У меня роутер VyOS. VyOS - это форк OSS для Vyatta pre-Brocade / pre-Ubiquiti EdgeRouter. Он имеет DMZ, выходящую на несколько серверов, которые обращены к общедоступным, и частную зону, выходящую на наши частные сети Wi-Fi и Ethernet.
Ранее мы работали над DSL с одним статическим IP-адресом. Модем DSL был просто в режиме моста, и статический IP-адрес был назначен интерфейсу WAN маршрутизатора VyOS. DSL (и один IP-адрес) стали неприемлемыми.
Мы настраиваем Интернет Comcast Business Class (5 статических IP-адресов). С ним вы должны использовать Comcast Business IP Gateway (модный модем DOCSIS 3.0, в данном случае Cisco type-BWG model-DPC3939B), если вы хотите иметь статические IP-адреса (ваше собственное оборудование разрешено только с динамическим IP-адресом. ). Кроме того, если вы хотите иметь статические IP-адреса, вы не может перевести шлюз IP в режим моста. Если вы это сделаете, он вернется к динамической адресации. Статическая адресация доступна только в режиме маршрутизатора, хотя Comcast подчеркивает, что вы можете отключить все функции маршрутизатора (DHCP, NAT, WiFi, межсетевой экран и т. Д.) И использовать собственное оборудование (наш маршрутизатор VyOS) за модемом. И здесь все странно.
5 статических IP-адресов поступают из / 29: в нашем случае это от * .168 до * .175, с * .168 и * .175 зарезервированы / непригодны для использования, а * .174 назначен IP-шлюзу, оставляя нас с * .169, * .170, * .171, * .172 и * .173 для использования в нашем оборудовании. * .174 - это «шлюз по умолчанию», адрес, через который проходит весь исходящий трафик.
Я могу настроить простую конфигурацию, при которой VyOS имеет один статический IP-адрес (* .169) в своей глобальной сети, и весь трафик входит и выходит из него через шлюз IP. Работает нормально. Но я не уверен, как / как лучше всего использовать все пять. Я предположил, что могу назначить все пять адресов глобальной сети и использовать NAT 1: 1 (DNAT + SNAT) для обработки сопоставления входящего трафика с этих общедоступных IP-адресов с частными IP-адресами в DMZ и наоборот, но я хотел Избегайте этой настройки. (Я знаю, что мне нужно использовать SNAT для моих частных сетей DHCP / WiFi / Ethernet; мне не нужна помощь с этим.)
Я надеялся, что смогу назначить только один общедоступный IP-адрес (* .169) для VyOS WAN, а затем назначить * .170 - * .173 непосредственно хостам в моей DMZ, настроить VyOS для маршрутизации трафика на эти общедоступные IP-адреса в DMZ и настроить шлюз IP для отправки всего трафика * .169 - * .173 на * .169 для дальнейшей маршрутизации. Это возможно? Или приведенный выше подход NAT - лучшее / единственное решение?
В общем, инструмент, который вам нужен / нужен здесь, - это proxy arp. Ваш маршрутизатор отвечает на запросы arp, как если бы это был рассматриваемый хост, и затем может направить его в исходную сеть.
Я понятия не имею, поддерживает ли это vyos.
Все, что вам нужно сделать, это купить еще 4 роутера. Любой Netgear сделает это, а затем сделает WAN-адрес одним из статических IP-адресов. Адрес шлюза будет один на маршрутизаторе Comcast, но не будет одним из 5, он, вероятно, будет на одно число выше вашего максимального числа в 5. Каждый из новых маршрутизаторов, которые вы покупаете, будет полноценным маршрутизатором и его можно будет настроить. как хотите. У меня есть эта установка, и она отлично работает.