Resumen
Mi objetivo final es ejecutar una VPN a través de mi Cisco Router, lo que para mí significa quitar la puerta de enlace Comcast. Con este fin, me gustaría colocar mi Cisco Router (y / o Switch) lógicamente más cerca de la WAN y eliminar mi Comcast Modem como dispositivo lógico . Realmente no puedo eliminar el módem (después de todo, proporciona acceso a la WAN), sin embargo, no necesito sus servicios DHCP, NAT o firewall. Me gustaría un consejo de configuración.
Detalles
Aquí está mi configuración de red actual:
Comcast Gateway - Cisco Router - Cisco Switch <LAN y Wifi (Ruckus)
- Módem Comcast: TC8305C
- Cisco Router: 1941-sec / k9 + ehwic-4esg
- Cisco Switch: 2960S 48TS-L (conmutador multicapa, VLAN, etc.)
El módem se ejecuta como servidor DHCP, NAT y firewall con dirección interna 10.0.0.1/24. El puerto WAN del enrutador está conectado a él con una dirección dinámica (cliente DHCP). En el lado LAN del enrutador, también ejecuta NAT (sí, doble NAT ', por ahora), servidor DHCP, DNS, NTP.
Mis pensamientos sobre las opciones son:
- Ejecute el módem en modo puente.
- Coloque el enrutador en la DMZ del módem.
- Una variación en 1 y 2 es conectar el módem al conmutador.
Módem en modo puente
Traté de configurar el módem en modo Puente y tuve un período de 90 minutos muy desagradable en el que mi acceso a Internet no funcionaba y tuve que soportar a algunos usuarios muy enojados. Supongo que no pude configurar el puerto WAN del enrutador correctamente. Probablemente porque estaba en modo DHCP. Me gustaría tratar de configurarlo en una dirección estática (por ejemplo, 10.0.0.2/24), sin embargo, estoy un poco tímido sobre el modo Puente, en este momento. Google genera muchos resultados al buscar el "Modo Puente de Comcast", sin embargo, no he podido hacer mucho uso de lo que encontré. No he podido encontrar un buen conjuro para la configuración del puerto WAN del enrutador con el modo Comcast Bridge.
Por otro lado, el puente Comcast no es completamente transparente, el módem conserva su dirección IP (10.0.0.1) a la que me puedo conectar a través de http y reconfigurar (afortunadamente) cuando conecto una computadora portátil directamente al puerto 1 en el módem. Entonces, mi computadora portátil entiende cómo manejar el módem en modo puente, incluso si el enrutador no lo hace.
También estoy confundido acerca de cómo en el modo Puente el enrutador obtiene configuraciones dinámicas de Comcast ISP (para DNS y puerta de enlace predeterminada, etc.) como lo haría con DHCP. O, si estos no son realmente dinámicos y debería codificarlos en el archivo de configuración del enrutador.
Creo que esta es la mejor opción para la red porque el módem se aparta por completo y el enrutador puede ejecutar seguridad, VPN, DDNS, etc.
¿Qué debo hacer para que esto funcione?
Enrutador en módem DMZ
Aquí, puedo resolver cualquier problema de configuración que pueda tener y simplemente dejar caer el enrutador (con una IP estática de, por ejemplo, 10.0.0.2/24) en la DMZ del módem y dejar que todo el tráfico de Internet se reenvíe a esto. No hay mucha diferencia entre esta configuración y la anterior, excepto que el módem sigue actuando como un dispositivo de capa 3 (bueno, incluso más como un dispositivo de capa 3). Estoy bastante seguro de que puedo hacer que esto funcione y no veo ninguna razón por la que no pueda hacer que VPN funcione a través del enrutador.
El único inconveniente aquí es que el módem solo proporciona dyndns.org para ejecutar DNS dinámico. No tengo ninguna opinión sobre esta organización como proveedor de DDNS, sin embargo, me gustaría elegir un proveedor, algo que el enrutador permitiría. Además, el ingeniero en mí quiere un procesamiento tan poco innecesario en la ruta WAN, por lo que tender un puente sobre el módem se siente mejor.
Ejecute el módem a través del interruptor
Cuando conversé con un ingeniero de redes hace un tiempo, me sugirió que pudiera ejecutar el módem directamente en el Switch. No entramos en detalles sobre la configuración. Mi suposición es que cualquiera de los escenarios anteriores (Bridge o DMZ) podría funcionar igual de bien en el Switch directamente con las siguientes disposiciones:
- Configuración correcta de ACL en el puerto del conmutador / módem para evitar ataques externos.
- VLAN separada para la comunicación del módem y el enrutador para reenviar el tráfico DMZ entrante al enrutador. El tráfico entrante debe limitarse al tráfico VPN. El resto del tráfico (TPC, UDP, ICMP) se bloquearía por motivos de seguridad. Las mismas ACL que estarían en el lado WAN del enrutador.
Supongo que recomendó esta configuración porque al colocar el módem en el conmutador directamente, aprovecha la capacidad del conmutador para acortar los paquetes IP después del establecimiento de la conexión. Es decir, una vez que un dispositivo interno se conecta a través del módem (presumiblemente, el establecimiento de la conexión comenzó con las VLAN en el enrutador), el conmutador reconoce esto y enruta todos los paquetes IP relevantes directamente entre el dispositivo interno y el módem, omitiendo el enrutador. Esto no puede ocurrir en la configuración física bajo la cual el módem y el conmutador están en los puertos del enrutador.
Envolver
- ¿Cómo debería ser la configuración del puerto WAN de mi enrutador para garantizar que funciona con un módem Comcast en modo puente? ¿Hay otras opciones de configuración que debería tener en cuenta (como los servidores DNS)?
- Alternativamente, ¿debería conformarme con colocar el enrutador en la DMZ?
- ¿Vale la pena reconfigurar y mover el módem a un puerto de conmutador para # 1 o # 2?