Conectar dois roteadores em redes diferentes e compartilhar dispositivos

[Bruno Leyne]

Atualmente possuo 2 roteadores, um F@st 5670 (TIM Fibra) e um Xiaomi AX1800.

 

• O F@st 5670 está na rede 191.168.1.0.
• O Xiaomi na rede 192.168.31.1.
• O F@st 5670 está conectado na entrada WAN do xiaomi, tenho um double NAT na rede. 

 

Sei que double NAT é horrível por vários motivos e até queria remover. Só que se eu desligar o DHCP do Xiaomi e conectar LAN-to-LAN perco quase que todas as funcionalidades do roteador. O aplicativo mirouter para de reconhecer ele, a rede wifi de visitante para de funcionar, perco uma porta LAN(só tem 3), entre outros.
Eu consigo conviver sem algumas funcionalidades, mas a de wifi visitante é essencial, compartilho internet com outras pessoas e por existir vários dispositivos inteligentes dentro de casa não posso deixar que outras pessoas acessem facilmente eles, por isso wifi de visitante é essencial.
 

O que eu queria fazer era deixar os dois roteadores na mesma rede (menos a wifi visitante), pelo que vi só consigo alcançar isso desligando o DHCP e colocando LAN-to-LAN, o que atualmente não é uma opção pra mim.
Com a configuração atualmente os dispositivos que estão na 192.168.31.0 conseguem ver os dispositivos da 192.168.1.0. Porém os dispositivos da 192.168.1.0 não conseguem ver os 192.168.31.0. Tem algum jeito de resolver isso?
Estudei um pouco sobre rotas estaticas, mas não achei as opções nos roteadores. 
Uma segunda duvida, comprei outro roteador Xiaomi AX3000 que estou esperando chegar e quero fazer um Mesh com o AX1800, dá para fazer o Mesh via cabo? Já passei o cabo de rede em toda minha casa e quando vejo os vídeos no youtube de pessoas configurando rede mesh, sempre estão fazendo por wifi, como se fosse um Acess Point Wifi Extender. 
Eu quero estender o sinal de wifi, porém conectando via cabo mesmo. Da pra fazer isso com o Mesh? Ou vou ter que um LAN-to-LAN com dhcp desligado pra conectar o terceiro roteador e nomear wifi manualmente?

[Buga Laza]

Não conheço esses aparelhos, mas é pouco provável que roteadores domésticos aceitem a configuração de rotas estáticas - o que de fato atenderia à tua necessidade.
A melhor solução seria colocar esse equipamento da operadora em modo bridge e adquirir um switch para aumentar o número de portas disponíveis.

[arfneto]

10 horas atrás, Bruno Leyne disse:

Sei que double NAT é horrível por vários motivos e até queria remover. Só que se eu desligar o DHCP do Xiaomi e conectar LAN-to-LAN perco quase que todas as funcionalidades do roteador. O aplicativo mirouter para de reconhecer ele, a rede wifi de visitante para de funcionar, perco uma porta LAN(só tem 3), entre outros.
Eu consigo conviver sem algumas funcionalidades, mas a de wifi visitante é essencial, compartilho internet com outras pessoas e por existir vários dispositivos inteligentes dentro de casa não posso deixar que outras pessoas acessem facilmente eles, por isso wifi de visitante é essencial.
 

O que eu queria fazer era deixar os dois roteadores na mesma rede (menos a wifi visitante), pelo que vi só consigo alcançar isso desligando o DHCP e colocando LAN-to-LAN, o que atualmente não é uma opção pra mim.

 

Tem uma certa mistura de conceitos nessas coisas todas.

• Desligar DHCP nada vai mudar em relação a funcionalidades, exceto as relacionadas a DHCP. E sequer precisa desativar. E provavelmente nem deveria, já que o outro roteador é o da operadora.
• claro que usar LAN-LAN vai usar uma porta de rede, mas usar duas WAN é a razão de muito mais problemas. E um switch comum gigabit de 8 portas pode custar como 80 reais em 6x e trazer mais 7 portas LAN. E durante os seis meses já terá esquecido dos problemas que deixou de ter,
• wifi nada tem a ver com IP ou TCP/IP. É outra camada. Esses produtos XIAOMI são conhecidos por serem meio clones de outros e terem umas coisas a menos (como uma porta LAN a menos) e um software medíocre. Não tenho um pra testar, mas li em algumas partes que é preciso usar um aplicativo via telefone para ativar a tal rede de visitantes, que é isolada. Talvez seja esse o aplicativo de que fala em

10 horas atrás, Bruno Leyne disse:

O aplicativo mirouter para de reconhecer ele

 

  e se for o caso apenas ative a rede visitante antes de mudar o resto. Ela deve permanecer ativa. E nada tem a ver com DHCP. É outra camada de rede...

 

10 horas atrás, Bruno Leyne disse:

Com a configuração atualmente os dispositivos que estão na 192.168.31.0 conseguem ver os dispositivos da 192.168.1.0. Porém os dispositivos da 192.168.1.0 não conseguem ver os 192.168.31.0. Tem algum jeito de resolver isso?

 

Claro, uma rede é a next hop da outra, a rede acima, então tem implicitamente uma rota para ela. E claro que não tem a volta. Não é uma coisa de mão dupla. Esses aparelhos não são de fato roteadores, seriam melhor descritos como adaptadores LAN/WAN. E como só tem um provedor só tem uma WAN e se usar duas vai dar m. de várias maneiras, algumas das quais você já deve conhecer.

 

10 horas atrás, Bruno Leyne disse:

comprei outro roteador Xiaomi AX3000 que estou esperando chegar e quero fazer um Mesh com o AX1800, dá para fazer o Mesh via cabo?

 

O que quer fazer se chama ethernet backhaul nos manuais do aparelho. Deve sim funcionar mesmo com esses roteadores mais simples dessa marca, porque acho que vi num manual deles uma vez. É um nome meio besta, porque radio (wifi) também é ethernet, mas marketing é marketing e eles criam palavras e conceitos.

 

10 horas atrás, Bruno Leyne disse:

Já passei o cabo de rede em toda minha casa e quando vejo os vídeos no youtube de pessoas configurando rede mesh, sempre estão fazendo por wifi, como se fosse um Acess Point Wifi Extender. 
Eu quero estender o sinal de wifi, porém conectando via cabo mesmo. Da pra fazer isso com o Mesh? Ou vou ter que um LAN-to-LAN com dhcp desligado pra conectar o terceiro roteador e nomear wifi manualmente?

 

Acho que nem se deveria comprar aparelhos que usam o canal de controle via wifi porque é por definição uma bobagem. Mesh não serve para aumentar velocidade ou alcance ou nada disso. A ideia é DIMINUIR o alcance e a potência das antenas, e usar mais aparelhos. E usar algoritmos e muita matemática e potência para permitir transitividade de dispositivos. Esse é o objetivo de uma rede mesh: permitir que o cara ande com o tablet de uma ponta a outra da rede e o sistema vai acompanhando o deslocamento em tempo real e transferindo cada dispositivo de um POD --- o nome dos AP mesh --- para outro. E assim o tráfego desse canal de controle, acompanhando todos os dispositivos em tempo real, é um componente importante. E usar isso pelo próprio wifi que está usando para se comunicar, half-duplex, com cada dispositivo, é algo contraditório: vai gastar de sua própria banda, da capacidade do wifi e se espera que em 5ghz, certo?

 

E DHCP nada tem a ver com isso. E LAN/LAN nada tem a ver com DHCP desligado. Cada protocolo ou serviço desses que roda nos roteadores tem uma razão de ser. 

 

Em geral nesses aparelhos que admitem mesh via cabo ethernet o que se faz é ligar o aparelho inicial e configurar a rede mesh, se vai ser uma rede a parte ou uma projeção de uma rede wifi que já tenha. Depois disso liga os outros POD um por um no master, com um cabo, bem na sua frente na mesma mesa, sem programar nada. E espera a luzinha acender. Branca eu acho nesse caso da XIAMI, azul em outros, verde em outros. Isso quer dizer que eles estão pareados, já trocaram as credenciais. É o que basta. A partir daí você liga eles em paralelo via cabo, por exemplo no mesmo switch ou roteador, cujas portas LAN são um switch.

 

Se não for assim eles acabam se conectando sempre via wifi, mesmo com um cabo entre eles. É um p. isso.

 

9 horas atrás, apresenta problemas Laza disse:

Não conheço esses aparelhos, mas é pouco provável que roteadores domésticos aceitem a configuração de rotas estáticas

 

Muitos deles aceitam rotas, umas poucas rotas, porque tem pouca memória e isso quase não se usa. É como a lista negra e lista branca no wifi, muitos não aceitam mais que uma dúzia de entradas. Mesmo caso da lista de reserva do DHCP.

