Router da acceso a internet y se distribuye a routers en diferentes oficinas

BocaDePez 11 septiembre 2014 19:28

⋮

Con ese esquema, ¿cómo habría que configurar las máscaras e IPs de los routers para que no puedan acceder a verse entre ellos?

Es decir, que cada router "cliente" solo permita que los equipos a ese lado se vean entre sí, pero no a los de las otras subredes.

El router principal tendría la IP 192.168.1.1

La cosa sería que las IPs WAN de los routers de las oficinas fuesen la 1.2, 1.3, 1.4, 1.5 y 1.6, y en el principal el DHCP estaría deshabilitado.

¿Qué máscaras y demás habría que parametrizar en los routers de las oficinas para que los equipos que están conectados a ellos no accedan a los otros routers ni a los dispositivos conectados a ellos (a los otros), ni a los equipos que pudiera haber conectados al router principal con IPs 1.XXX?

Saludos

BocaDePez 11 septiembre 2014 19:30

⋮

¿Y qué impide a un usuario cambiarse la IP a mano?

✖

BocaDePez 11 septiembre 2014 19:35

⋮

La seguridad en este caso no es prioritaria... es más que nada para que en Windows no le encuentre la impresora wifi del vecino y esas cosas.

Los usuarios de la instalación no tienen ningún tipo de noción para cambiar esos parámetros, a parte los routers tienen el acceso con usuario y contraseña no genérico. Pero insisto, el tema no es que un "listillo" pueda colarse, sino que a nivel usuario haya separación.

Saludos

txuspe 11 septiembre 2014 21:11

⋮

No necesitas un router para cada oficina. Suponiendo que tanto el router como el switch sean profesionales, solo tienes que configurar una VLAN para cada oficina. Podrán comunicarse entre sí, pero al estar en diferentes redes Windows no mostrará los recursos de las otras oficinas. Si además no quieres que se puedan comunicar en absoluto, simpre puedes crear unas ACL.

✖

BocaDePez 12 septiembre 2014 13:45

⋮

El tema es que la instalación no es "profesional", es todo con equipos SOHO económicos, de ahí ese planteamiento de red.

✖

vukits 12 septiembre 2014 14:59

⋮

te easeguro que un switch gestionado es más barato que tantos routers neutros..

además ... cuando hagas el paso a IPV6, ¿te imaginas el rollazo de reconfigurar los firewalls de los routers?

txuspe 12 septiembre 2014 15:24

⋮

Haz unas cuentas porque, teniendo en cuenta que es para una oficina, no vas a poder comprar unos routers de gama baja porque no soportarán demasiados clientes. A pocas oficinas que tengas, tanto equipo va a subir el precio inicial y de mantenimiento, así que quizá te compense sustituir router+switch por un switch L3 y olvidarte de todo lo demás.

ToooWuu 12 septiembre 2014 21:11

⋮

¿Seguro que está bien dibujado el esquema?

¿Las distintas oficinas las tienes en un radio de unos pocos metros de distancia?

No será mas bien: oficina principal ----> router principal ------> internet <-------- resto de oficinas ?

BocaDePez 12 septiembre 2014 23:24

⋮

Venga va, vamos a poner que es una vivienda y que están compartiendo internet entre cuatro colegas. Y que NO es más barato un switch profesional que haga las veces, porque van a necesitar puntos de acceso wifi en cada oficina/casa, con lo que al menos habría que poner puntos de acceso además del switch y el precio subiría. A parte, que el material ya está ahí.

En resumen, lo que busco es que con ese esquema dado (es el que hay), se haga una configuración que "separe" las diferentes subredes. No busco otras alternativas de topología (no es en plan borde, es que el material es el que es, y ya está ahí)

Saludos

✖

BocaDePez 12 septiembre 2014 23:50

⋮

lo que propones no es una buena solucion y plantea muchos problemas.

estoy de acuerdo con los compañeros. si necesitas puntos de acceso / switch siempre puedes coger el router de la operadora de turno, desconectarle el dhcp y asignarle una ip fija fuera del rango dhcp del router principal.

todo lo demas es una fuente inagotable de problemas, tanto por seguridad, sobrecarga del router principal y estabilidad. a poco que uno use p2p empezaran los problemas

BocaDePez 13 septiembre 2014 04:03

⋮

No es por ser borde, pero es que ya te han contestado arriba. ;)

Necesitas un switch que genere al menos una VLAN por boca (donde va a ir pinchada el cable de cada WAN de cada router).

vukits 13 septiembre 2014 11:23

⋮

¿Cuántas redes separadas quieres crear?

¿Te las apañas con cuatro redes separadas ? (además de la del router principal , claro)

txuspe 13 septiembre 2014 11:37

⋮

Es muy sencillo, haz que cada uno de los routers trabaje en una red diferente, por ejemplo 192.168.2.x, el siguiente 192.168.3.x, etc., siempre con máscara 255.255.255.0 y funcionará. Otra cosa es que la red que propones sea el típico ejemplo de lo que no se debe hacer, pero funcionar va a funcionar.

ToooWuu 13 septiembre 2014 12:26

⋮

al final resultará que los routers de los que disponen los vecinos, digo.... "las oficinas", son adsl, ya verás

✖

BocaDePez 13 septiembre 2014 18:19

⋮

Es que si los routers finales pequeños no son routers neutros, habría que darle una colleja al autor del hilo para que se fuese a otra parte a burlarse de la gente de un foro.

