Sumário
Meu objetivo final é executar uma VPN através do meu Cisco Router, o que para mim significa tirar o Comcast Gateway do caminho. Para isso, gostaria de colocar meu roteador Cisco (e / ou switch) logicamente mais próximo da WAN e remover meu modem Comcast como um dispositivo lógico . Na verdade, não consigo remover o modem (afinal, ele fornece acesso à WAN); no entanto, não preciso de seus serviços DHCP, NAT ou firewall. Eu gostaria de conselhos de configuração.
Detalhes
Aqui está minha configuração de rede atual:
Gateway de Comcast - Cisco Router - Cisco Switch <LAN e Wifi (Ruckus)
- Modem Comcast: TC8305C
- Roteador Cisco: 1941-sec / k9 + ehwic-4esg
- Switch Cisco: 2960S 48TS-L (switch multicamada, VLANs, etc.)
O modem é executado como servidor DHCP, NAT e firewall com endereço interno 10.0.0.1/24. A porta WAN do roteador é conectada a ela com um endereço dinâmico (cliente DHCP). No lado da LAN do roteador, ele também está executando NAT (sim, NAT duplo, por enquanto), servidor DHCP, DNS, NTP.
Meus pensamentos sobre as opções são:
- Execute o modem no modo Bridge.
- Coloque o roteador na DMZ do modem.
- Uma variação em 1 e 2 é conectar o modem ao switch.
Modem no modo Bridge
Tentei colocar o modem no modo Bridge e tive um período muito desagradável de 90 minutos em que meu acesso à Internet estava inoperante e tive que suportar alguns usuários muito irritados. Acho que não consegui configurar a porta WAN do roteador corretamente. Provavelmente porque estava no modo DHCP. Eu gostaria de tentar configurá-lo para um endereço estático (por exemplo, 10.0.0.2/24), no entanto, sou um pouco tímido quanto ao modo Bridge, no momento. O Google gera muitos acessos ao pesquisar pelo "Comcast Bridge Mode", no entanto, não pude fazer muito uso do que encontrei. Não consegui encontrar um bom encantamento para a configuração da porta WAN do roteador com o modo Comcast Bridge.
Além disso, a ponte Comcast não é totalmente transparente, o modem mantém seu endereço IP (10.0.0.1) ao qual eu posso conectar via http e reconfigurar (felizmente) quando conecto um laptop diretamente à porta 1 no modem. Portanto, meu laptop entende como lidar com o modem no modo bridge, mesmo que o roteador não.
Também estou confuso quanto ao modo Bridge, o roteador obtém configurações dinâmicas do ISP da Comcast (para DNS e gateway padrão, etc.), como faria com o DHCP. Ou, se elas não forem realmente dinâmicas e eu devo apenas codificá-las no arquivo de configuração do roteador.
Acredito que esta é a melhor opção para a rede, porque o modem sai completamente do caminho e o roteador pode executar segurança, VPN, DDNS etc.
O que devo fazer para fazer isso funcionar?
Roteador no modem DMZ
Aqui, eu posso resolver qualquer problema de configuração que eu esteja tendo e simplesmente colocar o roteador (com um IP estático de, por exemplo, 10.0.0.2/24) na DMZ do modem e permitir que todo o tráfego da Internet seja encaminhado para isso. Não há muita diferença entre essa configuração e a acima, exceto que o modem ainda está agindo como um dispositivo de camada 3 (bem, ainda mais como um dispositivo de camada 3). Estou bastante certo de que posso fazer isso funcionar e não vejo razão para que não tenha conseguido que a VPN funcione através do roteador.
A única desvantagem aqui é que o modem fornece apenas dyndns.org para executar o DNS dinâmico. Não tenho opinião sobre essa organização como um provedor de DDNS; no entanto, gostaria de escolher fornecedores, algo que o roteador permitiria. Além disso, o engenheiro em mim deseja o mínimo de processamento desnecessário no caminho da WAN, portanto, fazer uma ponte entre o Modem é melhor.
