Как настроить домашнюю сеть с двумя маршрутизаторами Wi-Fi, одна из которых обеспечивает постоянный доступ в Интернет, а другая - VPN-соединение?

Question

В моей домашней сети я использую два маршрутизатора Wi-Fi,

• Buffalo WHR-HP-G300N под управлением DD-WRT v24-sp2 (24.07.13) std (192.168.1.2)
• a Linksys WRT320N под управлением Shibby Tomato 1.28.0000 MIPSR2-121 K26 Max (192.168.1.3)

Buffalo предоставляет сеть Wi-Fi 2,4 ГГц, поддерживает соединение PPPOE через мою линию ADSL, обеспечивает назначение адреса DHCP (192.168.1. *) И к нему подключено несколько устройств (телефон VoIP и т.д.).

Linksys подключается к Buffalo через соединение LAN - соединение WAN отключено, а порт WAN используется в качестве LAN, он обеспечивает сеть Wi-Fi 5 Гц, и к нему подключаются устройства, поддерживающие GBit Lan (домашний сервер, NAS), поскольку Linksys также выполняет переключение GBit.

Недавно я подписался на VPN-провайдера Mullvad для повышения общей конфиденциальности при обходе исходящих соединений / геолокации. Shibby Tomato настроен на установление VPN-соединения, и, насколько я могу судить, соединение установлено и работает - по крайней мере, журналы не предоставляют информацию о том, что что-то идет не так, я получил устройство TUN (tun11) в таблицах маршрутизации и т.п.

Я хочу добиться следующего:

• Сеть Linksys Wifi обеспечивает доступ к Интернету через VPN-соединение.
• Маршрутизатор Буффало обеспечивает доступ к интернет-каналу без VPN
• На Linksys некоторые устройства на определенных портах LAN должны направлять весь свой интернет-трафик через VPN
• На Linksys некоторые устройства должны маршрутизировать трафик через "нормальное" соединение DSL
• На Buffalo все устройства, подключенные к портам LAN, могут использовать обычное DSL-соединение (для портов LAN не требуется VPN)
• Все устройства должны иметь возможность подключаться друг к другу по внутренней сети (192.168.1.*)

Прямо сейчас, никакой трафик не идет через VPN, я предполагаю, что, так как Маршрутизатор Buffalo (192.168.1.2) получает адреса через DHCP, он также объявляет себя как шлюз по умолчанию ... Независимо от того, включу ли я DHCP на Linksys, все, что подключится, получит шлюз по умолчанию 192.168.1.2 ...

Таблица маршрутизации Linksys выглядит следующим образом:

У меня очень ограниченные знания сетей этой сложности, поэтому я не знаю, какое решение лучше, может быть, с использованием VLAN, может быть, оно предполагает ручную настройку IPTables на маршрутизаторе, это за пределами моего понимания. Или то, что я хочу сделать, не может быть сделано вообще?

Редактировать - В ответ на ответ Iszi:

Мне было интересно, если VLAN не позволят этот тип поведения? И dd-wrt, и Shibby's Tomato позволяют настраивать VLAN по принципу "на порт". Я мог бы настроить частную сеть для Buffalo - распределить адресное пространство DHCP 192.168.1.50-100 и перевести их на соединение ADSL. Весь трафик для этой сети может быть помечен идентификатором VLAN, т.е. VLAN1

Тогда я мог бы установить двойные частные сети на Linksys, то есть распределить адресное пространство DHCP, например, 192.168.1.10-49, и пометить все порты / интерфейсы, которые должны соединяться с этим, как VLAN1. Исходя из моего ограниченного понимания назначения VLAN, они должны поддерживать именно этот вариант использования сетей, распределенных по разным маршрутизаторам, что делает их обработанными как IF в одной сети, в соответствии с их маркировкой VLAN.

Затем я бы настроил и вторую сеть, распределив адрес DHCP по адресу 10.8.0. *, Помечая весь трафик на желаемых портах / интерфейсах, например, VLAN2 ...

