我正在尝试在两个子网上共享几台打印机,但一直遇到问题。我试图找出实现此目的的最佳方法,同时维护公共子网和私有子网。
在 LAN 之间的路由器上,我禁用了 DHCP,并从无线路由器为其指定了一个静态 IP。我一直试图通过此路由器转发打印机的端口,但由于它不充当 DHCP 服务器,所以似乎什么都没做成。
我能够8080从无线子网 ( )连接到远程管理端口 ( 192.168.1.0/24),但无法连接其他任何设备。
如果我可以提供更多信息,请告知我并告知我。
我希望两个 LAN 都能访问互联网,但我不希望公共 LAN 能够访问私有 LAN 上的打印机以外的任何东西。
OpenBSD 机器当前有两个正在使用的接口,我们可能有额外的硬件可以在必要时使用。
无线路由器是思科 DPC3825,我可以登录它。
我尝试使用来连接 LAN 的路由器是旧的 LinkSys WRT54G。
答案1
在我看来,您拥有的网络过于复杂,难以维护。只需在 OpenBSD 服务器上增加一个 NIC,您就可以拥有一个更易于控制和维护的系统 - 而且 - 我认为 - 更安全,因为无线路由器只有一条可能连接到互联网的路径。
我建议的解决方案如下:(请原谅我给出的是一个简短的图表)
这里的想法是让 OpenBSD 框处理所有事物的所有路由。
在 Wifi 路由器上禁用 DHCP(实际上禁用所有内容,将其转变为接入点),并在 OpenBSD 服务器上为受保护接口和客户接口运行 DHCP。
将每个接口放在单独的子网上(例如 192.168.100.0/24 和 192.168.101.0/24),这样不受保护的内容要与受保护的内容(或世界)进行通信,就需要通过 OpenBSD 服务器。
在 OpenBSD 路由器上设置防火墙以防止不必要的通信。
您可以执行策略路由例如,如果您希望 Wifi 路由器仅使用 2 个调制解调器中的一个)。当然,根据您的链路聚合路由器,您可能需要在那里做一些工作 - 或者实际上,您可能希望完全摆脱它,并且设置你的 OpenBSD 盒来执行聚合路由。
我注意到我将打印机放在了 Wifi 路由器后面 = 不受保护的网络。这使得受保护的网络更安全,因为这意味着您不需要允许不受保护的网络连接到受保护的网络。另一方面,它使在受保护的网络上设置打印机变得有点困难,因为它们将无法扫描子网。另一种方法是将打印机放在受保护的网络中,并允许不受保护的网络通过防火墙访问打印机。
我注意到我已经使用 OpenBSD 服务器中的附加网卡完成了此操作。如果您的打印机是 VLAN cpabale,则另一种解决方案是保留 2 个网卡,然后在交换机上使用 VLANS 来指定每个网络。 这使得管理更加容易,需要的硬件更少,但前提是 VLAN 是安全的- 这一假设值得商榷。如果您采用这种方式,并且拥有一台高级打印机,您可能能够使打印机通过两个 VLAN 均可访问,因此安装起来很容易 - 但这取决于打印机,可能不切实际。
(顺便说一句,我非常喜欢 VLAN 解决方案 - 另外,虽然我几乎完成了所有这些工作,但我从未认真使用过 OpenBSD - 我的解决方案都是基于 Linux 的)