 

Mas não serve aqui, porque não é trafego entre redes IP somente. Tem NAT em um sentido e a rota estática ou dinâmica vai zoar tudo. NAT é de mão única. Seria preciso desligar NAT e usar somente roteadores na rede primária. E a maioria desses aparelhos não permite configurar isso. Por isso alguns chamam certas configurações de roteadores de border routers. 

 

 

 

 

[Bruno Leyne]

@arfneto Muito obrigado pela explicação detalhada. Infeliz cai na armadilha dos roteadores genericos e capados.
O wifi de visitante do xiaomi realmente para de funcionar, junto com o aplicativo quando faz LAN-LAN. O wifi fica visível, você consegue conectar porém não tem navegação, ele cria uma subrede (192.168.28.1) e começa a distribuir essa faixa para 192.168.28.x para os dispositivos.
Meu maior problema da configuração LAN-LAN é essa, compartilho a internet com algumas pessoas do meu prédio. Tem uma alta rotatividade de moradores aqui e maioria não tem condições de fazer contratações de 1 ano com os provedores, então acabo deixando o visitante para usarem. Acaba sendo bom pra eles (não cobro nada e eles tem uma cobertura wifi boa) e bom pra mim porquê os técnicos de instalação fazem uma bagunça de cabos (principalmente com a quantidade de provedores locais nascendo).  Sem o wifi visitante o pessoal as vezes vai transmitir algo para TV, erra o dispositivo e acaba transmitindo para a minha TV. Sempre tenho aquele mini infarto com isso quando acontece de madrugada 
Por incrível que pareça com o modem da operadora TIM UltraFibra (F@st 5670) tem dado 0 problemas com LAN-WAN, o da vivo fibra dava problema pra caramba. 
De aparelhos parecidos com as configurações do Xiaomi AX3000 (Qualcomm Dual-core A53 1.0GHz, 256MB RAM) consegue me indicar um bom substituto que seja mais gerenciável? 

[arfneto]

1 hora atrás, Bruno Leyne disse:

Meu maior problema da configuração LAN-LAN é essa, compartilho a internet com algumas pessoas do meu prédio. Tem uma alta rotatividade de moradores aqui e maioria não tem condições de fazer contratações de 1 ano com os provedores, então acabo deixando o visitante para usarem. Acaba sendo bom pra eles (não cobro nada e eles tem uma cobertura wifi boa) e bom pra mim porquê os técnicos de instalação fazem uma bagunça de cabos (principalmente com a quantidade de provedores locais nascendo).  Sem o wifi visitante o pessoal as vezes vai transmitir algo para TV, erra o dispositivo e acaba transmitindo para a minha TV. Sempre tenho aquele mini infarto com isso quando acontece de madrugada 

 

Use um aparelho só pra isso. Assim terá 0 configuração e as redes serão claramente isoladas. Use um roteador simples, ligue a WAN dele numa porta LAN de sua rede LOCAL. Não precisará se preocupar com nada. Os problemas que você tem, como duplo NAT, automação, performance, configuração de portas e qualquer coisa mais, deixam de existir.

 

E estamos falando de uma conexão por rádio que de qualquer forma não vai muito longe e pela qual as pessoas não estão pagando.

 

1 hora atrás, Bruno Leyne disse:

Por incrível que pareça com o modem da operadora TIM UltraFibra (F@st 5670) tem dado 0 problemas com LAN-WAN, o da vivo fibra dava problema pra caramba. 
De aparelhos parecidos com as configurações do Xiaomi AX3000 (Qualcomm Dual-core A53 1.0GHz, 256MB RAM) consegue me indicar um bom substituto que seja mais gerenciável?

 

Os problemas de ligar assim via WAN não vem com a marca. Estarão lá de toda forma. Não sei dizer que problemas tinha com VIVO e não teria com a CLARO, mas sei os que tem por ligar assim e pode por exemplo perder até metade da banda, e ter outros muitos problemas.

 

Não sei o que seria "problema pra caramba" com VIVO. Tenho instalações com esses dois provedores e nenhuma dá "problema pra caramba". Mas uma instalação da CLARO parou acho que 7X n ano passado e 4X nesse pelo mesmo motivo: tempestades afetam o cabeamento da CLARO. A rede deles perde comunicação com o meu roteador e ele volta para a configuração de fábrica, sozinho. E isso zoa várias configurações importantes e por exemplo desconecta o sistema de câmeras até alguém refazer as configurações. Escrevi um programa para monitorar e restaurar isso, então não é mais assim trágico, mas ainda é um inferno porque precisa ter algo ou alguém monitorando a rede. 

 

Um sistema da VIVO roda aqui sem qualquer intervenção desde 2015, com TV e telefone e rede. 0 visitas, 0 problemas. Por outro lado esse ano a "nova tecnologia" da VIVO tem dado problemas folclóricos. O mais ***** é uma mensagem na tela dizendo que certo canal "não faz parte de seu pacote contratado". E isso para canais da TV aberta, que a lei manda retransmitir sem custo para qualquer pacote. E o uso de VLAN no software da VIVO torna um inferno usar VIVO com TV e telefone numa rede estruturada e sem switches gerenciáveis.

 

E os aplicativos que a VIVO redireciona para dentro do pacote estão ainda mal implementados, lerdos e dão erro toda hora. O Amazon Prime passou em julho/23 semanas sem rodar no sistema da VIVO, por exemplo. E rodava na mesma TV pelo sw da própria, seja Android, Tizen ou WebOS, na mesma hora, porque eu testei. E rodava na mesma rede nos celulares e claro transmitindo a partir dos celulares para as mesmas TV.

 

Não sei como está hoje porque perdi a paciência e nunca mais tentei usar.

 

Nota sobre ligação de múltiplos roteadores
 

Parei de reescrever essas coisas aqui, mas tem uns links que pode ver, com desenhos, roteiros, números e argumentos. Vou deixar uma lista. Pode ler qualquer um ou todos ou nenhum   

 

Alguns números

 

Outro caso

 

detalhes aqui

 

 

exemplo

 

 

resumo
 

Nunca conecte roteadores secundários via porta WAN. Isso cria outras redes IP e segmenta o tráfego. A primeira rede não vê as outras. As outras veêm a primeira apenas porque nela é que está o gateway padrão dos roteadores. Fora isso quase nada funciona mais direito.

Incorre em múltiplo NAT e pode perder metade da banda nas redes que não a primeira só por causa disso.

Nada vai funcionar direito com dispositivos que não estejam na mesma rede IP. Isso inclui espelhamento de tela de celulares, compartilhamento de arquivos, impressoras wifi, lâmpadas e acessórios smart  e outras coisas.

Encaminhamento de portas tem que ser repetido em TODAS as redes secundárias. Broadcast de rede não passa pelos roteadores e assim coisas como Wake-on-LAN não vão funcionar.

Desconexão temporárias por alguns segundos  acontecem quase sempre devido aos intervalos de lease de DHCP.

Acesso remoto é um pesadelo.

 

 

[Bruno Leyne]

@arfneto
 

Citação

Não sei o que seria "problema pra caramba" com VIVO.

Ligação LAN-WAN com o modem vivo apresentava três problemas que me lembro aqui por alto.
1 - O roteador secundário Xiaomi conectado no WAN perdia a conexão, algumas vezes durante a semana por 1 ou 2 minutos o roteador ficava com luz laranja ( ease de DHCP confome você disse).

2 - O encaminho de portas ficava falho, seja usando upnp ou criando as regras fixas. Acredito que possa ser por causa do double NAT internet da rede aqui de casa junto com o CGNAT da operadora, enfim tava o terror.

3 - Alguns serviços apresentavam instabilidades, o que eu mais sentia era o Teams da microsoft.

 

Com o tempo eu notei que o modem da vivo tava estranho, a conexao Wi-Fi de 5 GHz tava desaparecendo, até que chegou um dia que não aparecia mais, mesmo com reset de fábrica. Depois desse dia o técnico trocou o aparelho, colocou um novo, atualizou a firmware mais recente e BOOM, a VIVO voltou a funcionar bem com LAN-WAN.

Agora voltando ao assunto do Xiaomi AX3000. Um das configurações que vi que ele aceita: Utilizar os dois modos LAN-LAN e LAN-WAN. O wifi principal funciona e as portas funcionam LAN-LAN e o GuestWifi funciona LAN-WAN, ele tem o DHCP ligado lá dentro e não gerenciável. Mas pelo pouco de teoria que estudei de redes nos ultimas dias já vi que a layer 3 vai virar bagunça. Para usar a internet sem dores de cabeça realmente é LAN-LAN. Foi-se embora meu sonho de ter uma rede de visitante isolada.


Agora uma dúvida que tive, como é feito a configuração de acessos a dispositivos  e isolamentos em uma rede empresarial?
Exemplo: Um dispositivo conectado via cabo dentro de uma sala do setor de marketing da empresa consegue acessar servidores X,Y,Z. Porém se conectar o dispositivo na sala de reunião, só possui acesso ao servidor Z.