Если я могу добиться настройки VPN в качестве шлюза для 10.8.0.* Сеть VLAN2 и соединение PPPOE в качестве шлюза для 192.168.1.* / VLAN1 для этого, это в основном позволило бы мне назначить VPN-доступ для каждого порта / интерфейса. Итак, опять же теоретически, я мог бы также установить первичное соединение Wi-Fi 5 ГГц, маршрутизируемое в сеть 192.168.1. *, А виртуальная беспроводная точка доступа - в сеть 10.8.0. * ...

Что я не понимаю, так это то, как - или если, было бы возможно разрешить доступ из VLAN1 в VLAN2 (или, если это невозможно).... Другое дело, что это чисто теоретическое соображение, поскольку необходимая настройка iptables на данный момент мне неизвестна. Если бы кто-то мог обрисовать в общих чертах потребности маршрутизации или просветить меня, ЕСЛИ и КАК это использование VLANS имеет смысл, я был бы признателен за это.

Answer 1

Я сильно сомневаюсь, что вы сможете получить конфигурацию в точности так, как вы этого хотите, в то время как маршрутизаторы будут обрабатывать VPN-соединение. Конкретные проблемы (если не упущенные возможности) будут:

• Получение некоторых портов на Linksys для использования VPN, а другие нет.
• Получение данных с одного маршрутизатора для связи по локальной сети с устройствами на другом, в то время как Linksys подключен к VPN.
• Получение устройств вне VPN для внутренней связи с устройствами, которые находятся в VPN.

Я предполагаю, что ваш VPN-провайдер позволяет вам иметь только одно соединение за раз, поэтому вы хотите использовать маршрутизатор для распределения доступа к этому соединению между несколькими устройствами. Учитывая это, вот лучшее, что я могу придумать:

---

Подключите ваши маршрутизаторы, как показано ниже.

[Gateway]---WAN:[Buffalo]:LAN---WAN:[Linksys]

Убедитесь, что оба маршрутизатора настроены для работы в качестве маршрутизаторов, а не в "режиме моста". Оба маршрутизатора должны получать IP-адреса WAN через DHCP и обслуживать IP в своих соответствующих локальных сетях с помощью DHCP. Убедитесь, что сторона LAN каждого маршрутизатора находится в другой подсети (например: Buffalo LAN на 192.168.1.0/24 и Linksys LAN на 192.168.2.0/24).

Подключите все, что должно быть в VPN, к маршрутизатору Linksys, а все остальное к маршрутизатору Buffalo. Затем настройте VPN на Linksys.

---

При такой конфигурации все, что стоит за Linksys, должно отправлять свой трафик из VPN, а все, что подключено к Buffalo, - нет. В зависимости от того, разрешают ли правила VPN (или самого клиента Linksys VPN) раздельное туннелирование, ваши устройства могут не иметь возможности устанавливать внутреннюю связь. Если раздельное туннелирование поддерживается, устройства позади Linksys, вероятно, смогут устанавливать исходящие соединения с устройствами, подключенными к Buffalo, но вам нужно будет настроить переадресацию портов для любых соединений, входящих в Linksys (даже в этом случае VPN может или может не позволять это).

Короче:

• Подсеть 1 для Интернета: Прямая
• Подсеть 2 в интернет: VPN
• Подсеть 2 - Подсеть 1: Теоретически возможно, в зависимости от поддержки разделения туннелирования.
• Подсеть 1 к Подсети 2: вряд ли возможно. Будет зависеть от поддержки раздельного туннелирования и потребует переадресации портов и / или настроек DMZ на Linksys.

---

Что вы должны сделать, если можете, чтобы все настроить так, как вы хотите, это настроить отдельные клиенты и соединения для каждого из устройств, которые вы хотите иметь в VPN. Таким образом, независимо от того, как вы расположите свою сетевую инфраструктуру и другие устройства, эти устройства будут единственными, использующими VPN, а другие должны иметь возможность свободно обмениваться данными друг с другом. Тогда единственные локальные проблемы с подключением, которые у вас могут возникнуть, будут между несколькими устройствами, которые находятся в VPN, и теми, которые не являются. Это также даст этим устройствам возможность использовать VPN за пределами вашей локальной сети.