¿Consejos para la configuración de redes y dispositivos con el módem Comcast?

8

Resumen

Mi objetivo final es ejecutar una VPN a través de mi Cisco Router, lo que para mí significa quitar la puerta de enlace Comcast. Con este fin, me gustaría colocar mi Cisco Router (y / o Switch) lógicamente más cerca de la WAN y eliminar mi Comcast Modem como dispositivo lógico . Realmente no puedo eliminar el módem (después de todo, proporciona acceso a la WAN), sin embargo, no necesito sus servicios DHCP, NAT o firewall. Me gustaría un consejo de configuración.

Detalles

Aquí está mi configuración de red actual:

Comcast Gateway - Cisco Router - Cisco Switch <LAN y Wifi (Ruckus)

  • Módem Comcast: TC8305C
  • Cisco Router: 1941-sec / k9 + ehwic-4esg
  • Cisco Switch: 2960S 48TS-L (conmutador multicapa, VLAN, etc.)

El módem se ejecuta como servidor DHCP, NAT y firewall con dirección interna 10.0.0.1/24. El puerto WAN del enrutador está conectado a él con una dirección dinámica (cliente DHCP). En el lado LAN del enrutador, también ejecuta NAT (sí, doble NAT ', por ahora), servidor DHCP, DNS, NTP.

Mis pensamientos sobre las opciones son:

  1. Ejecute el módem en modo puente.
  2. Coloque el enrutador en la DMZ del módem.
  3. Una variación en 1 y 2 es conectar el módem al conmutador.

Módem en modo puente

Traté de configurar el módem en modo Puente y tuve un período de 90 minutos muy desagradable en el que mi acceso a Internet no funcionaba y tuve que soportar a algunos usuarios muy enojados. Supongo que no pude configurar el puerto WAN del enrutador correctamente. Probablemente porque estaba en modo DHCP. Me gustaría tratar de configurarlo en una dirección estática (por ejemplo, 10.0.0.2/24), sin embargo, estoy un poco tímido sobre el modo Puente, en este momento. Google genera muchos resultados al buscar el "Modo Puente de Comcast", sin embargo, no he podido hacer mucho uso de lo que encontré. No he podido encontrar un buen conjuro para la configuración del puerto WAN del enrutador con el modo Comcast Bridge.

Por otro lado, el puente Comcast no es completamente transparente, el módem conserva su dirección IP (10.0.0.1) a la que me puedo conectar a través de http y reconfigurar (afortunadamente) cuando conecto una computadora portátil directamente al puerto 1 en el módem. Entonces, mi computadora portátil entiende cómo manejar el módem en modo puente, incluso si el enrutador no lo hace.

También estoy confundido acerca de cómo en el modo Puente el enrutador obtiene configuraciones dinámicas de Comcast ISP (para DNS y puerta de enlace predeterminada, etc.) como lo haría con DHCP. O, si estos no son realmente dinámicos y debería codificarlos en el archivo de configuración del enrutador.

Creo que esta es la mejor opción para la red porque el módem se aparta por completo y el enrutador puede ejecutar seguridad, VPN, DDNS, etc.

¿Qué debo hacer para que esto funcione?

Enrutador en módem DMZ

Aquí, puedo resolver cualquier problema de configuración que pueda tener y simplemente dejar caer el enrutador (con una IP estática de, por ejemplo, 10.0.0.2/24) en la DMZ del módem y dejar que todo el tráfico de Internet se reenvíe a esto. No hay mucha diferencia entre esta configuración y la anterior, excepto que el módem sigue actuando como un dispositivo de capa 3 (bueno, incluso más como un dispositivo de capa 3). Estoy bastante seguro de que puedo hacer que esto funcione y no veo ninguna razón por la que no pueda hacer que VPN funcione a través del enrutador.

El único inconveniente aquí es que el módem solo proporciona dyndns.org para ejecutar DNS dinámico. No tengo ninguna opinión sobre esta organización como proveedor de DDNS, sin embargo, me gustaría elegir un proveedor, algo que el enrutador permitiría. Además, el ingeniero en mí quiere un procesamiento tan poco innecesario en la ruta WAN, por lo que tender un puente sobre el módem se siente mejor.