Queria saber qual é o equipamento que trata esse tipo de situação da forma correta sem perdas. Eu e mas 2 pessoas trabalhamos home office e acho prudente criar uma rede mais robusta para isolar os dispositivos empresariais. Por mais que as máquinas já possuam certa segurança por usarem serviços VPN e politicas da empresa, acho que seria válido isolar essas redes. 

 

 

 

 

[Buga Laza]

1 hora atrás, Bruno Leyne disse:

Agora uma dúvida que tive, como é feito a configuração de acessos a dispositivos  e isolamentos em uma rede empresarial?

 

Normalmente é feita com VLAN, mas, embora mais caro, mais complicado e menos flexível, a segmentação de redes pode ser feita com a utilização de vários roteadores - assim como você está fazendo. Nesse último caso, a diferença é que, com equipamentos profissionais, o administrador da rede pode criar rotas estáticas ou dinâmicas e desativar o NAT, caso esteja habilitado.

[Bruno Leyne]

Mexendo mais a fundo aqui nas configurações dos roteadores. Achei uma funcionalidade no xiaomi chamada "Wired Trunk Mode of Operation (Extending Existing Networks)", quando utilizo essa configuração o roteador entra em uma configuração chamada "Wired Relay", que aparetemente faz exatamente o que precisava ser feito de desligar o DHCP do secundário e estender a rede. Só que essa configuração corta a internet pela metade (a conexão de 1gbps vira 500mbps). alguém já ouviu falar dessa configuração?

[arfneto]

2 horas atrás, Bruno Leyne disse:

Para usar a internet sem dores de cabeça realmente é LAN-LAN. Foi-se embora meu sonho de ter uma rede de visitante isolada

 

O fato de ter uma rede de visitantes habilitada na mesma rede IP, não "isolada" quer dizer que eventualmente os clientes poderiam se conectar a compartilhamentos, impressoras e em certas situações telas no resto da rede.

 

Mas não poderiam acessar de fato os compartilhamentos sem senhas, isso não existe mais. Teriam que ter uma conta e senha na maquina de destino ou no domnio se for o caso.

 

Dispositivos smart em outra rede wifi provavelmente também não funcionaria. 

 

Talvez impressoras funcionassem.

 

E um AP é barato e daria o tal isolamento por definição. Um roteador AC tipo 1200 custa menos de 200.

 

2 horas atrás, Bruno Leyne disse:

Agora uma dúvida que tive, como é feito a configuração de acessos a dispositivos  e isolamentos em uma rede empresarial?
Exemplo: Um dispositivo conectado via cabo dentro de uma sala do setor de marketing da empresa consegue acessar servidores X,Y,Z. Porém se conectar o dispositivo na sala de reunião, só possui acesso ao servidor Z.

 

Redes podem ser estruturadas de incontáveis maneiras. E tem a questão de escala e orçamento. Acesso a material sensível é muito mais controlado no próprio aparelho do que na rede. Se pode usar redes físicas distintas, redes virtuais distintas, as duas coisas, segmentação de rede física, múltiplos provedores, gateways e firewalls internos... Máquinas especiais podem nem ter qualquer conexão externa permanente. Servidores podem admitir conexão apenas para as portas de serviço. Cada recurso tem uma história.

 

33 minutos atrás, Bruno Leyne disse:

"Wired Trunk Mode of Operation (Extending Existing Networks)", quando utilizo essa configuração o roteador entra em uma configuração chamada "Wired Relay", que aparetemente faz exatamente o que precisava ser feito de desligar o DHCP do secundário e estender a rede. Só que essa configuração corta a internet pela metade (a conexão de 1gbps vira 500mbps). alguém já ouviu falar dessa configuração

 

Não precisa desligar o DHCP do secundário. Trunking em geral envolve ou usar uma conexão mais rápida (ou usar mais de uma porta --- link aggregation) para ligar dois pontos, e nada tem a ver com a internet. Só com a rede.

[Bruno Leyne]

@arfneto
Esse é o modo LAN-WAN. 

 

Entro nas configurações e mudo o modo de conexão para Wired Trunk Mode of Operation, que ao meu ver faz exatamente a parte de extender a rede principal.

 

Automaticamente ele já manda um alerta, avisando que vai desabilitar algumas funcionalidades.

 

Aqui ele pede para conectar na porta WAN (bem esquisito). Após fazer isso ele unifica a rede.

 

 

 

Até então olhando pra isso, penso tá "perfeito". Só existe uma rede, somente roteador primário está distribuindo ip. 
Mas ai vou fazer um teste de velocidade e vejo que o desempenho caiu drasticamente.

 

Ambas as configurações são LAN-WAN. Se eu fizer LAN-LAN deixando tudo na mesma rede, tenho 0 problemas de desempenho.
Queria entender porque esse modo de relay ta destruindo o desempenho, sendo que aparentemente ele seria o modo "ideal" para se conectar dois roteadores.

[arfneto]

49 minutos atrás, Bruno Leyne disse:

Ambas as configurações são LAN-WAN. Se eu fizer LAN-LAN deixando tudo na mesma rede, tenho 0 problemas de desempenho.
Queria entender porque esse modo de relay ta destruindo o desempenho, sendo que aparentemente ele seria o modo "ideal" para se conectar dois roteadores.

 

Nem dá para considerar ideal ou não, já que ele não está operando como roteador. 

 

Simplesmente usar um switch e um cabo já seria um trunk. 

 

 

 

Essas "medidas"  nada tem a ver com a rede.  A rede nada tem a ver com a internet.

 

O wifi nada tem a ver com IP: é outra camada.

 

 

 

 

 

 

 

Mediu isso com algo conectado no primeiro e no segundo segmento, na mesma hora? 

 

Se não fizer isso não vai saber ao certo o que houve.

 

 

 

 

Deve medir o desempenho da rede NA REDE e não com esses medidores vazios. Isso aí são dados sem conteúdo e que são descartados na recepção. E provavelmente seu computador sequer conseguiria processar isso se fossem dados de verdade.

 

A banda que contrata é pra ser dividida entre todos os dispositivos. E a LAN pode ter muito mais que esse modesto 1gbps de tráfego, sem acessar a internet. Um switch comum de 16 portas pode comutar fácil 15gbps por exemplo.

 

O "modo ideal" para uma rede doméstica é de uma rede única IP. DHCP em pelo menos dois pontos e algo mais no sentido do que eu expliquei naqueles tópicos que citei, e em outros.

 

A VIVO admite desligar NAT no roteador. Pode estudar uma topologia a partir disso, mas aí só poderia ter roteadores conectados a ele.

 

 

[Buga Laza]

6 horas atrás, Bruno Leyne disse:

Foi-se embora meu sonho de ter uma rede de visitante isolada.

 

Eu já dei a solução no início do tópico: coloque o roteador da operadora em modo bridge, e esqueça que ele existe.

 

2 horas atrás, arfneto disse:

O "modo ideal" para uma rede doméstica é de uma rede única IP.

 

Para uma rede simples, pode ser. Mas o que o autor do tópico quer, e é algo bastante comum hoje em dia, é uma rede isolada para visitantes.

 

2 horas atrás, arfneto disse:

A VIVO admite desligar NAT no roteador. Pode estudar uma topologia a partir disso, mas aí só poderia ter roteadores conectados a ele.

 

Maravilha! É uma excelente forma de ficar sem acesso à internet em toda a rede, a menos que o cliente possua um bloco de endereços IP públicos igual ou maior que o número de dispositivos acessando a rede externa.

[arfneto]

7 horas atrás, apresenta problemas Laza disse:

Eu já dei a solução no início do tópico: coloque o roteador da operadora em modo bridge, e esqueça que ele existe.

 

Isso não é uma solução. É apenas um desperdício em muitos casos. Expliquei isso umas vezes antes então vou apenas resumir: esse roteador da VIVO é um AC 1200 na prática, dual band 400/800 mbps. E tem 3 ou 4 portas LAN dependendo do modelo. E é o gateway para  a TV pra muita gente. E pode ter uma ou duas linhas telefonicas para alguns.

 

Ao colocar em modo bridge o usuário perde tudo isso em troca de algo simbólico que já vi descrito como "até que enfim me livrei da VIVO" por caras que vão continuar pagando a mesma VIVO todo mês.

 

Só que ao usar bridge (ponte) perde a cobertura de wifi numa situação em que muitas vezes o cara gastou 500 reais para justamente aumentar a cobertura. E não pensa que não pode por as antenas do poderoso roteador chinês ao mesmo tempo em dois lugares da casa para melhorar a cobertura. E no mesmo dia em que redescobre o fato de que wifi a 5ghz raramente atravessa DUAS paredes antes de ficar inútil.

