我不是网络专家,所以我的一些术语可能不正确。我尝试用不同的方式解释我想要实现的目标,希望我的请求更容易被理解。
我在一台微型计算机上运行 Opnsense,该计算机有四个 1Gb 端口和两个 10Gb 端口。一个 10Gb 端口已配置为我的 WAN 接口,该接口连接到我 ISP 提供的调制解调器/路由器上的 10Gb 端口。另一个 10Gb/s 端口是我的 LAN1 接口(启用了 DCHP 服务器)。LAN1 物理端口通向托管交换机上的 10Gb 端口,该交换机上还插入了网状接入 wifi。
我已将交换机划分为多个未标记的 VLAN。我还在 Opnsense 中设置了另一个具有不同 IP 范围(也使用 DHCP 服务)的接口 (LAN2)。LAN2 使用防火墙上的一个 1gb/s 物理端口,该端口插入交换机,但在 VLAN2 上也插入了不同的接入点。
目前,LAN1 无法与 LAN2 通信。我希望 LAN1 能够访问 LAN2 上的 IoT 设备,但 LAN2 无法访问 LAN1。或者换句话说,在两个 LAN 之间创建一种虚拟路由器(同时确保每个 LAN 的 DHCP 服务器不会干扰另一个 LAN)另一个要求是,我不会丢失 LAN1 上有线设备的 10gb/s 网络速度。(即,当我尝试访问 LAN2 上的 1Gb 设备时,LAN1 只会减慢到 1Gb)
换言之,我的期望状态如下:
WAN 接口(10Gb 物理端口)具有来自我的 ISP 路由器的 IP(192.168.1.x 范围)
LAN1 可以通过 10Gb WAN 端口访问互联网(192.168.2.x 设备)
LAN1 10Gb 端口物理连接到交换机的 VLAN1 段(安全的 LAN 计算机)
LAN2 物理 1Gb 端口(102.168.3.x 范围)连接到交换机的 VLAN2 段(不安全的 IoT 设备)
LAN1 可以 ping 通 LAN2 设备(192.168.3.x 范围)
LAN2 无法 ping 通 LAN1 但仍然可以访问互联网
LAN1 可以以 10Gb 的速度从互联网下载(即不会减慢到 1Gb)
答案1
目前 LAN1 无法与 LAN2 通信。我希望 LAN1 能够访问 LAN2 上的 IoT 设备,但 LAN2 无法访问 LAN1。或者换句话说,在两个 LAN 之间创建一种虚拟路由器
你不需要虚拟路由器。你有那里有一个路由器:OPNsense。
只要将 opnsense 设置为网络的默认网关,并且将防火墙规则配置为允许流量,它就会正常转发流量。
请注意,大多数防火墙(和 OPNSense)的默认设置是拒绝,因此您需要规则来允许流量。此外,请注意,它是一个状态防火墙,因此通常会允许同一 TCP 会话的返回流量。