Acessar uma rede através de outra!

[José Filipe Madalena da Si]

Tenho rede-01  192.168.3.1/24 dhcp

Rede 01 recebe o uplink 

 

Tenho rede-02 192.168.0.9/24 dhcp

Rede 02 recebe uplink da Rede 01 via WAN 

 

A dúvida é, através da rede 02 consigo acessar tanto o roteador da rede 01 quanto os hosts 

 

Já dentro da rede 01 não não consigo enxergar o roteador da rede 02 e nem os hosts 

O que está ocorrendo 

 

 

[arfneto]

3 minutos atrás, José Filipe Madalena da Si disse:

rede-01  192.168.3.1/24 dhcp

 

Endereços de rede terminam em 0. Esse é um host, talvez o gateway da rede certo? DHCP não faz pare disso. A rede é 192.168.3.0

 

4 minutos atrás, José Filipe Madalena da Si disse:

rede-02 192.168.0.9/24 dhcp

Rede 02 recebe uplink da Rede 01 via WAN 

Esse é outro host. A rede é 192.168.0.0/24

 

5 minutos atrás, José Filipe Madalena da Si disse:

A dúvida é, através da rede 02 consigo acessar tanto o roteador da rede 01 quanto os hosts 

 

Já dentro da rede 01 não não consigo enxergar o roteador da rede 02 e nem os hosts 

O que está ocorrendo 

 

Da rede 2 pode acessar a rede 1, é a rede acima dela. Pode precisar de rotas. O contrário não, ou ao menos não de um modo produtivo.

 

Não deve ligar redes internas via WAN. Esse é seu problema,

[José Filipe Madalena da Si]

18 minutos atrás, arfneto disse:

 

Endereços de rede terminam em 0. Esse é um host, talvez o gateway da rede certo? DHCP não faz pare disso. A rede é 192.168.3.0

 

Esse é outro host. A rede é 192.168.0.0/24

 

 

Da rede 2 pode acessar a rede 1, é a rede acima dela. Pode precisar de rotas. O contrário não, ou ao menos não de um modo produtivo.

 

Não deve ligar redes internas via WAN. Esse é seu problema,

Sim, ola rede é 192.168.0.0 e broadcast final 256, só não entendi o porque conseguia acessar a rede mesmo estando em outra

 

Tenho um PTP usando Litebean M5 3g onde se conecta na WAN de outro roteador getway 192.168.80.1 classe c dhcp e também consigo acessar a rede 01

[arfneto]

 

19 minutos atrás, José Filipe Madalena da Si disse:

Sim, ola rede é 192.168.0.0 e broadcast final 256, só não entendi o porque conseguia acessar a rede mesmo estando em outra

 

Não existe final 256. É um byte, só tem 256 valores, 0..255. O endereço de broadcast é 192.168.0.255, o endereço de rede é 192.168.0.0 e o /24 define a máscara de rede: 255.255.255.0, com 24 bits para rede e 8 para host.

 

Consegue acesar a rede porque é a next hop, e o seu roteador está nas duas redes.

 

Em geral o que você quer numa rede pequena é uma única rede IP. E se acessar a internet for importante considere que pode ter até uns 40% de perda nas redes secundárias por causa dessas ligações LAN/WAN. E uma série de problemas. O certo e simples é manter DHCP nas duas redes e usar somente LAN/LAN para ter uma única rede IP.

 

Escrevi muitas vezes sobre isso mas parei de repetir meses atrás. Tenho uma lista com uns tópicos, não atualizo mais porque nada disso mudou. Se achar que pode ajudar veja em 

 

Alguns números 

 

Outro caso

 

detalhes aqui

 

 

exemplo

 

 

resumo

 

Nunca conecte roteadores secundários via porta WAN. Isso cria outras redes IP e segmenta o tráfego. A primeira rede não vê as outras. As outras veêm a primeira apenas porque nela é que está o gateway padrão dos roteadores. Fora isso quase nada funciona mais direito.

Incorre em múltiplo NAT e pode perder metade da banda nas redes que não a primeira só por causa disso.

Nada vai funcionar direito com dispositivos que não estejam na mesma rede IP. Isso inclui espelhamento de tela de celulares, compartilhamento de arquivos, impressoras wifi, lâmpadas e acessórios smart  e outras coisas.

Encaminhamento de portas tem que ser repetido em TODAS as redes secundárias. Broadcast de rede não passa pelos roteadores e assim coisas como Wake-on-LAN não vão funcionar.

Desconexão temporárias por alguns segundos  acontecem quase sempre devido aos intervalos de lease de DHCP.

Acesso remoto é um pesadelo.

 

 

[Adamastor Abrolio Silve]

Em 12/03/2024 às 14:08, arfneto disse:

Nunca conecte roteadores secundários via porta WAN. Isso cria outras redes IP e segmenta o tráfego. A primeira rede não vê as outras. As outras veêm a primeira apenas porque nela é que está o gateway padrão dos roteadores. Fora isso quase nada funciona mais direito.

