Das Netzwerk, das Sie haben, scheint mir unnötig komplex und schwierig zu pflegen zu sein. Für die Kosten für eine zusätzliche Netzwerkkarte im OpenBSD-Server können Sie ein System haben, das viel einfacher zu kontrollieren und zu warten ist - und - wie ich vermute - sicherer, da es nur einen möglichen Pfad zum Internet für den WLAN-Router gibt.
Was ich eine Lösung in der folgenden Richtung vorschlage: (Entschuldigen Sie das sehr schnelle Diagramm)
Die Idee hier ist, dass die OpenBSD-Box das Routing für alles übernimmt.
Deaktiviere DHCP auf dem Wifi-Router (deaktiviere eigentlich alles, verwandle es in einen Access Point) und starte DHCP auf dem OpenBSD-Server sowohl für die Protected- als auch für die Guest-Schnittstelle.
Platzieren Sie jedes Interface in einem separaten Subnetz (zum Beispiel 192.168.100.0/24 und 192.168.101.0/24), damit das ungeschützte Material mit dem geschützten Material (oder der Welt) über den OpenBSD-Server kommunizieren kann .
Führe eine Firewall auf dem OpenBSD-Router durch, um unerwünschte Kommunikation zu verhindern.
Sie können Richtlinienrouting durchführen, wenn der WLAN-Router beispielsweise nur eines der beiden Modems verwenden soll. Natürlich müssen Sie abhängig von Ihrem Link-Aggregationsrouter möglicherweise einige Arbeiten dort ausführen - oder Sie möchten es möglicherweise ganz entfernen und Ihre OpenBSD-Box so einstellen, dass sie das Aggregationsrouting durchführt .
Ich stelle fest, dass ich den Drucker hinter dem Wifi Router = ungeschütztes Netzwerk platziere. Dies macht das geschützte Netzwerk sicherer, da Sie keine Verbindungen vom ungeschützten Netzwerk in das geschützte Netzwerk zulassen müssen. Die Kehrseite ist, dass das Einrichten von Druckern im geschützten Netzwerk etwas schwieriger ist, da sie das Subnetz nicht durchsuchen können. Die Alternative wäre, die Drucker in das geschützte Netzwerk einzubinden und dem ungeschützten Netzwerk über die Firewall den Zugriff auf den Drucker zu ermöglichen.
Ich stelle fest, dass ich dies mit einer zusätzlichen Netzwerkkarte auf dem OpenBSD-Server getan habe. Eine alternative Lösung, wenn Ihr Drucker VLAN-fähig ist, besteht darin, 2 NIC beizubehalten und dann VLANS auf dem Switch zu verwenden, um jedes Netzwerk zu bestimmen. Dies vereinfacht die Verwaltung und erfordert weniger Hardware. Es wird jedoch davon ausgegangen, dass VLANS sicher sind - eine Annahme, die in Frage gestellt werden kann. Wenn Sie diesen Weg gehen und über einen ausgefallenen Drucker verfügen, können Sie den Drucker möglicherweise über beide VLANs zugänglich machen, sodass die Installation einfach ist. Dies hängt jedoch vom Drucker ab und ist möglicherweise nicht praktikabel.
(Ich bevorzuge die VLAN-Lösung, übrigens. Auch wenn ich so ziemlich alles getan habe, habe ich OpenBSD noch nie ernsthaft eingesetzt - meine Lösungen basieren alle auf Linux.)