我有一台 VyOS 路由器。VyOS 是 Vyatta pre-Brocade/pre-Ubiquiti EdgeRouter 的 OSS 分支。它有一个面向公共的多个服务器的 DMZ 和一个面向我们私人 WiFi 和以太网网络的私有区域。
我们之前一直使用具有一个静态 IP 地址的 DSL。DSL 调制解调器只是处于桥接模式,静态 IP 地址被分配给 VyOS 路由器的 WAN 接口。DSL(和单个 IP 地址)变得不可持续。
我们正在配置 Comcast Business Class Internet(5 个静态 IP 地址)。有了它,如果您想拥有静态 IP 地址(您自己的设备只允许使用动态 IP 地址),您必须使用 Comcast Business IP 网关(一个花哨的 DOCSIS 3.0 调制解调器,在本例中是 Cisco type-BWG model-DPC3939B)。此外,如果您想拥有静态 IP 地址,您不能将 IP 网关置于桥接模式。如果这样做,它将恢复为动态寻址。静态寻址仅在路由器模式下可用,但康卡斯特强调您可以禁用所有路由器功能(DHCP、NAT、WiFi、防火墙等)并在调制解调器后面使用您自己的设备(我们的 VyOS 路由器)。这就是事情奇怪的地方。
这 5 个静态 IP 地址来自 /29:在我们的例子中,这是 *.168 到 *.175,其中 *.168 和 *.175 保留/不可用,*.174 分配给 IP 网关,剩下 *.169、*.170、*.171、*.172 和 *.173 可供我们的设备使用。*.174 是“默认网关”,所有出站流量都通过该地址。
我可以设置一个简单的配置,其中 VyOS 在其 WAN 上有一个静态 IP 地址 (*.169),并且所有流量都通过 IP 网关进出。它工作正常。但我不确定如何/最好地使用这五个。我推测我可以将这五个地址分配给 WAN,并使用 1:1 NAT(DNAT+SNAT)来处理将这些公共 IP 地址的传入流量映射到 DMZ 上的私有 IP 地址,然后反向映射,但我想避免这种设置。(我知道我必须对我的私有 DHCP/WiFi/以太网网络使用 SNAT;我不需要任何帮助。)
我希望我可以只为 VyOS WAN 分配一个公共 IP (*.169),然后将 *.170 到 *.173 直接分配给我的 DMZ 中的主机,设置 VyOS 以将流量路由到 DMZ 中的那些公共 IP,并设置 IP 网关以将所有 *.169 - *.173 流量发送到 *.169 进行进一步路由。这可能吗?或者上述 NAT 方法是最佳/唯一的解决方案?
答案1
一般来说,您需要的工具是代理 arp。您的路由器会像响应相关主机一样响应 arp 请求,然后将其路由到您的原始网络。
我不知道 vyos 是否支持这一点。
答案2
您需要做的就是再购买 4 个路由器。任何 Netgear 都可以,然后将 wan 地址设为静态 ip 地址之一。网关地址将是 Comcast 路由器上的 1,但不会是 5 个中的一个,它可能比 5 中的最大数字高一个数字。您购买的每个新路由器都将是完整的路由器,可以按照您想要的任何方式进行配置。我有这个设置,它运行良好。