DMZ 和第二个路由器

DMZ 和第二个路由器

我有一个 ISP 提供的路由器调制解调器(BT Smart Hub TypeA),家里的每个人都会连接到它(wifi 和电缆),我想保持原样,因此它仍为 DHCP,使用 192.168.0.x/255.255.255.0 作为子网和掩码,并带有 NAT。我还有一个 Netgear DGND3700(其 WAN 端口)连接到 BT 路由器(LAN 端口 1),使用 Netgear 的静态 IP(192.168.0.253),在 BT 上设置。我打开了 BT 路由器上的 DMZ 设置,并将 DMZ 配置为使用 Netgear 路由器的静态 IP(192.168.0.253)。Netgear LAN 设置的 IP 范围与 BT 路由器不同(192.168.1.x/255.255.255.0),并启用了 DHCP 和 NAT。

该计划是将“智能”家电和廉价的中国互联网设备连接到 DMZ 中的 Netgear,以便它们可以访问互联网,而看不到/访问家庭网络(192.168.0.x)并避免双重 NAT。

一切都连接良好,可以从两个路由器上看到互联网,孩子们对 BT 路由器和 Netgear 没有任何抱怨,它的设备也可以正常访问互联网。

我的问题是,当我连接到 Netgear 时,我的计算机/手机会获得 Netgear IP 地址,但仍然可以访问其他子网上的设备。整个目的是防止 Netgear 上的设备看到 BT 路由器上的设备.....我甚至无法访问 BT 路由器。

我做错了什么?请帮忙……更改设置却一无所获,真是让我抓狂!!!

谢谢

答案1

是的……您在这里将路由器与防火墙混淆了。NAT != 防火墙,尽管有时它可以充当防火墙。问题是来自 Netgear 的流量必须穿过 192.168.0.X 网络才能到达 192.168.0.1 才能通过 NAT 连接到互联网。连接到 Netgear 的所有设备都经过双重 NAT,我不知道是什么让您认为不是。路由器的 WAN 端从您的主路由器接收私有 IP 地址。DMZ 并不意味着没有发生双重 NAT。

至于如何解决这个问题,您有一些选择;您可以尝试在 Netgear 上设置防火墙规则,以阻止对除 192.168.0.1 之外的所有内容的访问;但这可能得不偿失。您可以要求您的服务提供商提供第二个 IP 地址,并将您的 Netgear 直接插入您的 ONT(如果您有光纤服务),或者使用交换机(调制解调器 <> 交换机 <>[路由器 1|路由器 2])拆分调制解调器的端口。

剩下的选择是放弃 BT 路由器,换上带有合适防火墙的设备(我喜欢 Ubiquiti 的 EdgeRouter 设备,但还有许多其他选择),它可以在一个设备中实现具有自己的广播域和子网的适当 DMZ,从而无需使用第二个路由器(当然,您仍然可以使用第二个路由器作为接入点,通过专用的 SSID 和密码安排为该网络提供无线服务)。

FWIW,我做了类似后者的事情;我有一个<myssid>-iot无线网络,它在整个房子的单独 VLAN 上运行到 3 个 UniFi 接入点,这些接入点也广播<myssid>。我的 EdgeRouter 是这两个网络的“网关”,并且我实施了防火墙规则,以便我可以与 IOT 空间中的事物进行通信(以管理它们),但它们无法不受限制地访问房屋空间。我也使用<myssid>-guest相同原理的网络,它可以访问互联网,但与其他两个网络完全隔离。这个设置的最大缺点是它不适合胆小的人。我想我已经投入了大约 600 美元,或大约这个数字。YMMV;但至少我有 60 台设备定期连接或正在连接,所以我很久以前就已经不再需要单 AP 消费级产品了。

相关内容