BocaDePez 13 septiembre 2014 14:29

⋮

La pregunta clave en el planteamiento que has desarrollado, a mi juicio personal, sería: ¿vas a hacer doble NAT? :-/

BocaDePez 14 septiembre 2014 21:38

⋮

Dado que algunos me tachan de "borde" y de burlarme del foro, voy a resumir lo que hay, dado que no entiendo la dificultad en comprender lo que planteo...

1 - Internet entra a un cablemodem, de ahí va a un router neutro de 4 bocas. Como necesito más de 4 bocas, 3 oficinas van directas al router, mientras que la cuarta boca va a un switch que distribuye a otra oficina más.

2 - En las oficinas hay routers neutros (no de ADLS, no soy gilipollas -o de serlo, no tanto- ), que recogen la señal del router neutro "principal" en sus bocas WAN y distribuyen señal para los equipos cableados y wifi de cada oficina.

Actualmente, el router principal es 192.168.1.1, los de las oficinas están con la 192.168.1.X como IP externa (2, 3, etc.), y su IP LAN es 192.168.X.1 (donde X es 2 para el primero y va incrementando en los demás).

Comprendo que se me plantee que hay soluciones mejores a esta, pero no es lo que pido, lo que pido es que con este esquema, qué parametrización de IPs, máscaras, etc., habría que configurar para que las redes de los routers finales sean totalmente independientes entre sí (son 5, en este caso, y la cosa es que no interactúen equipos de una con los de otra).

Si suena algo borde, es porque ya dije algo así antes, y se insiste en que el esquema no es el adecuado, hay opciones mejores, etc., etc., cosa que puedo entender e incluso compartir, pero que no es lo que pido.

Luego cada uno está en su derecho de responder a lo que pido, o a lo que le de la gana, pero simplemente matizo una vez más qué es lo que estoy pidiendo.

Es como si planteo que me voy a comprar una bicicleta A o B y pido consejo, y se me viene a decirme que lo que necesito es una moto C... vale, ok, pero no es el caso, solo quiero elegir una bici.. aunque no sea lo óptimo para la función que quiero desempeñar... ¿es tan difícil de entender? Y esto no va por todos, va por algunas respuestas...

Por último, entiendo que aunque yo plantee que las opciones que tengo son X, se me comente que no es la mejor opción, pero repito, es lo que hay dado, y pido algo concreto.. Nada más.

Saludos y gracias a quienes intentan ayudar.

✖

BocaDePez 14 septiembre 2014 23:13

⋮

Sabemos lo que pides, pero como es completamente absurdo y no se puede responder, parece que te cabreas cuando te sugerimos que no tienes ni puta idea de redes. Sí, ahora somos bordes.

✖

BocaDePez 15 septiembre 2014 01:04

⋮

venga grande, te dejo mis dies...

BocaDePez 15 septiembre 2014 01:09

⋮

por cierto, absurda es tu respuesta. pregunto algo muy claro: parámetros ip para un caso concreto. ¿crees es inviable configurar eso así? pues dilo y punto. ¿no es lo óptimo? ya lo sé, no me descubres américa. no hace falta tocar la polla. pero bueno, si es de tu agrado manosear manubrio no pasa nada, no voy a perder el sueño.

gracias de todas formas por tu magna aportación.

BocaDePez 14 septiembre 2014 21:42

⋮

Añadir algo que me olvidé:

Sobr el tema de doble NAT. En el router principal redirigí rangos de puertos a las IPs WAN de los routers neutros de las oficinas. Por ejemplo, del 200 al 300 a la IP 192.168.1.2.

Luego en ese router con WAN 192.168.1.2, redirijo esos puertos a las IPs de la red local que me interese. ¿Eso funcionará?

Saludos.

✖

BocaDePez 14 septiembre 2014 22:30

⋮

funcionar, te va a funcionar, pero el doble NAT te va a acabar por generar dolores de cabeza

¿que router es el que tienes detras del cable modem?

¿cual es el uso previsto de la conexion? en la mayoria de las oficinas solo es para ver las web de proveedores, bancos y correo. si vas a darle un minimo de caña el router te va a petar cada 3x2

¿usas voip?

deberias aclarar el uso real que vas a dar a la conexion para que te aconsejemos de la mejor forma, máxime con las limitaciones demmaterial que hay.

¿cuales son los routers secundarios?

✖

BocaDePez 14 septiembre 2014 23:22

⋮

Si no, no le va a funcionar la topología que tiene pensada, porque está claro que no va a gastarse un duro en equipamiento para separar redes.

Así que la única solución es hacer doble NAT, aunque le genere dolores de cabeza, y si necesita abrir puertos, que los abra a mano 2 veces.

BocaDePez 15 septiembre 2014 01:06

⋮

el uso va a ser básicamente navegar, nada que requiera mucha carga, y en realidad, detrás de cada uno de esos routers neutros, no va a haber más de, como mucho, 5 dispositivos en cada uno (o sea, 25 dispositivos en el peor de los casos, y haciendo básicamente navegación web).

el tema del nat es por si en un momento puntual necesitasen puertos para alguna aplicación concreta, pero ya te digo, uso de baja carga siempre.

de todas formas, gracias por los comentarios.

se puede dar el tema por cerrado.