我们正在考虑出租我们家的地下室,并希望提供互联网作为套餐的一部分。但我不希望楼下的租户访问我们的网络(家庭办公室 = 私人数据)。
我们目前有一个 pfSense 防火墙作为网关,并且 Windows Server 2003 机箱正在执行我们的主要 DHCP(192.168.0.0/24)和 DNS。以下是我想要做的...
我想在 DHCP 服务器(192.168.1.0/24)上设置另一个子网,并接入另一个无线路由器(仅作为接入点)并将其地址设置为 192.168.1.1...从那里路由器将接入我们的主交换机,然后通过防火墙出去。
Server 2003(如果我向 nic 添加 192.168.1.x/24 IP)是否会为连接到新路由器的设备提供 DHCP,并且它会将其与我们的网络隔离吗?
提前谢谢...我对多个子网还很陌生。
答案1
为了防止楼下的租户访问您的网络,您不能在同一个物理网络上拥有两个子网(即,您要将接入点连接到主交换机)。您要么需要购买支持 VLAN 的交换机,这样您就可以通过一个物理交换机拥有两个逻辑网络,要么您需要拥有两个独立的交换机。然后,两个独立的交换机通过不同的 NIC 连接到防火墙,但防火墙不会在两个子网之间路由 - 只会在子网和 Internet 之间路由。
关于 DHCP,防火墙或路由器/接入点是否提供 DHCP 服务器?如果没有,您可以为 Server 2003 盒添加第二个 NIC,将其连接到底层交换机/底层 VLAN,添加 192.168.1.x/24 作为新范围,然后确保除了第一个 NIC 之外,DHCP 还绑定到第二个 NIC。但是,您的 Server 2003 盒可以从底层子网访问,因此需要充分保护它。
您的防火墙可能支持 DHCP 中继,它可以将来自地下室的 DHCP 请求转发到 Server 2003 盒并将其代理回来,以便地下室子网上的客户端无法访问 Server 2003 盒。
答案2
最好的解决方案是在防火墙上添加另一个 NIC。然后您可以将 192.168.1.0/24 网络放在该 NIC 上,并将防火墙配置为不允许两个内部网络之间的通信。
pfSense 可以为租户的网络提供DNS和DHCP。
答案3
您可以级联两个路由器(pfSense 和另一个 Linksys 或其他):
调制解调器 -> pfSense -> 交换机 -> linksys
pfsense:WAN,到调制解调器,正常。LAN 用于租户机器,运行 DHCP,以及 Linksys 的 WAN 接口。
交换机:为您提供足够的端口来完成所有这些操作。
Linksys:
WAN:连接到交换机上的端口,从 pfSense 获取 IP
LAN:您的家庭办公机器,禁用 DHCP(我假设 Win2003 服务器执行 DHCP)。
Linksys 默认会丢弃“WAN”端(即他们的网络)的所有内容;但是,您可以通过 NAT 连接到租户网络,并通过双 NAT 连接到 Internet。
请记住,这对于允许传入 Internet 服务进入您的网络来说是一件麻烦事。但如果您没有运行 Exchange 或任何入站服务器服务、应用程序等,这将正常工作。
另一个选项(我更喜欢这个)是购买 Netgear 第 2 层交换机(在 NewEgg 上不到 100 美元),设置几个 VLAN——一个用于您,一个用于您的租户,pfSense 为两者执行 DHCP(或一个,您的 Win2003 服务器可以为您执行 DHCP),并在 LAN 接口上设置 VLAN 并将其插入托管交换机上的中继端口;这样,您可以根据需要添加防火墙规则以丢弃/允许两个网络之间的数据包。此拓扑称为单臂路由器并得到 pfSense 的良好支持。