 

E perde 2 ou 3 portas LAN.

 

E vai ser um inferno para conseguir usar a TV e o telefone porque a VIVO usa 4 VLAN separadas e esses roteadores são todos nível 2 e um switch nível 3 custa caro pra caramba.

 

Será isso esperto? 

 

7 horas atrás, apresenta problemas Laza disse:

Para uma rede simples, pode ser. Mas o que o autor do tópico quer, e é algo bastante comum hoje em dia, é uma rede isolada para visitantes.

 

Teria lido o parágrafo todo? Ou apenas o que está entre parenteses?

 

Em 16/11/2023 às 14:45, Bruno Leyne disse:

 

O que eu queria fazer era deixar os dois roteadores na mesma rede (menos a wifi visitante), pelo que vi só consigo alcançar isso desligando o DHCP e colocando LAN-to-LAN, o que atualmente não é uma opção pra mim.

 

Algo "bem comum hoje em dia"...

 

7 horas atrás, apresenta problemas Laza disse:

9 horas atrás, arfneto disse:

A VIVO admite desligar NAT no roteador. Pode estudar uma topologia a partir disso, mas aí só poderia ter roteadores conectados a ele.

 

Maravilha! É uma excelente forma de ficar sem acesso à internet em toda a rede, a menos que o cliente possua um bloco de endereços IP públicos igual ou maior que o número de dispositivos acessando a rede externa.

 

Não tem sentido o que escreveu. Vou corrigir apenas porque é um forum e outros estão lendo isso. Roteamento é anterior a redes domésticas e NAT. São conceitos distintos. Um roteador até outro dia era um roteador, usava protocolos de roteamento e tabelas de rota apenas. Nada tem a ver com NAT. Desabilitar NAT não deixa ninguém sem acesso a internet. Apenas não cria ou mantem as tabelas de host para encaminhar as respostas --- de onde vem o nome: network address translation. Não precisa de blocos de endereços públicos. NAT não trata endereços públicos. Trata endereços privados na LAN. 

 

Porque acha que seria possível desabilitar NAT se acha que isso deixa todo mundo sem acesso, e sabe que aparelhos como os da VIVO não distribuem "blocos de endereço IP" e sim um único endereço??? .

 

Por isso se usa, como eu disse, apenas roteadores ligados na rede primária. São como border routers. Cada roteador nas redes secundárias pode implementar NAT ou passar adiante. Por isso redes são chamadas de estruturadas. Alguém planeja isso.

 

Quando não tem NAT pacotes saem para o gateway e a resposta volta pra o remetente, como esperado. Só que o remetente não representa uma rede toda, não implementa NAT. Espero que tenha entendido. Leia sobre NAT aqui

 

 

[Buga Laza]

4 horas atrás, arfneto disse:

Isso não é uma solução. É apenas um desperdício em muitos casos. Expliquei isso umas vezes antes então vou apenas resumir: esse roteador da VIVO é um AC 1200 na prática, dual band 400/800 mbps. E tem 3 ou 4 portas LAN dependendo do modelo. E é o gateway para  a TV pra muita gente. E pode ter uma ou duas linhas telefonicas para alguns.

 

Ao colocar em modo bridge o usuário perde tudo isso em troca de algo simbólico que já vi descrito como "até que enfim me livrei da VIVO" por caras que vão continuar pagando a mesma VIVO todo mês.

 

Só que ao usar bridge (ponte) perde a cobertura de wifi numa situação em que muitas vezes o cara gastou 500 reais para justamente aumentar a cobertura. E não pensa que não pode por as antenas do poderoso roteador chinês ao mesmo tempo em dois lugares da casa para melhorar a cobertura. E no mesmo dia em que redescobre o fato de que wifi a 5ghz raramente atravessa DUAS paredes antes de ficar inútil.

 

E perde 2 ou 3 portas LAN.

 

E vai ser um inferno para conseguir usar a TV e o telefone porque a VIVO usa 4 VLAN separadas e esses roteadores são todos nível 2 e um switch nível 3 custa caro pra caramba.

 

Será isso esperto? 

 

Essa é a sua opinião. Em geral o roteador da operadora é o suficiente para quem precisa de recursos simples. Para quem investe em um equipamento com recursos mais avançados, todas essas "vantagens" que você mencionou tornam-se secundárias, já que um switch razoável custa algumas dezenas de reais e access points adicionais não são tão caros.

O autor do tópico não mencionou serviços de TV e telefonia, então não há a necessidade de um switch L3. E, mesmo que houvesse, um roteador com Openwrt daria conta do recado sem custar uma fortuna.

 

5 horas atrás, arfneto disse:

Algo "bem comum hoje em dia"...

 

 

Praticamente qualquer roteador vendido atualmente oferece a opção para uma rede visitante. Então, sim, é algo bastante comum nos dias de hoje.

 

5 horas atrás, arfneto disse:

Desabilitar NAT não deixa ninguém sem acesso a internet.

 

Tem certeza? Você deve saber que os endereços IP privados foram criados para atenuar o problema da escassez de endereços IPv4. Porém os endereços privados não são roteáveis na internet, sendo descartados pelos roteadores internos das operadoras, então utiliza-se o NAT para compartilhar um número pequeno de endereços válidos com uma quantidade maior de dispositivos com endereços privados.

Desativar o NAT deixará qualquer dispositivo que não tenha um endereço IP público ou CGNAT sem acesso à internet.

 

5 horas atrás, arfneto disse:

Porque acha que seria possível desabilitar NAT se acha que isso deixa todo mundo sem acesso

 

Se você tiver um número suficiente de endereços válidos, não terá a necessidade de habilitar o NAT.

 

5 horas atrás, arfneto disse:

e sabe que aparelhos como os da VIVO não distribuem "blocos de endereço IP" e sim um único endereço???

 

Quem te disse isso? O fato da Vivo não comercializar blocos de endereços para assinantes residenciais não significa que o aparelho não seja capaz de fazê-lo.

 

5 horas atrás, arfneto disse:

Cada roteador nas redes secundárias pode implementar NAT ou passar adiante. Por isso redes são chamadas de estruturadas. Alguém planeja isso.

 

Se essas redes secundárias possuírem endereços válidos, tudo bem. Mas por que alguém implementaria o NAT para traduzir endereços privados para outro endereço privado? Não faz nenhum sentido.

 

5 horas atrás, arfneto disse:

Quando não tem NAT pacotes saem para o gateway e a resposta volta pra o remetente, como esperado.

 

Mais errado, impossível! Sem o NAT os pacotes terão em seu cabeçalho um endereço de origem privado. Eles serão encaminhados para o gateway, mas como as operadoras não mantém rotas para endereços privados, a resposta jamais retornará.

[arfneto]

1 hora atrás, apresenta problemas Laza disse:

Essa é a sua opinião. Em geral o roteador da operadora é o suficiente para quem precisa de recursos simples. Para quem investe em um equipamento com recursos mais avançados, todas essas "vantagens" que você mencionou tornam-se secundárias, já que um switch razoável custa algumas dezenas de reais e access points adicionais não são tão caros.

O autor do tópico não mencionou serviços de TV e telefonia, então não há a necessidade de um switch L3. E, mesmo que houvesse, um roteador com Openwrt daria conta do recado sem custar uma fortuna.

 

 

Bem, esse é um forum e escrevi opiniões, grátis, a princípio tão boas quanto as de qualquer outro usuário. Mas somos sujeitos à mesma realidade e os mesmos protocolos de rede. Vou explicar mais uma vez alguns desses conceitos porque outros estão lendo isso.

 

Mas entenda que o objetivo do forum não é suporte individual. Esse tópico tem agora quase 500 visualizações e dá pra imaginar que além de mim, o autor e você, mais gente leu isso e é "comum nos dias de hoje" assinar TV e/ou telefone da operadora, o tal combo. Essa é a razão do forum: multiplicar informações, atingir mais gente com problemas similares, disseminar informações.

 

No caso da VIVO em redes domésticas, talvez não tenha experiência com essas coisas:

• " um Roteador da openwrt" em geral não resolveria nada, a menos que
  • pudesse rodar OpenWrt em  todos os roteadores e que não tenha nenhum switch no caminho
  • ou instale um para cada VLAN para cada ponto de TV. 
  • E os pontos de telefone são outro pesadelo: os pontos de telefone ficam atrás do aparelho. É o mesmo caso da NET /Claro. Sim, são voip e usam a VLAN 30, mas se quer rotear isso precisa de informação de a VIVO não vai te dar fácil, e talvez uma ATA para ligar os telefones afinal, se for usar telefones comuns. E isso vai custar mais que o preço de um roteador simples.
  • Se for usar SIP e um telefone IP para ligar telefones nessa VLAN boa sorte com a VIVO te dando essas informações todas, ainda que você saiba quais são. Eu na verdade nunca tentei fazer isso, mas uso VIVO onde moro e tenho um servidor ASTERISK em casa, bem como telefones VOIP e IAX, então estou acostumado com esse tipo de trabalho.
• Pode conseguir o mesmo resultado com RouterOS rodando em um computador antigo  ou máquinas virtuais em sua rede comprando apenas placas de rede, mas essa é outra realidade de suporte e conhecimento. Eu tenho essa experiência e (minha opinião  )  é de que não compensa exceto por dinheiro ou desafio pessoal. E pode nem funcionar.

