Два маршрутизатора, DMZ включен и брандмауэр выключен, плохая идея?

Question

Сначала я объясню, как я это настраиваю:

У меня есть два роутера.  Один из них - это комбо ONT/Router (Huaweii), предоставленный моим интернет-провайдером с ограниченными правами, а другой - Asus Router ACRH1300.  Поскольку пользователь ONT/Router ограничен, я не смог перевести ONT в режим моста; поэтому люди на других форумах рекомендовали это:

1. IP-адрес ONT LAN равен 192.168.100.1, а диапазон DHCP - от 192.168.100.3 до .255

2. ONT WLAN выключен

3. ONT подключается к Asus Router из LAN1 в WAN

4. Все устройства подключены к Asus Router через Wi-Fi

5. Статический IP-адрес маршрутизатора Asus: 192.168.100.2, подсеть - 255.255.255.0, а шлюз - 192.168.100.1.

6. IP-адрес маршрутизатора Asus LAN равен 192.168.50.1

7. Asus Router DHCP выключен

8. Выключает Asus Router и подключает ONT от LAN1 к LAN1 в маршрутизаторе Asus

9. Включает Asus Router

После этого я больше не мог получить доступ к настройкам роутера Asus.  Затем я вспомнил о IP-адресе локальной сети, поэтому я изменил IP-адрес своего ПК в Windows с автоматического на статический и установил его на 192.168.50.2.  Конечно, при этом у меня не было Интернета, но я снова мог получить доступ к настройкам Asus, затем я подумал о переключении режима в режим AP, но это отключит брандмауэр, поэтому я не сделал этого (я объясню почему через секунду), изменил IP своего ПК с Static на Automatic снова, и здесь я спрашиваю это.

Дело в том, что другие пользователи из того же провайдера и ONT сказали мне, что, поскольку они дают нам только ограниченный доступ, есть много проблем с портами и прочим, поэтому они рекомендовали мне установить мой маршрутизатор Asus в качестве хоста DMZ (192.168. 100.2), фактически открывая все порты для моего маршрутизатора Asus и позволяя Asus управлять портами с помощью своего брандмауэра, означает ли это, что если я установлю маршрутизатор Asus в режим AP, который отключит оба брандмауэра, и в основном у меня не будет аппаратного брандмауэра защита вообще?

Должен ли я удалить хост DMZ? Должен ли я НЕ установить свой маршрутизатор Asus в режим AP?

По сути, я больше не знаю, какая конфигурация самая лучшая.  Я читал много вещей, я делал это, чтобы у меня не было особых проблем с ограниченным ONT от моего интернет-провайдера, но я также не хочу быть полностью подверженным попыткам взлома или тому подобное, я также не хочу находиться под слишком большим количеством уровней NAT.

PS: Я новичок в этом сетевом деле, поэтому, пожалуйста, будьте терпеливы со мной.

---

Итак, в основном я должен вернуться к почти заводским настройкам, за исключением статического IP, это то, что я понимаю и знаю, как это сделать:

1. Дайте ASUS маршрутизатору статический IP, готово.
2. Установите DMZ на ONT на 192.168.100.2, я сделал это, а затем удалил, но я знаю, как это сделать.
3. Установите IP-адрес локальной сети на 10.0.0.1, я полагаю, это не имеет значения, если он находится в частном диапазоне? Например, предыдущий IP-адрес локальной сети в маршрутизаторе Asus был / равен 192.168.50.1, за исключением случаев, когда абсолютно необходимо установить его как 10.0.0.1, в любом случае я знаю, что могу установить для IP-адреса локальной сети все, что захочу, а также маску сети, DHCP и спектр.
4. Это то, что для меня ново, и я не уверен, что в ONT есть такая опция, я видел вкладку «Маршрут» в настройках Asus, но настройки ONT более ограничены, означает ли это, что маршрутизатор Asus будет подключаться к ONT через 192.168. 100.1 и ONT будет подключаться к роутеру Asus через 10.0.0.1? -. Я нашел эту опцию в настройках ONT https://imgur.com/a/FMBuxTN, это где я должен установить маршрут? Что-то вроде внутреннего хоста: 10.0.0.0, IP-адреса внешнего источника: 10.0.0.1 - 255.255.255.0 (я не знаю, правильный ли это инструмент, вероятно, нет).
5. Если я могу сделать шаг 4, отключить NAT на ASUS, я знаю, что есть возможность отключить NAT на той же вкладке, где я установил статический IP, так что я знаю, что это можно сделать.

Моим самым большим препятствием, вероятно, является шаг 4, так как я не знаю, где найти эту конкретную настройку или она вообще там есть.

Спасибо, и я надеюсь, что вы все еще можете мне помочь.

Answer 1

Ответ немного зависит от того, что вы хотите сделать. Для максимального контроля и гибкости я бы преобразовал ASUS обратно в сервер маршрутизатора (включая DHCP), и он был бы расположен между вашей локальной сетью и ONT.

Для этого назначьте маршрутизатору ASUS статический IP-адрес. На WAN - 192.168.100.2 - хороший вариант.

Установите DMZ на ONT на 192.168.100.2 - чтобы весь трафик, исходящий из Интернета, перенаправлялся на него. Это должно быть безопасно, потому что это WAN - то есть ненадежный - интерфейс.

Установите IP-адрес локальной сети на маршрутизаторе 10.0.0.1 (маска сети 255.255.255.0) и включите DHCP-сервер и диапазон.

Если возможно, установите маршрут в ONT для сетевой маски 10.0.0.0 255.255.255.0 и шлюза 10.0.0.1. Если вы можете сделать это, то отключите NAT на ASUS - эти 2 шага позволят избежать двойного NAT, что хорошо, но все будет работать, даже если вы не можете.

Как только это будет сделано, вы будете эффективно рассматривать ONT как оборудование для провайдеров, а маршрутизатор - как сеть, которой вы доверяете и которой управляете. Это, вероятно, более безопасно и гибко, чем запуск ASUS в качестве точки доступа, что фактически означает, что ONT контролирует вашу сеть.