Мы собираемся сдать в аренду подвальный этаж в нашем доме и хотим предложить Интернет как часть пакета. Однако я не хочу, чтобы у нижнего жителя был доступ к нашей сети (домашний офис = личные данные).
В настоящее время у нас есть брандмауэр pfsense в качестве шлюза, а сервер Windows Server 2003 выполняет наши основные DHCP (192.168.0.0/24) и DNS. Вот что я хотел бы сделать ...
Я хотел бы настроить другую подсеть на DHCP-сервере (192.168.1.0/24) и подключить другой беспроводной маршрутизатор (только как точку доступа) и адресовать его как 192.168.1.1 ... оттуда маршрутизатор подключится к нашему первичный коммутатор, а затем через брандмауэр.
Будет ли сервер 2003 (если я добавлю IP 192.168.1.x / 24 к nic) обслуживать DHCP устройствам, которые подключаются к новому маршрутизатору, и изолирует ли он это от нашей сети?
Заранее спасибо ... Я новичок в нескольких подсетях.
Чтобы предотвратить доступ нижележащих клиентов к вашей сети, у вас не может быть двух подсетей в одной физической сети (т. Е. Вы хотите подключить точку доступа к вашему основному коммутатору). Вам нужно либо приобрести коммутатор, поддерживающий VLAN, чтобы можно было иметь две логические сети через один физический коммутатор, либо вам нужно иметь два отдельных коммутатора. Затем два отдельных коммутатора подключаются к брандмауэру на разных сетевых интерфейсах, но брандмауэр не выполняет маршрутизацию между двумя подсетями - только между подсетями и Интернетом.
Что касается DHCP, предоставляет ли брандмауэр или маршрутизатор / точка доступа DHCP-сервер? Если нет, вы можете добавить вторую сетевую карту в свой сервер Server 2003, подключить ее к подвальному коммутатору / подвальной VLAN, добавить 192.168.1.x / 24 в качестве новой области, а затем убедиться, что DHCP привязан ко второму сетевому адаптеру в дополнение к первому. Тем не менее, ваш сервер Server 2003 будет доступен из подсети, расположенной в подвале, поэтому он должен быть достаточно защищен.
Ваш брандмауэр может поддерживать DHCP-ретрансляцию, которая может пересылать DHCP-запросы, исходящие из подвала, в ящик Server 2003 и проксировать их обратно, так что клиенты в подсети подвала не могут получить доступ к ящику Server 2003.
Лучшим решением было бы добавить еще одну сетевую карту на брандмауэр. Затем вы можете подключить к ней сеть 192.168.1.0/24 и настроить брандмауэр, чтобы не разрешать трафик между двумя внутренними сетями.
pfsense может предоставить DNS и DHCP для сети клиента.
Вы можете просто каскадировать два маршрутизатора (pfSense и еще один Linksys или что-то еще):
модем -> pfsense -> переключатель -> linksys
pfsense: WAN, на модем, как обычно. LAN для ваших клиентских машин, использующих DHCP, и для вашего WAN-интерфейса Linksys.
switch: чтобы дать вам достаточно портов для всего этого.
Linksys:
WAN: к порту коммутатора, получение IP от pfSense
LAN: ваши домашние офисные машины с отключенным DHCP (я предполагаю, что сервер Win2003 использует DHCP).
Linksys по умолчанию отбрасывает все со стороны «WAN», которая будет их сетью; вы, однако, можете выполнить NAT для сети клиента и двойной NAT для Интернета.
Имейте в виду, что разрешение входящих Интернет-сервисов в вашу сеть затруднительно. Но если вы не используете Exchange или какие-либо серверные службы, приложения и т. Д., Это будет работать нормально.
Другой вариант (я предпочитаю это) - получить коммутатор Netgear Layer 2 (менее 100 долларов в NewEgg), настроить пару VLAN - одну для вас, одну для ваших клиентов, pfSense, выполняющий DHCP для обоих (или один , и ваш сервер Win2003 может выполнять DHCP за вас), и настроить VLAN на интерфейсе LAN и подключить его к магистральному порту на управляемом коммутаторе; таким образом вы можете добавить правила брандмауэра для отбрасывания / разрешения пакетов между двумя сетями по мере необходимости. Эта топология называется маршрутизатор на палке и хорошо поддерживается pfSense.