 

1 hora atrás, apresenta problemas Laza disse:

Se você tiver um número suficiente de endereços válidos, não terá a necessidade de habilitar o NAT.

 

 

Não é só isso. Veja o caso de múltiplo NAT, de uso comum por muitos que nem sabem o que é: não se trata de falta de endereços válidos, apenas de o roteador ser isso: um adaptador LAN/WAN via NAT em uma rede IP. Veja o caso do @Bruno Leyne o autor aqui: ele tem NAT na rede 192.168.31 e nada tem a ver com endereços públicos: a WAN está em 192.168.1.0. E você deve saber que a rede 192.168.0.1. Talvez deva reler os tópicos.

 

Uma das razões de usar NAT é segurança, esconder vários dispositivos atrás de um endereço comum. Leia o RFC. Deixei o link acima.

 

1 hora atrás, apresenta problemas Laza disse:

Quem te disse isso? O fato da Vivo não comercializar blocos de endereços para assinantes residenciais não significa que o aparelho não seja capaz de fazê-lo.

 

Ele não é. Apenas leia a documentação e vai entender.

 

1 hora atrás, apresenta problemas Laza disse:

7 horas atrás, arfneto disse:

Quando não tem NAT pacotes saem para o gateway e a resposta volta pra o remetente, como esperado.

 

Mais errado, impossível! Sem o NAT os pacotes terão em seu cabeçalho um endereço de origem privado. Eles serão encaminhados para o gateway, mas como as operadoras não mantém rotas para endereços privados, a resposta jamais retornará.

 

TESTE. Não está errado e é assim que funciona. 

 

Vou deixar um resumo aqui porque mais gente lê. Sugiro que teste isso em sua rede, @apresenta problemas Laza . Está misturando vários conceitos. Tem um livro sobre essas coisas? Leu algum dos RFC? NAT nada tem a ver com endereços p[ublicos ou privados. É apenas uma tabela.

 

Resumo, no cenário dessa questão

 

2 horas atrás, apresenta problemas Laza disse:

Se essas redes secundárias possuírem endereços válidos, tudo bem. Mas por que alguém implementaria o NAT para traduzir endereços privados para outro endereço privado? Não faz nenhum sentido.

 

Isso é exatamente o que o @Bruno Leyne explicou bem:  Ele faz NAT da rede 192.168.31.0 no acesso a rede 192.168.1.0. O que acha que significa "múltiplo NAT"? E acha que ele faz isso para poupar endereços IP?

 

Toda vez que se liga um roteador via porta WAN a outro roteador que não o modem da operadora se faz isso, e é justamente o tema dessa questão.

 

Uma outra razão seria segurança, já que NAT é de mão única e não há como chegar de volta ao emissor de um pacote porque todos voltam com o mesmo endereço e apenas o servidor NAT tem o registro do endereço de retorno. Esse é o protocolo afinal: translação de endereços através de uma tabela.

 

Classes A B e C de endereços privados, e CIDR --- subnetting --- forma criados para isso: permitir o reuso de  endereços IPv4 criando classes de endereços privados e permitindo dividir o endereço de rede em bits criando máscaras de rede.

 

Nada tem a ver com NAT. Isso é muito anterior a NAT.

 

De volta ao uso de redes estruturadas sem NAT

 

Isso era o comum nos anos 90, em redes TCP: roteamento e classes privadas na LAN da empresa. Ninguém tinha isso em casa. E não há dúvida de que funcionava, certo?

 

E você pode ter NAT sem internet. Basta considerar o @Bruno Leyne tentando acender uma lampada smart na rede 192.168.1.0 a partir de um celular ligado ao wifi em 192.168.31.0. Vai funcionar, com ou sem internet. E tem NAT. Só que o contrário não vai, como ele já deve ter entendido

 

Entenda:

 

Se você tem seu roteador em 192.168.0.1 e tem 4 portas, com NAT desativado:

• Você liga roteadores nas 4 portas, via WAN deles, em 192.168.0.2 a 192.168.0.5, direto da loja com NAT.
• Em todos eles vai ter acesso ao gateway e a internet, claro. Tudo que sair deles vai sair com o endereço de WAN deles. E o roteador primário vai devolver para eles. Não precisa de NAT porque só tem um endereço de cada lado. Não deve ter NAT porque vai atrasar tudo e pode gastar até uns 40% da banda só com esse lance de múltiplo NAT
• Como eles implementam NAT, contrariamente ao que você imagina, todos os dispositivos ligados a esses roteadores terão acesso ao gateway, que pode nem ser o modem da operadora.

Teste e verá que o forum te ensinou algo. E leia o RFC. Eu ia sugerir a explicação na Wikipedia, mas tem muitas incorreções e não serve. 

 

Ainda sobre as razões de usar NAT, direto do RFC 3022

 

6.1. Privacy and Security

   Traditional NAT can be viewed as providing a privacy mechanism as
   sessions are uni-directional from private hosts and the actual
   addresses of the private hosts are not visible to external hosts.

   The same characteristic that enhances privacy potentially makes
   debugging problems (including security violations) more difficult. If
   a host in private network is abusing the Internet in some way (such as
   trying to attack another machine or even sending large amounts of
   spam) it is more difficult to track the actual source of trouble
   because the IP address of the host is hidden in a NAT router.
   
   "NAT tradicional pode ser visto como mecanismo de privacidade, já que
   as sessões são unidirecionais a partir dos dispositivos e seus endereços
   não são visíveis externamente.
   As mesmas característica que aumentam a privacidade tornam mais difícil
   encontrar e resolver problemas, incuindo violações de segurança ou abuso
   do uso da internet de algum modo..."

 

Como vê não adianta ser a minha opinião. Mas é assim. Por sorte eu acho que é assim mesmo e nem preciso discutir a realidade.

 

2 horas atrás, apresenta problemas Laza disse:

Tem certeza? Você deve saber que os endereços IP privados foram criados para atenuar o problema da escassez de endereços IPv4. Porém os endereços privados não são roteáveis na internet, sendo descartados pelos roteadores internos das operadoras, então utiliza-se o NAT para compartilhar um número pequeno de endereços válidos com uma quantidade maior de dispositivos com endereços privados.

 

Sim, tenho certeza. Como eu expliquei, classes de endereços privados e CIDR foram criados para isso. NAT veio depois e é implementado nesse contexto porque é IP afinal.

 

[Buga Laza]

50 minutos atrás, arfneto disse:

Se você tem seu roteador em 192.168.0.1 e tem 4 portas, com NAT desativado:

• Você liga roteadores nas 4 portas, via WAN deles, em 192.168.0.2 a 192.168.0.5, direto da loja com NAT.
• Em todos eles vai ter acesso ao gateway e a internet, claro. Tudo que sair deles vai sair com o endereço de WAN deles. E o roteador primário vai devolver para eles. Não precisa de NAT porque só tem um endereço de cada lado. Não deve ter NAT porque vai atrasar tudo e pode gastar até uns 40% da banda só com esse lance de múltiplo NAT
• Como eles implementam NAT, contrariamente ao que você imagina, todos os dispositivos ligados a esses roteadores terão acesso ao gateway, que pode nem ser o modem da operadora.

 

Eu até poderia testar, mas a lógica já me adianta que não funcionará. Como você disse, "tudo que sair deles vai sair com o endereço de WAN deles", ou seja, um endereço privado (no seu exemplo, de 192.168.0.2 a 192.168.0.5) - que não são roteáveis na internet. E como o roteador principal está com o NAT desativado, apenas ele terá acesso à rede pública, e somente através da interface WAN. Os roteadores secundários sequer conhecem o endereço IP válido para fazer a tradução corretamente.

Qualquer implementação de NAT só faz sentido se for em uma interface com endereço válido na internet. Até pode ser utilizada em redes privadas para segurança, como você mencionou, mas não é a melhor forma.

Se você já utilizou o RRAS do Windows Server, deve saber que nem é possível habilitar o NAT para as interfaces privadas.

 

 

 

Para referência adicional:

https://forum.openwrt.org/t/configuring-masquerading-in-luci/134379

 

Quanto ao autor do tópico, já dei a minha opinião do que seria a melhor solução para ESTE CASO ESPECÍFICO.

