Verbinden von zwei Subnetzen mit dem Router

2

Ich versuche, ein paar Drucker in zwei Subnetzen freizugeben, und stoße immer wieder auf Probleme. Ich versuche herauszufinden, wie dies am besten erreicht werden kann, während ein öffentliches und ein privates Subnetz unterhalten werden.

Bitte beziehen Sie sich auf dieses Diagramm.

Auf dem Router zwischen LANs habe ich DHCP deaktiviert und ihm eine statische IP vom WLAN-Router zugewiesen. Ich habe versucht, Ports für die Drucker über diesen Router weiterzuleiten, aber da er nicht als DHCP-Server fungiert, scheint nichts zu passieren.

Ich kann über 8080das drahtlose Subnetz ( 192.168.1.0/24) eine Verbindung zum Remote-Verwaltungsport ( ) herstellen, aber sonst nichts.

Bitte teilen Sie mir mit, ob ich weitere Informationen zur Verfügung stellen kann.

Ich möchte, dass beide LANs über einen Internetzugang verfügen, möchte jedoch, dass das öffentliche LAN nur auf den Drucker zugreifen kann.

Die OpenBSD-Maschine verfügt derzeit über zwei Schnittstellen, die verwendet werden. Möglicherweise gibt es zusätzliche Hardware-Probleme, die bei Bedarf behoben werden können.

Der WLAN-Router ist ein Cisco DPC3825, bei dem ich mich anmelden kann.

Der Router, den ich zum Verbinden der LANs verwende, ist ein alter LinkSys WRT54G.

networking  router  port-forwarding  dhcp  switch 
Hyshka
quelle
Es kann nützlich sein, ein Diagramm und eine Erläuterung zu dem, was Sie versuchen, bereitzustellen. Können Sie bestätigen, dass Sie zusätzlich zur drahtlosen Verbindung in einem öffentlich zugänglichen Netzwerk über ein LAN mit Internetzugang verfügen möchten, das jedoch keinen Zugriff auf das private Subnetz haben soll? Außerdem - wie viele Schnittstellen gibt es auf Ihrer OpenBSD-Maschine und was können Sie uns über den WLAN-Router sagen (dh Hersteller, Modell, können Sie sich anmelden oder ist es ein ISP-Gerät?) [Es gibt mindestens 2 Lösungen für dieses Problem unter der Annahme, dass ich es richtig verstehe]
Davidgo
Danke für die Antwort, @davidgo. Ich habe meine Frage aktualisiert und ein Netzwerkdiagramm hinzugefügt.
Hyshka

Antworten:

1

Das Netzwerk, das Sie haben, scheint mir unnötig komplex und schwierig zu pflegen zu sein. Für die Kosten für eine zusätzliche Netzwerkkarte im OpenBSD-Server können Sie ein System haben, das viel einfacher zu kontrollieren und zu warten ist - und - wie ich vermute - sicherer, da es nur einen möglichen Pfad zum Internet für den WLAN-Router gibt.

Was ich eine Lösung in der folgenden Richtung vorschlage: (Entschuldigen Sie das sehr schnelle Diagramm)

Bildbeschreibung hier eingeben

Die Idee hier ist, dass die OpenBSD-Box das Routing für alles übernimmt.

Deaktiviere DHCP auf dem Wifi-Router (deaktiviere eigentlich alles, verwandle es in einen Access Point) und starte DHCP auf dem OpenBSD-Server sowohl für die Protected- als auch für die Guest-Schnittstelle.

Platzieren Sie jedes Interface in einem separaten Subnetz (zum Beispiel 192.168.100.0/24 und 192.168.101.0/24), damit das ungeschützte Material mit dem geschützten Material (oder der Welt) über den OpenBSD-Server kommunizieren kann .

Führe eine Firewall auf dem OpenBSD-Router durch, um unerwünschte Kommunikation zu verhindern.

Sie können Richtlinienrouting durchführen, wenn der WLAN-Router beispielsweise nur eines der beiden Modems verwenden soll. Natürlich müssen Sie abhängig von Ihrem Link-Aggregationsrouter möglicherweise einige Arbeiten dort ausführen - oder Sie möchten es möglicherweise ganz entfernen und Ihre OpenBSD-Box so einstellen, dass sie das Aggregationsrouting durchführt .

Ich stelle fest, dass ich den Drucker hinter dem Wifi Router = ungeschütztes Netzwerk platziere. Dies macht das geschützte Netzwerk sicherer, da Sie keine Verbindungen vom ungeschützten Netzwerk in das geschützte Netzwerk zulassen müssen. Die Kehrseite ist, dass das Einrichten von Druckern im geschützten Netzwerk etwas schwieriger ist, da sie das Subnetz nicht durchsuchen können. Die Alternative wäre, die Drucker in das geschützte Netzwerk einzubinden und dem ungeschützten Netzwerk über die Firewall den Zugriff auf den Drucker zu ermöglichen.

Ich stelle fest, dass ich dies mit einer zusätzlichen Netzwerkkarte auf dem OpenBSD-Server getan habe. Eine alternative Lösung, wenn Ihr Drucker VLAN-fähig ist, besteht darin, 2 NIC beizubehalten und dann VLANS auf dem Switch zu verwenden, um jedes Netzwerk zu bestimmen. Dies vereinfacht die Verwaltung und erfordert weniger Hardware. Es wird jedoch davon ausgegangen, dass VLANS sicher sind - eine Annahme, die in Frage gestellt werden kann. Wenn Sie diesen Weg gehen und über einen ausgefallenen Drucker verfügen, können Sie den Drucker möglicherweise über beide VLANs zugänglich machen, sodass die Installation einfach ist. Dies hängt jedoch vom Drucker ab und ist möglicherweise nicht praktikabel.

(Ich bevorzuge die VLAN-Lösung, übrigens. Auch wenn ich so ziemlich alles getan habe, habe ich OpenBSD noch nie ernsthaft eingesetzt - meine Lösungen basieren alle auf Linux.)

Davidgo
quelle
Danke für deine Antwort, @davidgo. Sehr gründlich und ich denke, es ist eine gute Lösung. Ich habe gezögert, die Netzwerktopologie zu ändern, aber da ich denke, dass dies der beste Weg ist, werde ich mich an meinen Kunden wenden.
Hyshka
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.