Домашня мережа маршрутизації головоломки: 3 маршрутизатори, два інтернет-маршрути

У мене є напівкомплексна домашня мережа з DSL-модемом / маршрутизатором, маршрутизатором Netgear і маршрутизатором TPLink.

Маршрутизатор TP Link має постійний VPN L2TP, підключений до ExpressVPN. Пристрої за цим маршрутизатором отримують інтернет через VPN. (пристрої справа на доданій діаграмі)

Маршрутизатор Netgear призначений для звичайного (не VPN) інтернету.

Чи можна налаштувати всі три маршрутизатори на схемі таким чином, що пристрої, що стоять за двома маршрутизаторами, можуть спілкуватися один з одним безперешкодно (тобто без перенаправлення портів для кожної вимоги)? Я майже потрапив туди з декількома статичними маршрутами, але мені довелося відключити NAT, щоб вони могли працювати, а потім, що вбили інтернет.

Робоче рішення дозволить пристроям пінгувати один одного в локальній мережі, спілкуватися на всіх портах TCP / UDP, мати трансляцію пакетів / запитів через обидві мережі, але все ще матиме "розділений Інтернет" (наприклад, пристрої з правами проходять через VPN для Інтернет).

Примітки: (1) Я не можу перетворити Netgear на міст / AP, оскільки він виконує маршрутизацію бездротової сітки з супутниковими пристроями. TP-Link також не може бути мостом, тому що мені потрібна його функція маршрутизації для обробки тунелю L2TP VPN. (2) Якщо рішення вимагає введення TP-Link позаду Netgear, це нормально.

Знайдено рішення!

Фізично підключені маршрутизатори, поміщають їх обох в одній мережі, використовують спеціальний DHCP для керування тим, хто отримує шлюз:

Не 100% впевнений, що це буде працювати, але 95%. EDIT Приємно бачити, як на ОП, це працює!

Помістіть інтерфейс локальної мережі Netgear і TPLink в ту ж саму підмережу, тобто обидві адреси 192.168.1. *. Тому всі пристрої знаходяться в одній локальній мережі (локальна мережа).

Тепер найцікавіша частина: вручну встановити "маршрут за замовчуванням" (маршрут, який використовуватиметься, коли IP не є локальним) на кожному пристрої, за замовчуванням для всіх VPN-використовуваних пристроїв, встановлених на маршрутизаторі VPN, і навпаки.

Залежно від маршрутизаторів, можливо, ви навіть зможете надіслати правильний маршрут за замовчуванням до потрібного пристрою через DHCP і MAC-адресу пристрою.

P.S. Дякуємо за чітку та інформативну графіку.

EDIT Якщо ви використовуєте DHCP, то, ймовірно, вимкніть його на одному з маршрутизаторів, тобто виберіть маршрутизатор як "головний" маршрутизатор, а другий - лише шлюз для трафіку, надісланого безпосередньо до нього.

Там може бути більше 1 способу зробити це, але 1 шлях до

(1) Переконайтеся, що всі пристрої в мережі, що знаходяться за TPG, мають статичні IP-адреси та вимкніть його DHCP-сервер.

(2) Підключіть інтерфейс локальної мережі Netgear до інтерфейсу LAN маршрутизатора TPG. (3). Створіть другий віртуальний інтерфейс на маршрутизаторі TPG в діапазоні 192.168.1.x. (4). Встановіть статичні маршрути на маршрутизаторі TPG для маршрутизації 192.168.x.x до 192.168.1.1 і подібним чином встановіть статичні маршрути на маршрутизаторі Netgear на маршруті 10.x.x.x до 192.168.1.NEWIP

Це дозволить вам статично використовувати IP-адресу 10.x для переміщення трафіку через VPN або DHCP або адресу 192.168 для звичайного Інтернету.