Incorre em múltiplo NAT e pode perder metade da banda nas redes que não a primeira só por causa disso.

Nada vai funcionar direito com dispositivos que não estejam na mesma rede IP. Isso inclui espelhamento de tela de celulares, compartilhamento de arquivos, impressoras wifi, lâmpadas e acessórios smart  e outras coisas.

Encaminhamento de portas tem que ser repetido em TODAS as redes secundárias. Broadcast de rede não passa pelos roteadores e assim coisas como Wake-on-LAN não vão funcionar.

Desconexão temporárias por alguns segundos  acontecem quase sempre devido aos intervalos de lease de DHCP.

Acesso remoto é um pesadelo.

 

 

Mas quando o objetivo é esse mesmo, de segmentar o tráfego para que os dispositivos de um roteador não exerguem os dispositivo do outro outro roteador?

 

[url=https://postimages.org/][img]https://i.postimg.cc/HLxfBZ2n/MAPA-REDE.jpg[/img][/url]

 

O exemplo da imagem acima mostra a forma errada de ligar outros roteadores na rede? O correto seria ligar o roteador A e B em uma porta LAN? Fiz o desempenho pois apenas com a explicação em texto eu ainda fiquei com dúvida da forma correta que você fala de ligar os roteadores.

 

 

 

 

 

[arfneto]

Em 12/03/2024 às 11:08, arfneto disse:

Nada vai funcionar direito com dispositivos que não estejam na mesma rede IP. Isso inclui espelhamento de tela de celulares, compartilhamento de arquivos, impressoras wifi, lâmpadas e acessórios smart  e outras coisas.

Encaminhamento de portas tem que ser repetido em TODAS as redes secundárias. Broadcast de rede não passa pelos roteadores e assim coisas como Wake-on-LAN não vão funcionar.

Desconexão temporárias por alguns segundos  acontecem quase sempre devido aos intervalos de lease de DHCP.

Acesso remoto é um pesadelo.

 

Esse é um cenário

 

1 hora atrás, Adamastor Abrolio Silve disse:

Mas quando o objetivo é esse mesmo, de segmentar o tráfego para que os dispositivos de um roteador não exerguem os dispositivo do outro outro roteador?

 

E esse é outro.

 

Se tem redes separadas que não devem se enxergar já sabe de tudo que não vai funcionar, aquelas coisas que eu expliquei. E não importa em seu cenário. Então não precisa de roteadores desse tipo, e não precisa de NAT. Não vai achar supresa que não possa usar uma impressora em mais de uma dessas redes. Ou que não possa comparitlhar pastas de uma certa máquina.

 

Pode usar subnets ou switches gerenciáveis e não as ter perdas decorrentes de NAT. Mas não deve usar aparelhos domésticos como esses roteadores, que são simples adaptadores LAN/WAN através de NAT. Apenas precisa de uma rede estruturada, como era uma rede nos 90, com gateways e tabelas de rotas.

 

 

[Adamastor Abrolio Silve]

@arfneto

 

Citação

Se tem redes separadas que não devem se enxergar já sabe de tudo que não vai funcionar, aquelas coisas que eu expliquei.

Nem todo mundo quer que seus dispositivos se enxerguem. Eu penso que é uma grande falhar de segurança, mesmo em rede domésticas todos os dispositivos se exergarem.  Não falo em empresas, escritórios etc. Falo em cenário residêncial mesmo onde uma familia tem muita pessoas com diversos dispositivos, muitos as vezes velhos e todos vulneraveis ou sobrinhos que ficam fuçando e mexendo em tudo na rede interna. Objetivo seria apenas terem acesso a internet. Não seria preciso acessar a impressora pela rede local.

 

 

Citação

Então não precisa de roteadores desse tipo, e não precisa de NAT.

É unica forma que eu consigo fazer para os dispositivos não se enxergarem, para isolar a rede como eu queria mesmo. Nada se comunicar e apenas acessarem internet. Testando no Wireshark, mesmo com ap isolation ou alguma função de isolamento presente nos roteadores como rede convidado, sempre há comunicação de quem esta ligado no cabo com quem está no wifi.

 

 

Ligando com dois roteadores  e eles ligado ao roteador/modem da operadora foi a unica forma de não haver comunicação de quem está no roteador A com quem está no B.

 

 

Citação

Pode usar subnets ou switches gerenciáveis e não as ter perdas decorrentes de NAT.  .... Apenas precisa de uma rede estruturada, como era uma rede nos 90, com gateways e tabelas de rotas.

 Eu tenho um switch aqui que comprei para testes mas acabei desistindo de usa-lo no dia a dia: TL SG105E. Ele seria esse gerenciavel? Daria para fazer isso?

