebido para o roteador. O tráfego de entrada deve ser limitado ao tráfego da VPN. Todo o outro tráfego (TPC, UDP, ICMP) seria bloqueado por motivos de segurança. As mesmas ACLs que estariam no lado WAN do roteador.

Suponho que ele recomendou essa configuração porque, ao colocar o modem diretamente no switch, você aproveita a capacidade do switch de cortar pacotes IP após o estabelecimento da conexão. Ou seja, quando um dispositivo interno se conecta através do modem (presumivelmente, o estabelecimento de conexão iniciado com VLANs no roteador), o Switch reconhece isso e roteia todos os pacotes IP relevantes diretamente entre o dispositivo interno e o modem, ignorando o roteador. Isso não pode ocorrer na configuração física na qual o modem e o switch estão nas portas do roteador.

Embrulhar

  1. Como deve ser a configuração da porta WAN do meu roteador para garantir que funcione com um modem Comcast no modo Bridge? Existem outras opções de configuração que eu deveria procurar (como servidores DNS)?
  2. Como alternativa, devo optar por colocar o roteador na DMZ?
  3. Vale a pena reconfigurar e mover o modem para uma porta de switch para # 1 ou # 2?
Andrew Philips
fonte
Você já pensou em comprar seu próprio modem? A Comcast mantém uma lista de modems compatíveis, e a maioria da lista não faz roteamento, DHCP, DNS etc. Isso parece ser o que você deseja. Você precisará informar a Comcast quando quiser usar o modem, e eles precisarão modelar uma informação de endereço MAC.
Ron Maupin
@RonMaupin Thanks. Eu tenho. Acho que, no momento, ainda sou tímido quanto ao modo Bridge e estou procurando alguma orientação sobre a configuração da porta do roteador. O que quero dizer é que, roteador de fornecedor ou roteador de propriedade, ainda não estou claro na configuração da porta do roteador. Talvez eu precise experimentar mais a configuração dessa porta enquanto o modem estiver no modo Bridge?
Andrew Philips
Quando você possui o modem, basta configurar o NAT no seu roteador e controlar tudo, desde o roteador. A menos que você execute o modem da Comcast no modo de ponte, você não poderá evitar o controle da camada 3.
Ron Maupin
Eu acredito que entendo isso. O problema não é colocar o modem no modo de ponte; o problema é que não há conexões de rede através do roteador quando faço isso. Algo está errado com a configuração da porta WAN do meu roteador (e possivelmente outras partes de sua configuração), de modo que quando eu coloco o modem no modo Bridge, não há conectividade com a Internet. Um laptop conectado ao modem enquanto está em ponte pode entrar em contato com a internet.
Andrew Philips
Quando o modem está no modo bridge, você precisa configurar o roteador para assumir as funções do modem como NAT, DNS, DHCP, etc. A porta WAN do roteador precisará ser configurada para o DHCP como endereço IP.
Ron Maupin

Respostas:

2

Quando você tem o modem no modo bridge, seu laptop funciona porque está usando DHCP para obter seu endereço IP e outras informações da Comcast. Você precisará configurar o roteador para fazer a mesma coisa.

Eu tenho essa mesma configuração com meu provedor de Internet a cabo com um roteador Cisco ISR G2:

interface GigabitEthernet0/0
 description WAN
 ip address dhcp
 ip access-group WAN_Firewall in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect WAN_Inspect out
 ip virtual-reassembly in
 ip verify unicast source reachable-via rx allow-default 100
 load-interval 30
 duplex auto
 speed auto
 no cdp enable
 service-policy output QoS-WAN-Out
end

Você precisa que seu roteador receba DHCP para o endereço WAN. Você também precisará configurar o NAT e o DHCP (a menos que o tenha em outro servidor) no roteador.

As configurações completas do seu firewall, NAT, DHCP etc. são muito amplas para serem cobertas.