Я дещо прихильно запропонував додати другий інтерфейс на маршрутизаторі TPG. Залежно від маршрутизатора це може бути не те, що ви можете зробити з прошивкою за замовчуванням, однак це можна виконати за допомогою dd-wrt, якщо ви запам'ятаєте свій маршрутизатор цим.

Ви розмістили багато обмежень на те, що ви хочете, і деякі з них просто НЕ можливі.

Ви хочете, щоб радіопакети проходили дві мережі. Це неможливо. Маршрутизатори спеціально розділяють мовні домени. Єдиний спосіб зробити це - помістити всі пристрої в одну мережу.

З урахуванням сказаного, щоб отримати, де ви хочете бути, це вимагатиме значних змін у вашій мережі. Оскільки, схоже, ви використовуєте домашні маршрутизатори, ваші опції суворо обмежені. Можливо, якщо ви зможете встановити альтернативну прошивку, ваші варіанти краще.

Тому я дам вам найкращий спосіб зробити це.

Повністю виключіть один з маршрутизаторів.

Немає жодних підстав використовувати два маршрутизатори для розміщення деяких пристроїв у VPN. Особливо, якщо ваша мета дозволити всім пристроям спілкуватися. Найкращий спосіб зробити це - з одним, більш здатним маршрутизатором, який підтримує кілька інтерфейсів. Один порт на маршрутизаторі буде для однієї мережі, інший порт буде іншою, тоді у вас буде порт для WAN. Налаштування маршрутизації між двома мережами, NAT всі пакети, призначені для WAN, і маршрутизація всього трафіку з однієї мережі через VPN.

Припускаючи, що ви не хочете замінювати будь-яке обладнання ...

Замість цього підключіть всі пристрої до одного маршрутизатора і встановіть VPN на цьому маршрутизаторі. Налаштуйте налаштування VPN, щоб VPN використовували лише пристрої в межах певного діапазону IP-адрес. Потім налаштуйте статичний діапазон IP для цих пристроїв у DHCP. Наприклад, маршрутизуйте пристрої з IP-адресою в діапазоні 192.168.1.200-192.168.1.250 через VPN. Я не впевнений, що ваш TPLink підтримує це. Я вважаю, що це буде, оскільки вирішення питання про те, що трафік зашифровано, є частиною будь-якої установки VPN. Це, напевно, найкращий вибір, використовуючи те, що ви зараз маєте.

Якщо ви намагаєтеся максимально наблизитися до поточної фізичної компонування, то вам знадобиться один-до-один NAT, де кожному пристрою в обох мережах надається унікальний IP-адреса в мережі 172.16.1.x. Це також вимагає налаштування параметрів VPN. Але, це складно, і я думаю, що навряд чи будь-який маршрутизатор, якого ви підтримуєте, підтримує це.

Я бачу два можливі сценарії:

1. Вимкніть NAT на внутрішніх маршрутизаторах. Оскільки ви використовуєте різні мережі між усіма сегментами локальної мережі, це повинно бути добре. Насправді, єдиним маршрутизатором, якому потрібні статичні маршрути, буде маршрутизатор DSL, щоб пояснити, які мережі знаходяться на внутрішній стороні двох маршрутизаторів. Це не повинно порушувати Інтернет, оскільки єдиним пристроєм, що потребує NAT, є маршрутизатор DSL.

Або:

2. Побудуйте міст між двома внутрішніми маршрутизаторами без NAT. Це, ймовірно, потребуватиме іншого маршрутизатора, тому що більшість пристроїв SOHO не дозволяють вам брати порт LAN, і він має діяти як інший порт WAN. Насправді, цей розумовий процес може бути заплутаним, оскільки маршрутизатори просто з'єднують різні мережі разом, і всі вони можуть бути LAN, або всі WAN або будь-яка їх комбінація. Можливо, ви зможете знайти старий пристрій SOHO, який можна прошивати за допомогою спеціальної прошивки, і в основному використовувати її для простого трафіку без будь-яких нагадувань (наприклад, NAT, Firewall).