[arfneto]

4 horas atrás, apresenta problemas Laza disse:

Eu até poderia testar, mas a lógica já me adianta que não funcionará. Como você disse, "tudo que sair deles vai sair com o endereço de WAN deles", ou seja, um endereço privado (no seu exemplo, de 192.168.0.2 a 192.168.0.5) - que não são roteáveis na internet.

 

 pois é. Isso aqui é só um forum. E vou te explicar uma última vez onde e porque está errado, apenas porque suas afirmações convictas podem iludir algum outro leitor. Não sou seu professor e você não trabalha pra mim. E isso não é uma entrevista de emprego  E se eu entrevistasse alguém que dissesse "eu até poderia testar, mas a lógica já me adianta que não funcionará" seria o fim da entrevista.

 

NAT nada tem a ver com internet ou endereços públicos ou privados. Entenda que NAT é um protocolo da WAN para DENTRO e não o contrário. E a WAN pode não ser a WAN, como é o caso de todo mundo que liga roteadores adicionais via WAN e acaba usando duplo NAT sem saber o que é.

 

Sobre o exemplo, mais uma vez você entendeu errado: todos os 4 roteadores vão usar NAT em .2 a .5. E a WAN para eles é  rede do roteador primário em, 192.168.0.1. Entenda isso ou NUNCA vai entender esses protocolos. Desconfie de sua lógica. Humildade pode ser compensadora.

 

Não deve ter NAT nessa rede porque tudo que sai por exemplo do roteador em .2 volta para ele. Não há translação alguma. E tudo funciona. Para os aparelhos que estiverem conectados na rede do roteador secundário tudo funciona porque existe NAT nessa rede.

 

Talvez você deva reler o que citou sobre IP masquerading ou algo mais formal. 

 

Sobre RRAS e WIndows nada acrescenta aqui.

 

4 horas atrás, apresenta problemas Laza disse:

E como o roteador principal está com o NAT desativado, apenas ele terá acesso à rede pública, e somente através da interface WAN. Os roteadores secundários sequer conhecem o endereço IP válido para fazer a tradução corretamente.

Qualquer implementação de NAT só faz sentido se for em uma interface com endereço válido na internet. Até pode ser utilizada em redes privadas para segurança, como você mencionou, mas não é a melhor forma.

 

NAT não tem a ver com a rede pública. Nem rede privada. Usar NAT para acesso a rede pública é só uma possibilidade. Leia o RFC. NAT é uma tabela de mão única para rotear de volta as respostas às mensagens que saem do endereço do servidor NAT. Só isso. Ele pode ser, como é na rede da questão e como é no exemplo que te expliquei, entre endereços privados, inclusive em sub-redes. Não faz diferença e NAT desconhece máscara de rede.

 

4 horas atrás, apresenta problemas Laza disse:

Quanto ao autor do tópico, já dei a minha opinião do que seria a melhor solução para ESTE CASO ESPECÍFICO

 

Sim. E eu expliquei porque isso vai tornar a rede menor e pode não ser nada esperto se considerar as leis da física e a simples aritmética, porque vai perder 1200 mbps de banda e a cobertura das antenas do aparelho pelo qual paga todo mês uma taxa. E vai perder 2 ou 3 portas LAN. Isso sem considerar os outros problemas de roteamento e de isolar o que você não quer isolar, como aquela impressora wifi na rede do fundo  

 

 

 

 

[Buga Laza]

Não vou discutir com você. Toda literatura indica que se alguém quiser conectar roteadores secundários através das suas respectivas portas WAN e não ter NAT duplo, deve desativar o NAT nos roteadores secundários. NAT é isso aí, tradução de endereços, ativá-lo em uma interface com endereço privado fará a tradução para esse endereço privado que, repito, NÃO É ROTEÁVEL NA INTERNET.

Quanto à maravilhosa banda de 1200 mpbs dos aparelhos das operadoras e as incríveis três portas adicionais, prefiro ignorá-los completamente e receber os endereços públicos em um equipamento sobre o qual eu tenha total controle e flexibilidade.

Mas acho que eu entendi o que você está tentando explicar: no seu exemplo, os roteadores secundários têm endereços estáticos NA INTERFACE LAN e, presumidamente, endereços dinâmicos NA INTERFACE WAN, ambos NA MESMA FAIXA DE ENDEREÇOS do roteador principal, utilizando o NAT no lugar de uma ponte entre essas interfaces. Pode até funcionar, mas isso está ERRADO - afinal, dispositivos dentro de uma mesma sub-rede devem ser capazes de se comunicar diretamente uns com os outros. O correto é atribuir a cada roteador secundário um endereço estático na mesma faixa do roteador primário NA INTERFACE WAN, e uma NOVA faixa de IP para a interface LAN; desativar o NAT em cada roteador secundário; e manter uma tabela de rotas para eles no roteador primário. Claro, é necessário que os equipamentos possuam esses recursos.

[Bruno Leyne]

Voltando aqui para bater o martelo sobre o problema inicial.
A melhor solução que consegui utilizando o Xiaomi AX3000 foi com "Wired Trunk Mode", com essa configuração a porta WAN se torna uma porta LAN, não acontece o duplo NAT e tudo fica na mesma rede. Equivalente ao que o @arfneto descreveu nesse post: 

A vantagem de utilizar o Wired Trunk Mode (acredito ter esse nome e ser coisa exclusiva do MiRouter, nunca vi isso em outro roteador) é não perder 1 das portas LAN, conseguir conectado no roteador  utilizando o aplicativo da Xiaomi e os LEDs ficarem com a cor correta. 
É possível também fazer a configuração manualmente conforme o post antigo do Xiaomi AX3000 + Plex, onde se liga os dois DHCP e deixa distribuir para a mesma faixa de rede via porta LAN. É uma configuração bem legal pra caso o router primário falhe, porém perde conexão com o aplicativo e o status de LED do roteador xiaomi sempre ficara como internet off. 
Só tenho a agradecer por todo o conhecimento que me foi repassado aqui nesse post.

E em relação ao problema de velocidade cortando pela metade, ele sumiu depois que atualizei a firmware do xiaomi e resetei as configurações de fabrica do SageCom. Conforme o @arfneto descreveu ali em cima depois que fiz um teste de transferência de arquivos FTP entre duas máquinas constatei que a velocidade estava normal (1 gbps). Tive um problema de baixo desempenho de download no console PS5, porém foi resolvido encontrando o valor de  MTU certo e ajustando que foi 1500. Enfim, espero que esse tópico ajude as pessoas com roteadores Xiaomi conseguirem tirar o proveito máximo e conhecer as limitações que ele possui. 

 

[arfneto]

22 horas atrás, apresenta problemas Laza disse:

Não vou discutir com você. Toda literatura indica que se alguém quiser conectar roteadores secundários através das suas respectivas portas WAN e não ter NAT duplo, deve desativar o NAT nos roteadores secundários.

 

Bem, poderia citar algo dessa ampla literatura? Tem um livro? um RFC? 

 

É exatamente o contrário disso: se desativar NAT nos roteadores secundários todos os dispositivos conectados a partir deles ficarão sem acesso ao gateway. Explicando melhor: terão acesso, mas as mensagens que forem não vão voltar. Isso porque vão sair por definição todas com o endereço do roteador e sem NAT vão voltar para ele e serão descartadas.

 

Desconfie de sua literatura. E se sua "lógica"  disser que está certa tal literatura, desconfie de sua lógica e teste.

 

sobre literatura, entenda que a referência absoluta de tudo que roda na internet está em IETF e no W3C e que os RFC são a referência para os implementadores.

 

22 horas atrás, apresenta problemas Laza disse:

NAT é isso aí, tradução de endereços, ativá-lo em uma interface com endereço privado fará a tradução para esse endereço privado que, repito, NÃO É ROTEÁVEL NA INTERNET.

 

Isso é um erro conceitual. NAT nada tem a ver com endereços privados, públicos e muito menos com internet. NAT pode até ser visto como um protocolo de roteamento, mas de mão única. RIP, BGP e OSPF por exemplo são protocolos de roteamento.

 

Pense no tópico óbvio dessa questão: como @Bruno Leyne explicou, existe múltiplo NAT nas redes 192.168.1.0 e 192.168.31.0 no caso dele. Mas tem sim conexão com a internet.

 

Entenda que o gateway da rede do Xiaomi AX3000 é 192.168.1.1. Não faz diferença se é público, privado classe A B ou C ou CIDR. É só um endereço. Gateway é um endereço e nada tem a ver com internet.

 

23 horas atrás, apresenta problemas Laza disse:

Quanto à maravilhosa banda de 1200 mpbs dos aparelhos das operadoras e as incríveis três portas adicionais, prefiro ignorá-los completamente e receber os endereços públicos em um equipamento sobre o qual eu tenha total controle e flexibilidade.

 

Como te expliquei, flexibilidade não anula as leis da física nem a aritmética.