Ron Maupin
fonte
Na verdade, o laptop não recebeu o endereço do DHCP. Ele definiu seu endereço como um endereço local de link 169.254.XX. Suspeito que o motivo disso funcione para você é que o modem oferece um modo de ponte adequado e você escolhe o servidor DHCP do seu provedor de cabo. Visto que o modo Bridge menos do que verdadeiro no meu modem significa que preciso definir essa porta como um IP estático. Eu realmente acredito que o restante da minha rede interna está bem configurado. Um show xxxno roteador para arp, dhcp bindings, nat, etc. tem tudo o que você esperaria. Não estou confiando no modem para nada além do acesso à WAN.
Andrew Philips
Se o laptop funcionou quando foi configurado para DHCP, é isso que você precisa fazer para o seu roteador. Você tem um endereço IP público, estático e atribuído da Comcast? Nesse caso, use isso; caso contrário, você deve usar o DHCP. As perguntas dos usuários finais dos ISPs são especificamente fora de tópico, então você precisará lidar com a Comcast sobre isso. Isso é realmente muito fácil: você tem um endereço IP público atribuído que deve usar ou se conecta via DHCP.
Ron Maupin
Não estou perguntando sobre a conexão do modem ao ISP, estou perguntando sobre a conexão do roteador ao modem no modo de ponte. Nesse modo, as solicitações do cliente DHCP não são tratadas. Além disso, no modo Bridge, o próprio modem possui um IP atribuído à WAN (fornecido pelo DHCP) e um IP acessível pela LAN; portanto, meu roteador não pode solicitar nada como um cliente DHCP. Nesta discussão, suponho que realmente precise fazer uma atribuição de IP estático na porta WAN do roteador e testar com a ponte de modem.
Andrew Philips
O que expliquei algumas vezes é que você tem duas opções para a configuração da WAN do roteador: um endereço estático atribuído pela Comcast ou DHCP. Essas são suas duas escolhas. Você pode trabalhar com a Comcast para determinar a escolha apropriada. Isso é realmente muito simples, e as pessoas fazem isso todos os dias. Você queria isso de alguém que faz isso, e eu faço isso. Se você deseja eliminar o modem como um dispositivo de rede, pode configurá-lo para o modo de ponte ou pode adquirir o seu. Eu realmente não entendo o problema. Se funcionar, não há motivo real para alterá-lo, pois você não ganha nada tangível.
Ron Maupin
Obrigado, mas preciso executar a VPN no roteador, para que o roteador (e não o modem) precise de sua face externa disponível. Obrigado. Você mudou meu entendimento um pouco mais adiante. Ainda não tenho certeza de entender completamente. Se eu encontrar outras respostas aqui ou quando finalmente conseguir funcionar, publicarei algo.
Andrew Philips
0

Primeiro, você não precisa colocar o modem no "modo ponte" ou até mexer com ele, pois a Comcast mantém isso travado de qualquer maneira. No roteador, digite o exemplo de configuração que Ron colocou acima. Assim, por exemplo, o Gi0 / 0 deve ser sua interface externa , é o ISP / Internet - ou seja, Comcast - e sua interface interna é Gi0 / 1; os comandos não são diferentes, exceto as descrições e "sobrecarga de IP Nat", se você está fazendo o PAT, pois o Comcast fornece apenas um endereço IP, portanto, usar 1 para 1 talvez seja mais útil para você. comando interface - depois de criar um pool DHCP e NAT de acordo com seu esquema de endereçamento IP público. Boa sorte, irmão!

DarkWizard
fonte
Cheguei ao detente com minha caixa, mas preciso revisitar isso. Tenho tido alguns problemas com quedas de conexão para conexões SSL através do meu roteador. Eu acho que preciso atualizar a versão do iOS. Eu também acho que pode estar relacionado ao NAT duplo (PAT duplo) através de cabo e roteador. Não quero que a caixa de cabos distribua endereços IP. Eu realmente gostaria de não ter uma caixa de cabo PAT'ing ou de outra forma. Ainda estou trabalhando com tudo isso, mas não tem sido uma alta prioridade. Quando finalmente descobrir, planejo postar aqui como resolvi.
Andrew Philips
0

Normalmente, você pode fazer login no equipamento local do cliente (CPE) conectando-o através do seu navegador da web. (O seu é feito como este ). Portanto, veja qual é o seu gateway padrão IP fornecido pelo DHCP (no prompt de comando do Windows Open, digite ipconfig / all). Conecte esse endereço IP ao seu navegador para conectar-se. Pode ser necessário adicionar /adminapós o endereço. Pesquise com base no seu modelo CPE.

Uma vez lá, a maioria dos CPE permite atribuir seu único endereço IP público a um dispositivo em sua rede doméstica. Você aplicaria esse endereço IP ao seu roteador. A partir daí, configure-o como desejar.

Ronnie Royston
fonte