一位新租户搬进来,他想要拥有自己的私人网络,并且他的私人网络和我的私人网络之间没有任何通信。此外,他不希望像大多数家用调制解调器和路由器那样集中记录网络流量。
房东只有一条来自 ISP 的以太网电缆。如果我将 ISP 电缆、房主的路由器和新租户的路由器连接到非托管交换机,然后对房东的路由器进行编程以使用私有网络 192.168.1.0,并让新租户对其路由器进行编程以使用 192.168.2.0。这可行吗?它能满足新租户的隐私需求吗?
家庭网络图:
答案1
如图所示,没有。
首先,标准的 ISP 住宅合同只提供一个公共 IP 地址;如果要获得更多 IP 地址,通常需要签订一份价格高得多的商业合同。我假设这也是一份标准的住宅合同,而不是商业合同。
如果只有一个 IP,则它属于您的路由器。任何在 WAN 端口后连接的设备都通过 ISP 的路由直接连接到互联网,因此它需要一个单独的公共 IP 地址。这意味着您不能只在 ISP 和路由器的 WAN 端口之间放置一个交换机并期望它能正常工作。
如果您的租户仅通过 Wi-Fi 访问互联网,您可以为他提供单独的 SSID。但是,关于日志记录的问题 - 路由器可能会也可能不会记录流量,并且您可能也可能没有可能影响行为。您当然可以在路由器的管理界面中检查这一点。
如果您的路由器支持 VLAN,您可以为您的租户创建一个单独的 VLAN,其 IP 子网为 192.168.2.0/24,但日志记录问题仍然存在。
我认为只有三种方法可以解决这个问题:
- 您的租户联系自己选择的 ISP 来安排自己的互联网接入
- 你联系了你的 ISP,讨论了在你的连接中添加另一个路由器设备的可能性——我怀疑这是否会被允许,如果允许,那么单独的公共 IP 可能会花费一些钱
- 您为租户提供自己的 VLAN 或单独的 SSID,租户自己获得 VPN。这是唯一可靠的方法,让您、路由器或 ISP 无法知道他们在做什么。路由器仍然可以记录流量,但只能看到 VPN 端点之间的数据包。隧道内的流量是加密的,因此任何人都无法知道他们正在访问什么。
正如@ilkkachu 和@user1686 已经指出的那样,住宅合同中提供的路由器资源非常紧张,因此不太可能进行任何有意义的日志记录。不过,知识渊博的人肯定能找到一种方法来跟踪路由器和 ISP 之间的流量,以收集自己的日志。
请注意 - 这只是为了完整性而添加的。我绝不是在暗示原帖者会考虑开始计划这样的事情 :-)
答案2
此外,他不希望像大多数家用调制解调器和路由器那样集中记录网络流量。
但他们通常不会......(许多家用路由器实际上甚至没有这样的资源。(除了 CPU 要求,他们在哪里店铺如果操作系统本身不足以容纳闪存芯片,那么这些日志呢?