• Com um roteador só você não pode colocar as antenas em dois lugares da casa.
• 5Ghz raramente passa duas paredes sem ficar inútil, e assim lá se vai sem conceito de flexibilidade: quer usar 5Ghz? Fica lá pertinho de seu único roteador, e nessa hora pense que podia ter mantido ativo o roteador da operadora e usar 5ghz em mais lugares da casa. São as leis da física.
• sobre as portas LAN, entenda que elas podem significar cabos curtinhos indo do roteador para os dispositivos. Se você desabilitar, por lógica ou pura teimosia, pode ter que passar cabos de volta para a TV que está ao lado do aparelho da operadora (essa é uma localização comum dos roteadores de operadoras em residências).

23 horas atrás, apresenta problemas Laza disse:

Mas acho que eu entendi o que você está tentando explicar: no seu exemplo, os roteadores secundários têm endereços estáticos NA INTERFACE LAN e, presumidamente, endereços dinâmicos NA INTERFACE WAN, ambos NA MESMA FAIXA DE ENDEREÇOS do roteador principal, utilizando o NAT no lugar de uma ponte entre essas interfaces. Pode até funcionar, mas isso está ERRADO - afinal, dispositivos dentro de uma mesma sub-rede devem ser capazes de se comunicar diretamente uns com os outros. O correto é atribuir a cada roteador secundário um endereço estático na mesma faixa do roteador primário NA INTERFACE WAN, e uma NOVA faixa de IP para a interface LAN; desativar o NAT em cada roteador secundário; e manter uma tabela de rotas para eles no roteador primário

 

Não , não entendeu o exemplo. E as rotas estáticas não vão resolver nada: rotas são para redes e não para hosts. As mensagens não voltariam para os dispositivos. Faça um desenho ao menos e tente entender.

 

Isso que descreveu não funciona.

 

Revendo o EXEMPLO:
 

• Rede primária em 192.168.1.1 com 4 roteadores em 192.168.1.2, .3, e .4 e .5

 

Ligação LAN/WAN com NAT desabilitado na rede primária

 

Nesse caso todos os roteadores secundários terão NAT habilitado e não vão requerer nenhuma configuração especial. Não haverá múltiplo NAT, apesar de haver claro múltiplos servidores NAT: cada pacote saindo de cada dispositivo  passa por uma única translação em sua viagem ao gateway. E os pacotes voltam porque NAT reescreve o endereço de retorno e envia para o dispositivo correto. Entenda: NAT atua na LAN.

• os roteadores secundários podem usar endereço dinâmico para a WAN a partir de DHCP no roteador primário.
• é comum desligar isso (DHCP no roteador primário)  e usar endereços estáticos, para usar endereços fixos para os roteadores, como o andar em que ficam ou o código do departamento. 
• Todos os roteadores estão na rede primária, claro. por isso não deve usar NAT no primeiro e por isso não pode ligar dispositivos na rede primária a  menos que eles também implementem NAT. É a noção de border routers.
• cada roteador secundário é independente e pode ter ou não DHCP ativo e redes wifi, não faz diferença. Podem ser AP, mesh, tanto faz. Mas devem implementar NAT ou não haverá conectividade com o gateway, seja ele a internet ou outra rede intermediária.

Isso deixa as redes mais ou menos isoladas, já que a rede do gateway é sempre a next hop e há outros roteadores nela. É como  na rede do provedor. Automação e compartilhamentos podem ser um pesadelo e muita coisa não vai funcionar, como usar uma TV numa rede a partir de um celular ligado em outra. É mais comum em empresas.

 

Ligação LAN/LAN com NAT habilitado apenas na rede primária

• nesse caso os roteadores são ligados via porta LAN, e NAT está em efeito neles, claro. Mas não há nada ligado na WAN então não faz diferença. Os pacotes saem para o gateway padrão, que é a o roteador da operadora nesse caso.
   
• DHCP pode ou não estar ativo nos roteadores secundários, mas se usar precisa de roteadores que tenham a opção de definir o gateway na configuração, como essa tela do aparelho AX50 da marca TP-link 

Isso porque todos os roteadores estão na mesma rede  obviamente compartilham o mesmo gateway, que é o roteador da operadora. 

usar mais de um servidor DHCP oferece uma redundância para o caso em que o acesso a internet parar porque a rede continua funcionando. Muita coisa roda na LAN e pode ser usada sem a internet, como impressoras wifi e servidores de midia e TV. 

 

Então não é assim esperto ter um único serviço DHCP em um aparelho que pode parar.

 

Sobre isso já escrevi em outros tópicos e alguns estão listados acima em outras respostas então não vou repetir mais do que já repeti.

 

Para um uso doméstico essa é a opção simples: leva minutos pra configurar, pode ter múltiplas redes wifi, automação e compartilhamentos são triviais. E não há perdas expressivas.

 

 

 

 

 

 

 

 

 

 

[Buga Laza]

24 minutos atrás, arfneto disse:

É exatamente o contrário disso: se desativar NAT nos roteadores secundários todos os dispositivos conectados a partir deles ficarão sem acesso ao gateway. Explicando melhor: terão acesso, mas as mensagens que forem não vão voltar. Isso porque vão sair por definição todas com o endereço do roteador e sem NAT vão voltar para ele e serão descartadas.

 

Já fiz esse tipo de implementação várias vezes e, adivinhe, sempre funcionou. Funciona porque roteamento é isso, se um pacote é endereçado para uma rede diferente da rede do host de origem, esse pacote é enviado para o roteador que, se necessário, enviará para o próximo roteador, até chegar ao destino. Isso não tem nada a ver com endereços públicos ou privados, nem NAT, tem a ver apenas com rotas.

 

41 minutos atrás, arfneto disse:

Revendo o EXEMPLO:
 

• Rede primária em 192.168.1.1 com 4 roteadores em 192.168.1.2, .3, e .4 e .5

 

Quanto ao teu exemplo, você sabe que qualquer roteador possui pelo menos dois endereços IP, mas em momento algum você especificou qual seria o endereço da WAN e qual seria o endereço da LAN.

Nesse caso, vou refazer o endereçamento do teu exemplo:

• Roteador 1 com endereço IP e gateway fornecidos pela operadora na interface WAN e IP 192.168.0.1/24 na interface LAN, e NAT ativado;
• Roteador 2 com endereço IP 192.168.0.2/24 e gateway 192.168.0.1 na interface WAN, e IP 192.168.1.1/24 na interface LAN, e NAT desativado;
• Roteador 3 com endereço IP 192.168.0.3/24 e gateway 192.168.0.1 na interface WAN, e IP 192.168.2.1/24 na interface LAN, e NAT desativado;
• Roteador 4 com endereço IP 192.168.0.4/24 e gateway 192.168.0.1 na interface WAN, e IP 192.168.3.1/24 na interface LAN, e NAT desativado;
• Roteador 5 com endereço IP 192.168.0.5/24 e gateway 192.168.0.1 na interface WAN, e IP 192.168.4.1/24 na interface LAN, e NAT desativado.

Ainda, o roteador 1 deve armazenar as seguintes rotas:

• Destino 192.168.1.0/24, gateway 192.168.1.1;
• Destino 192.168.2.0/24, gateway 192.168.2.1;
• Destino 192.168.3.0/24, gateway 192.168.3.1;
• Destino 192.168.4.0/24, gateway 192.168.4.1.

Um host com endereço 192.168.4.2/24 e gateway 192.168.4.1 conectado ao roteador 5 poderá se comunicar com qualquer outro host conectado a esse roteador ou a qualquer um dos outros roteadores, ou mesmo com outras redes externas. Mas:

• Se o NAT estiver ativado no roteador primário e nos roteadores secundários, a comunicação não será interrompida, mas o tráfego interno passará sem necessidade pelo NAT do roteador 192.168.0.5, a comunicação externa ainda passará pelo NAT do roteador primário e qualquer conexão de entrada deverá ter um encaminhamento configurado;
• Se o NAT estiver desativado em todos os roteadores, a comunicação com as redes internas continuará funcionando normalmente, mas, com exceção da interface WAN do roteador primário, nenhum host será capaz de se comunicar com outras redes externas;
• Se o NAT estiver desativado no roteador primário e ativado nos roteadores secundários, o tráfego interno passará sem necessidade pelo NAT do roteador 192.168.0.5, fazendo-se necessário um encaminhamento configurado para as conexões de entrada. Para o tráfego externo, como ele passou pelo NAT do roteador secundário, o endereço de origem será o endereço 192.168.0.5, que será encaminhado para o roteador primário, que obviamente não alterará o endereço de origem e assim jamais receberá resposta, pois como você deve saber, as redes públicas não mantém rotas para endereços privados.

[arfneto]

3 horas atrás, apresenta problemas Laza disse:

Já fiz esse tipo de implementação várias vezes e, adivinhe, sempre funcionou.

 

Imagino que escreveu isso como um argumento. Bacana. Minha mãe usava um parecido: ela dizia: "um dia você vai me dar razão".

