Integrar sub redes Roteadores Archer

EduardoCosta2020 · 20 de abril

Olá!

Olha só este cenário!

O roteador AX73 só consegue fazer Controle de Acesso e vinculação IP MAC até 64 dispositivos. Tenho 80 dispositivos. Para os 16 dispositivos restantes usei um AX12.

Desta forma, o AX73 usa a sub rede classe C 192.168.0 e o AX12 usa a subrede classe C 192.168.1.

A subrede 192.168.1 está hierarquicamente abaixo da subrede 192.168.0. Usando portas LAN AX73 (.0.) e WAN AX12 (.1.).

Desliguei o firewall SPI e habilitei pings WAN e LAN.

Ao tentar uma rota estática origem 192.168.0 para destino 192.168.1 não consegui fazer a comunicação.

Variei todas as combinações nas configurações do roteamento estático: máscara entre 255.255.255.0 e 255.255.0.0, via LAN e WAN, Gateway os IPs WAN e LAN dos dois roteadores. Tentei até mudar a classe do roteador destino para B 128.1. e todas as combinações novamente.

Eu apenas necessito que o roteador AX73 192.168.0 acesse os IPs do roteador AX12 192.168.1 (ou outra subrede).

O que eu deveria ter feito e não fiz? (Configurações e Conexões).

Obrigado!

Buga Laza · 20 de abril

Para uma rede com 80 dispositivos, já está fazendo errado em controlar o acesso através do endereço MAC. Existem outras maneiras muito mais seguras e eficientes, como por exemplo, a autenticação 802.1x.

De toda forma, o que você deseja é possível. No entanto, de acordo com a documentação do Archer AX12, não é possível desativar o recurso NAT, que seria o desejável.

Para configurar a rota estática, de acordo com os dados informados, e supondo que o endereço IPv4 do Archer AX12 seja 192.168.1.1, a configuração deve ser:

Network Destination: 192.168.1.0
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.1.1
Interface: LAN/WLAN

arfneto · 21 de abril

Acho que está "nadando contra a correnteza" e isso cansa muito. Esses aparelhos não foram feitos para isso e, a menos que tenha escrito scripts de automação para controlar --- a manutenção de uma coisa dessas é chata, impossível, para dizer o mínimo. Considere um servidor de autenticação. Pode ser um micro antigo rodando Linux, ou RouterOS que é Linux. RADIUS é o serviço de que precisa, e fi criado exatamente para isso.

Acho que todo aparelho relativamente moderno é compatível com isso, e todos esses dessa marca TP-Link.

E do modo como está tentando a performance vai cair muito na segunda rede, E trazer muitos outros problemas, com encaminhameno de portas, streaming, impressoras e tal.

Se isso está indo bem pra você divida os dispositivos em dois grupos de 64 e deixe uma única rede IP. Não use as portas WAN. O simples. Use DHCP nos dois e uma white list em cada um. Vai ter muito menos trabalho e muito melhor performance.

Mas o simples é usar um servidor Radius.

Buga Laza · 21 de abril

O Windows Server também possui a sua implementação RADIUS, caso tenha algum instalado na tua rede. Trata-se do serviço "Servidor de Políticas de Rede", também conhecido pela sigla NPS.

Pode também implementar a autenticação RADIUS também para a rede cabeada, desde que possua switches compatíveis com o protocolo 802.1x.

EduardoCosta2020 · 23 de abril

@apresenta problemas Laza @apresenta problemas Laza Obrigado pela resposta. Cerca de 70 destes dispositivos são IoT e Câmeras IP sem suporte a EAP. As redes IoT e Visitante da TP Link estão sujeitas a Arp Spoofing. Sem implementar um RADIUS, que antes não era necessário, só sobrou usar ARP nativo do roteador. O volume de dados é baixo e sem gamming. Streaming estão na rede hierarquicamente superior e por QoS estão em ordem. Quanto a performance isso não chega a ser problema. As câmeras estão em Switch não gerenciável (RJ45) e os dispositivos IoT geram pouco tráfego. Se fossem dispositivos de maior consumo de banda a solução seria outra. Apenas resolvi com um roteador "maiorzinho" AX73. Ponto de Acesso C80 e C6, O AX12 estava como backup para pontos de acesso que seriam escalados em caso de falha do AX73. Agora AX12 só tem IoT. Entrou em ação após uma atualização de firmware mandatória após descontinuação do AX73 que restringiu vários recursos. Entre eles uma lista positiva de 128 para 64 MACs. Tenho a impressão que este modelo, foi "podado", uma vez que tinha performance suficiente para substituir as opções de entrada da linha Omada. Esta rota estática eu já tentei e não funciona. Entretanto, é o que também entendo estar na cartilha, deveria funcionar, parece bug, mas conseguir suporte para um produto descontinuado não é fácil. Queria ter certeza que não deixei passar nada. Obrigado mesmo assim.

@arfneto Eu detalhei o meu cenário em outra resposta, para não ficar ficar cansativo, vou só comentar que eu simplesmente não precisava de RADIUS. 70 dispositivos IoT e Câmeras IP. Um roteador AX73, C80 e C6 como ponto de acesso. Por baixo tráfego, rodava tranquilo. Mais um router não estava nos planos, seja um PC Linux ou não. De todo jeito, obrigado. Eu queria ter certeza de que não esqueci alguma sutileza destes router AX73 e AX12.

Monitor de performance AX73 com Home Shield solução completa, ARP, Filtro MAC e QoS. 64 dispositivos.

Monitor de performance AX12 com ARP, Filtro MAC e 16 dispositivos, se desligar o rádio para derrubar Wi-Fi, a demanda mal cai. O monitor de performance é o que mais consome

arfneto · 23 de abril

54 minutos atrás, EduardoCosta2020 disse:

Eu detalhei o meu cenário em outra resposta, para não ficar ficar cansativo, vou só comentar que eu simplesmente não precisava de RADIUS. 70 dispositivos IoT e Câmeras IP. Um roteador AX73, C80 e C6 como ponto de acesso. Por baixo tráfego, rodava tranquilo. Mais um router não estava nos planos, seja um PC Linux ou não

Entendo. Mas um servidor de autenticação não é um roteador. E não é pra ser um peso mas sim um benefício. É muito mais simples de administrar. Provavelmente não em essa necessidade porque seus dispositivos estão sempre na rede e nem geram tráfego. Se atendesse 70 dispositivos de um universo de 500 cadastrados, como celulares, tablets e notebooks, veria a dificuldade em manter essas listas atualizadas. Por isso se usa algo como RADIUS e LDAP.

Tem um script para substituir um roteador desses em caso de pane, por exemplo?