Execute o modem através do switch
Quando conversei com um engenheiro de rede há algum tempo, ele sugeriu que eu pudesse executar o modem diretamente no switch. Não entramos em detalhes sobre a configuração. Minha suposição é que qualquer um dos cenários acima (Bridge ou DMZ) poderia funcionar tão bem no Switch diretamente com as seguintes disposições:
- Configuração correta da ACL na porta do switch / modem para impedir ataques externos.
- Separe a VLAN para comunicação com modem e roteador para encaminhar o tráfego DMZ recebido para o roteador. O tráfego de entrada deve ser limitado ao tráfego da VPN. Todo o outro tráfego (TPC, UDP, ICMP) seria bloqueado por motivos de segurança. As mesmas ACLs que estariam no lado WAN do roteador.
Suponho que ele recomendou essa configuração porque, ao colocar o modem diretamente no switch, você aproveita a capacidade do switch de cortar pacotes IP após o estabelecimento da conexão. Ou seja, quando um dispositivo interno se conecta através do modem (presumivelmente, o estabelecimento de conexão iniciado com VLANs no roteador), o Switch reconhece isso e roteia todos os pacotes IP relevantes diretamente entre o dispositivo interno e o modem, ignorando o roteador. Isso não pode ocorrer na configuração física na qual o modem e o switch estão nas portas do roteador.
Embrulhar
- Como deve ser a configuração da porta WAN do meu roteador para garantir que funcione com um modem Comcast no modo Bridge? Existem outras opções de configuração que eu deveria procurar (como servidores DNS)?
- Como alternativa, devo optar por colocar o roteador na DMZ?
- Vale a pena reconfigurar e mover o modem para uma porta de switch para # 1 ou # 2?
Respostas:
Quando você tem o modem no modo bridge, seu laptop funciona porque está usando DHCP para obter seu endereço IP e outras informações da Comcast. Você precisará configurar o roteador para fazer a mesma coisa.
Eu tenho essa mesma configuração com meu provedor de Internet a cabo com um roteador Cisco ISR G2:
Você precisa que seu roteador receba DHCP para o endereço WAN. Você também precisará configurar o NAT e o DHCP (a menos que o tenha em outro servidor) no roteador.
As configurações completas do seu firewall, NAT, DHCP etc. são muito amplas para serem cobertas.
fonte
show xxx
no roteador para arp, dhcp bindings, nat, etc. tem tudo o que você esperaria. Não estou confiando no modem para nada além do acesso à WAN.Primeiro, você não precisa colocar o modem no "modo ponte" ou até mexer com ele, pois a Comcast mantém isso travado de qualquer maneira. No roteador, digite o exemplo de configuração que Ron colocou acima. Assim, por exemplo, o Gi0 / 0 deve ser sua interface externa , é o ISP / Internet - ou seja, Comcast - e sua interface interna é Gi0 / 1; os comandos não são diferentes, exceto as descrições e "sobrecarga de IP Nat", se você está fazendo o PAT, pois o Comcast fornece apenas um endereço IP, portanto, usar 1 para 1 talvez seja mais útil para você. comando interface - depois de criar um pool DHCP e NAT de acordo com seu esquema de endereçamento IP público. Boa sorte, irmão!
fonte
Normalmente, você pode fazer login no equipamento local do cliente (CPE) conectando-o através do seu navegador da web. (O seu é feito como este ). Portanto, veja qual é o seu gateway padrão IP fornecido pelo DHCP (no prompt de comando do Windows Open, digite ipconfig / all). Conecte esse endereço IP ao seu navegador para conectar-se. Pode ser necessário adicionar
/admin
após o endereço. Pesquise com base no seu modelo CPE.Uma vez lá, a maioria dos CPE permite atribuir seu único endereço IP público a um dispositivo em sua rede doméstica. Você aplicaria esse endereço IP ao seu roteador. A partir daí, configure-o como desejar.
fonte