 

3 horas atrás, apresenta problemas Laza disse:

Funciona porque roteamento é isso, se um pacote é endereçado para uma rede diferente da rede do host de origem, esse pacote é enviado para o roteador que, se necessário, enviará para o próximo roteador

 

Não envia para o roteador, envia para o gateway padrão. Esse é o nome correto. 

 

3 horas atrás, apresenta problemas Laza disse:

Quanto ao teu exemplo, você sabe que qualquer roteador possui pelo menos dois endereços IP, mas em momento algum você especificou qual seria o endereço da WAN e qual seria o endereço da LAN.

 

Talvez você não tenha prestado atenção.

 

3 horas atrás, apresenta problemas Laza disse:

Ainda, o roteador 1 deve armazenar as seguintes rotas:

• Destino 192.168.1.0/24, gateway 192.168.1.1;
• Destino 192.168.2.0/24, gateway 192.168.2.1;
• Destino 192.168.3.0/24, gateway 192.168.3.1;
• Destino 192.168.4.0/24, gateway 192.168.4.1.

 

Errado, ele não precisa armazenar essas rotas. São endereços da própria rede dele e serão usados os endereços MAC na camada de ethernet

 

3 horas atrás, apresenta problemas Laza disse:

Se o NAT estiver ativado no roteador primário e nos roteadores secundários, a comunicação não será interrompida, mas o tráfego interno passará sem necessidade pelo NAT do roteador 192.168.0.5, a comunicação externa ainda passará pelo NAT do roteador primário e qualquer conexão de entrada deverá ter um encaminhamento configurado

 

Claro que haverá comunicação, apesar de você inicialmente ter dito que não haveria e que teria que desabilitar NAT nos roteadores secundários. Essa é a situação da rede nessa questão aqui e é o se discute toda hora nesses forums: múltiplo NAT.

 

NAT não trata conexões de entrada. E desconhece portas.

 

3 horas atrás, apresenta problemas Laza disse:

Se o NAT estiver desativado em todos os roteadores, a comunicação com as redes internas continuará funcionando normalmente, mas, com exceção da interface WAN do roteador primário, nenhum host será capaz de se comunicar com outras redes externas;

 

E? De onde veio isso? 

 

3 horas atrás, apresenta problemas Laza disse:

Se o NAT estiver desativado no roteador primário e ativado nos roteadores secundários, o tráfego interno passará sem necessidade pelo NAT do roteador 192.168.0.5

 

Acho que não entendeu esse cenário: a ideia era ter uma rede isolada, como a rede wifi para visitantes de que o autor precisa. E não dá pra ter as duas coisas nessa topologia. Por isso expliquei as duas alternativas.

 

3 horas atrás, apresenta problemas Laza disse:

o endereço de origem será o endereço 192.168.0.5, que será encaminhado para o roteador primário, que obviamente não alterará o endereço de origem e assim jamais receberá resposta, pois como você deve saber, as redes públicas não mantém rotas para endereços privados

 

Está mais uma vez enganado. O endereço de origem será o endereço de algum host conectado ao roteador em .5 e nem se discutiu o fato de ter uma LAN embaixo dele. Vai sair como  192.168.0.5 e vai voltar para 192.168.0.5 porque é a LAN primária. Ele está ligado no roteador primário assim como todos os outros, de .1 a .5. Basta o endereço MAC.

 

Entenda que não há rotas para aprender (sim, roteadores aprendem rotas via protocolos de roteamento como RIP ou BGP ou OSPF). TODOS os 5 roteadores estão na mesma rede 192.168.1.0 no exemplo. É essencial você entender isso. É ethernet. Nível 2.

 

E quando voltar a resposta para 192.168.0.5 ele, que usa NAT, vai consultar a tabela e encontrar  o endereço do host na LAN dele e enviar a resposta.

[Buga Laza]

19 minutos atrás, arfneto disse:

nem se discutiu o fato de ter uma LAN embaixo dele

 

Nem se discutiu? Achei que isso era meio óbvio tratando-se de roteadores.

Sem você informar quais seriam os endereços WAN e LAN de cada roteador, tanto primário quanto secundários, não terei como opinar quanto ao teu cenário hipotético.

Se quiser continuar essa discussão, faça como eu fiz: especifique todas as configurações relevantes para cada equipamento. De preferência de maneira técnica, pois mencionar simplesmente ".5", por exemplo, acaba deixando margem para dúvidas - não custa nada deixar claro se o endereço é 192.168.0.5 ou 192.168.1.5.

[arfneto]

@apresenta problemas Laza Nem se discutiu porque não era relevante.  Preste atenção: se falava de 5 roteadores, todos na mesma rede. Um deles tinha esse endereço, .5. Acho que dá pra imaginar o endereço todo. Esse é o endereço WAN dele, bem como dos outros 3 em .2 .3 e .4

 

Dá pra imaginar que cada roteador desses tem uma LAN abaixo dele, com portas de rede e redes wifi. É o comum para roteadores.

 

E o gateway padrão é 192.168.1.1, nessa mesma rede. Isso quer dizer que o endereço LAN do roteador da operadora é esse. Se não entendeu isso não vai mesmo entender o resto.

 

Sua argumentação em prol de " discutir de maneira técnica"   é bem curiosa. 

 

Afinal disse que 

 

Em 21/11/2023 às 12:37, apresenta problemas Laza disse:

Eu até poderia testar, mas a lógica já me adianta que não funcionará

 

9 minutos atrás, apresenta problemas Laza disse:

Se quiser continuar essa discussão, faça como eu fiz: especifique todas as configurações relevantes para cada equipamento. De preferência de maneira técnica, pois mencionar simplesmente ".5", por exemplo, acaba deixando margem para dúvidas - não custa nada deixar claro se o endereço é 192.168.0.5 ou 192.168.1.5

 

Bem técnico
 

E tem esse argumento técnico no post anterior:

 

4 horas atrás, apresenta problemas Laza disse:

Já fiz esse tipo de implementação várias vezes e, adivinhe, sempre funcionou

 

Bastante preciso.

 

E ainda isso:

 

Em 21/11/2023 às 19:16, apresenta problemas Laza disse:

Toda literatura indica que se alguém quiser conectar roteadores secundários através das suas respectivas portas WAN e não ter NAT duplo, deve desativar o NAT nos roteadores secundários

 

Só que não citou uma única fonte dessa literatura, nem quando perguntei novamente.

 

E por outro lado

• Eu citei vários outros posts com documentação e roteiros.
• Citei trechos do RFC e argumentos.
• E inclui dois cenários de uso com ligação WAN/LAN e LAN//LAN

Isso não está levando a nada.

 

[Buga Laza]

Em 21/11/2023 às 11:47, arfneto disse:

Você liga roteadores nas 4 portas, via WAN deles, em 192.168.0.2 a 192.168.0.5, direto da loja com NAT.

 

OK.

 

Em 21/11/2023 às 11:47, arfneto disse:

Em todos eles vai ter acesso ao gateway e a internet, claro. Tudo que sair deles vai sair com o endereço de WAN deles. E o roteador primário vai devolver para eles. Não precisa de NAT porque só tem um endereço de cada lado. Não deve ter NAT porque vai atrasar tudo e pode gastar até uns 40% da banda só com esse lance de múltiplo NAT

 

Não discordo.

 

Em 21/11/2023 às 11:47, arfneto disse:

Como eles implementam NAT, contrariamente ao que você imagina, todos os dispositivos ligados a esses roteadores terão acesso ao gateway, que pode nem ser o modem da operadora.

 

Também não discordo.

 

9 horas atrás, arfneto disse:

Vai sair como  192.168.0.5 e vai voltar para 192.168.0.5

 

Aqui está o ponto de discussão! Em se tratando de tráfego interno, tudo funciona perfeitamente. No entanto, para enviar dados para redes externas - e estamos partindo da premissa que esse é um requisito - haverá, claro, a saída dos pacotes. Mas, como o roteador principal não implementa o NAT, e tanto faz se os pacotes vieram de um roteador secundário com NAT habilitado ou diretamente de outro dispositivo conectado a esse roteador principal, ele não reescreverá o endereço de origem. Desta forma, o endereço de origem será um endereço privado, que não é roteável na internet, então a resposta jamais retornará - não fosse assim, em um cenário com roteador único o NAT também não seria necessário.

Se você discorda, está negando tanto a RFC 1631 que mencionou, quanto a RFC 1918. Falando nisso, preste atenção na RFC 3022, que torna a RFC 1631 obsoleta. No item 2.1 há um diagrama com um cenário semelhante ao que você propõe, mas com uma diferença significativa: os dois roteadores secundários possuem endereços IP globalmente roteáveis. Assim, não é necessário que o roteador primário implemente o NAT para que qualquer host possa se comunicar externamente.