是的,您的布局将创建两个互不交互的独立网络。(实际上,路由器甚至不需要具有不同的 LAN 地址 - 只需具有 Wi-Fi SSID必须有所不同。
但这会起作用除非ISP 允许同一条线路上有多个设备(租用两个不同的 WAN IP 地址)。有些 ISP 允许这样做,但许多 ISP 不允许。
此外,如果租户担心路由器,我想知道他是否会同样担心交换机,因为大多数管理型交换机恰好具有“端口镜像”功能。
答案3
如果您可以从 ISP 获得多个 IP 地址,您的连接设计将可行。如果您只能访问一个 IP,则可以采用 VLAN 解决方案,但对于普通家庭用户来说,这不是一个简单的设置。此外,您的硬件需要支持 VLAN。您可以在房东路由器后面添加一个路由器(基本上与添加第三个路由器相同),但这会导致大量问题。如果您只能访问一个 IP 地址,最好的解决方案是让您的租户自己连接。特别是如果他们非常关心隐私。
您的初始设计将被视为一种可访问多个 IP 的简单解决方案。单独的互联网连接将是对租户最安全、最实用的解决方案。所有其他解决方案将是反复试验的设置或聘请熟练的网络技术人员使其按预期工作。像您的租户要求的大多数高级网络连接将被认为超出了大多数普通家庭用户的技能水平。我这样说没有冒犯的意思。我只是想让你知道,不需要插入一些电缆,按几个按钮,一切都会顺利运行。
我也同意另一篇帖子中关于家庭/ISP 路由器无法跟踪任何有用信息的观点。他们只是没有硬件来做除了基本功能之外的事情,这最多包括将本地 IP 转到公共 IP。
编辑:即使只能访问 1 个 IP,您的设置仍然可以工作,但请取出交换机,然后将第二个 LAN 端口插入 ISP 连接上,以供租户使用。这无助于解决隐私问题,因为 ISP 连接将记录正在发生的事情,而不会与房东或租户连接分开。但它允许本地分离,因为来自一个路由器的内容不会显示在另一个路由器中。这允许您的 ISP 路由器拥有多个 LAN 端口。您可以尝试此选项,因为只需几分钟即可查看它是否适用于您当前的 ISP 连接。如果您从连接到每个路由器的计算机访问 ipaddress.com 并获得不同的公网 IP,那么您就可以开始了。如果您获得相同的 IP,那么您只能访问 1 个 IP,并且只能为租户获取升级连接或单独的线路。
答案4
房东只有一根来自 ISP 的以太网电缆。如果我将 ISP 电缆、房主的路由器和新租户的路由器连接到非托管交换机,那么
这取决于 ISP 硬件的设置方式。如果它为插入的任何设备提供单个公共 IP,则此方法无效。如果 ISP 提供的设备进行 NAT(即提供私有地址),当然您可以插入两个 NAT 路由器,它们将与 DOUBLE 配合使用。有些人认为这是邪恶的,但它会工作没问题。即使 ISP 线路更像是电缆调制解调器,并提供单个公共 IP,你可以将您自己的 NAT 路由器放在两个“订阅者”路由器前面。
一位新租户搬进来,他想要自己的私人网络,并且他的私人网络和我的私人网络之间没有任何通信。
在上述双 NAT 情况下,实际上你们可以互相监视,因为两个“用户”路由器在 WAN 端口上共享一个广播域。任何有权访问该电缆的人都可以监视,就是这样。交换机提供了表面保护,但很容易绕过。在那里共享广播域会产生各种类型的 MITM 攻击。老实说,这有点安全,但你需要一点信任。
正确的“商务”方式是购买支持 VLAN 端口的路由器,例如 Ubiquiti 或 Cisco Meraki 产品,为两个“用户”提供具有单独 VLAN 的端口,然后在它们之间正确设置防火墙。这实际上对每个人来说都非常安全,并且更接近 ISP 所做的事情(理想情况下)。
此外,他不希望像大多数家用调制解调器和路由器那样集中记录网络流量。
如果你的租户不相信让你成为他们的 ISP,你不能成为他们的 ISP。在上述情况下,使用昂贵的商业路由器,他们仍然需要信任您。大多数运营商都乐意为一个地址提供两个独立的服务,这是唯一可用的“零信任”解决方案。
信任同样可以反过来,比如如果你的租户下载了一百万部电影,或者做了犯罪的事情,或者违反了你的互联网服务的服务条款,那么它很可能会回到你身边!
另一个想法。至少在美国,作为房东,如果您在租赁时将互联网作为房产的一部分提供,则很有可能您必须在整个租赁期间将其作为房产的一部分进行维护/维修。这也可能迫使您以不好的方式成为 ISP,例如处理互联网中断的紧急电话。如果您的设置是定制的(与电源插座不同),那么如果您不在城里,就没有电工可以打电话,一切都由您自己决定!