 

Essa tabela de rotas alguns roteadores domésticos permitem criar? Acho que ja vi isso dentro de alguns roteadores domésticos.

[Linio Alan]

De acordo com o cenário do seu print e levando em conta as ponderações do amigo @arfneto, você poderia usar o seu TL SG105E -- que é um switch gerenciável -- antes dos roteadores e após a ONU, passando ambos roteadores para o modo bridge/AP e desta forma estendendo o domínio broadcast do switch para os dispositivos atrás dos "roteadores" que agora seriam meros repetidores de quadro Ethernet ou seja, o DHCP do switch passaria à atender todos os hosts, e para segmentar uma ou outra rede tem a configuração de VLAN disponível nesse seu TL SG105E, uma solução mais adequado como explanado pelo arfneto, depois só configurar o Gateway/rotas para que a conectividade se estenda aos hosts atrás das VLANs de forma adequada.

[arfneto]

19 horas atrás, Adamastor Abrolio Silve disse:

Nem todo mundo quer que seus dispositivos se enxerguem. Eu penso que é uma grande falhar de segurança, mesmo em rede domésticas todos os dispositivos se exergarem.  Não falo em empresas, escritórios etc. Falo em cenário residêncial mesmo onde uma familia tem muita pessoas com diversos dispositivos, muitos as vezes velhos e todos vulneraveis ou sobrinhos que ficam fuçando e mexendo em tudo na rede interna. Objetivo seria apenas terem acesso a internet. Não seria preciso acessar a impressora pela rede local

 

Tem razão, nem todo mundo. Essa preocupação é, claro, mais comum em empresas. Sabotagem, concorrência, espionagem, propriedade intelectual, tudo isso deve ser considerado. Só que num ambiente comercial há mais conhecimento e equipamentos.

 

Num cenário residencial em geral é mais prejuízo que lucro, em geral. Em que um sobrinho pode "fuçar" numa rede? mexer em que? Rodar um scanner? gerar um DOS na própria rede em que está conectado? capturar pacotes? Zoar o DHCP? Não há muito o que fazer. Não há muito que mexer. O dispositivo velho seria vulnerável a que?

 

Por outo lado o simples espelhamento de tela do celular na TV, o uso de uma impressora, a transferência de arquivos de um micro pra outo, o uso de uma tomada smart, uma lâmpada, passar um filme do celular para a TV usando um app de streaming qualquer... Porque abrir mão disso em uma casa por algum sobrinho?  É claro sua casa, seus sobrinhos e dispositivos, e sua decisão.

 

19 horas atrás, Adamastor Abrolio Silve disse:

É unica forma que eu consigo fazer para os dispositivos não se enxergarem, para isolar a rede como eu queria mesmo. Nada se comunicar e apenas acessarem internet. Testando no Wireshark, mesmo com ap isolation ou alguma função de isolamento presente nos roteadores como rede convidado, sempre há comunicação de quem esta ligado no cabo com quem está no wifi.

 

 

é a noção de rede local, a LAN. A internet não existe na LAN. Existe apenas a noção de tráfego local e o gateway padrão. Nada mais.

 

19 horas atrás, Adamastor Abrolio Silve disse:

Eu tenho um switch aqui que comprei para testes mas acabei desistindo de usa-lo no dia a dia: TL SG105E. Ele seria esse gerenciavel? Daria para fazer isso?

 

2 horas atrás, Linio Alan disse:

passando ambos roteadores para o modo bridge/AP e desta forma estendendo o domínio broadcast do switch para os dispositivos atrás dos "roteadores" que agora seriam meros repetidores de quadro Ethernet ou seja, o DHCP do switch passaria à atender todos os hosts, e para segmentar uma ou outra rede tem a configuração de VLAN disponível nesse seu TL SG105E, uma solução mais adequado como explanado pelo arfneto, depois só configurar o Gateway/rotas para que a conectividade se estenda aos hosts atrás das VLANs de forma adequada.

 

Poderia esse aparelho sim.  Poderia usar DHCP em todos os roteadores, e provavelmente seria melhor fazer isso: apenas importa que os servidores DHCP ofereçam o mesmo gateway padrão, que estaria em todas as VLAN. Mas é o mesmo caso de usar VLAN ou LAN e rotas: na mesma LAN ou VLAN os dispositivos teriam acesso uns aos outros. A diferença entre usar um switch nível 3 e usar LANs distintas --- e rotas --- é de comodidade: pode transferir dispositivos de uma VLAN para outra sem mexer em cabos ou equipamentos. Como eu disse,. isso pode não ser nada importante. Se for, apenas use AP que ofereçam esse tipo de isolamento, algo como dar acesso apenas do dispositivo para o gateway padrão. É um tanto paranóico mas é comum em redes para clientes em supermercados, onde não há mesmo razão para outro uso.