Ejecute el módem a través del interruptor

Cuando conversé con un ingeniero de redes hace un tiempo, me sugirió que pudiera ejecutar el módem directamente en el Switch. No entramos en detalles sobre la configuración. Mi suposición es que cualquiera de los escenarios anteriores (Bridge o DMZ) podría funcionar igual de bien en el Switch directamente con las siguientes disposiciones:

  1. Configuración correcta de ACL en el puerto del conmutador / módem para evitar ataques externos.
  2. VLAN separada para la comunicación del módem y el enrutador para reenviar el tráfico DMZ entrante al enrutador. El tráfico entrante debe limitarse al tráfico VPN. El resto del tráfico (TPC, UDP, ICMP) se bloquearía por motivos de seguridad. Las mismas ACL que estarían en el lado WAN del enrutador.

Supongo que recomendó esta configuración porque al colocar el módem en el conmutador directamente, aprovecha la capacidad del conmutador para acortar los paquetes IP después del establecimiento de la conexión. Es decir, una vez que un dispositivo interno se conecta a través del módem (presumiblemente, el establecimiento de la conexión comenzó con las VLAN en el enrutador), el conmutador reconoce esto y enruta todos los paquetes IP relevantes directamente entre el dispositivo interno y el módem, omitiendo el enrutador. Esto no puede ocurrir en la configuración física bajo la cual el módem y el conmutador están en los puertos del enrutador.

Envolver

  1. ¿Cómo debería ser la configuración del puerto WAN de mi enrutador para garantizar que funciona con un módem Comcast en modo puente? ¿Hay otras opciones de configuración que debería tener en cuenta (como los servidores DNS)?
  2. Alternativamente, ¿debería conformarme con colocar el enrutador en la DMZ?
  3. ¿Vale la pena reconfigurar y mover el módem a un puerto de conmutador para # 1 o # 2?
cisco  switch  router  vpn  bridge 
Andrew Philips
fuente
¿Has considerado comprar tu propio módem? Comcast mantiene una lista de módems compatibles, y la mayoría de la lista no hace enrutamiento, DHCP, DNS, etc. Esto parece ser lo que desea. Deberá informar a Comcast cuando desee usar su módem, y ellos necesitarán modelar una información de dirección MAC.
Ron Maupin
@RonMaupin Gracias. Yo tengo. Creo que, por el momento, todavía me da vergüenza el modo Puente y busco orientación sobre la configuración del puerto del enrutador. Lo que quiero decir es, enrutador del proveedor o enrutador propio, todavía no estoy claro sobre la configuración del puerto del enrutador. ¿Quizás necesito experimentar más con la configuración de ese puerto mientras el módem está en Modo Puente?
Andrew Philips
Cuando posee el módem, solo necesita configurar NAT en su enrutador y controlar todo desde el enrutador. A menos que ejecute el módem de Comcast en modo puente, no podrá evitar su control de capa 3.
Ron Maupin
Creo que entiendo eso. El problema no es poner el módem en modo puente, el problema es que no hay conexiones de red a través del enrutador cuando hago eso. Algo está mal con la configuración del puerto WAN de mi enrutador (y posiblemente otras partes de su configuración) de tal manera que cuando pongo el módem en modo puente, no hay conectividad a Internet. Una computadora portátil conectada al módem mientras Bridged puede contactar a Internet.
Andrew Philips
Cuando tiene el módem en modo puente, debe configurar su enrutador para que se haga cargo de las funciones del módem como NAT, DNS, DHCP, etc. El puerto WAN de su enrutador deberá configurarse para DHCP como su dirección IP.
Ron Maupin

Respuestas:

2

Cuando tiene el módem en modo puente, su computadora portátil funciona porque utiliza DHCP para obtener su dirección IP y otra información de Comcast. Deberá configurar el enrutador para que haga lo mismo.

Tengo esta misma configuración con mi proveedor de Internet por cable con un enrutador Cisco ISR G2:

interface GigabitEthernet0/0
 description WAN
 ip address dhcp
 ip access-group WAN_Firewall in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect WAN_Inspect out
 ip virtual-reassembly in
 ip verify unicast source reachable-via rx allow-default 100
 load-interval 30
 duplex auto
 speed auto
 no cdp enable
 service-policy output QoS-WAN-Out
end

Necesita que su enrutador reciba DHCP para su dirección WAN. También deberá configurar NAT y DHCP (a menos que lo tenga en otro servidor) en el enrutador.

Las configuraciones completas para su firewall, NAT, DHCP, etc. son demasiado amplias para cubrirlas.

Ron Maupin
fuente
En realidad, la computadora portátil no obtuvo su dirección de DHCP. Establece su dirección en una dirección local de enlace 169.254.XX Sospecho que la razón por la que esto funciona para usted es que el módem le proporciona un modo de puente adecuado y usted elige el servidor DHCP de su proveedor de cable. Mientras que el modo de puente menos que verdadero en mi módem significa que necesito configurar ese puerto como una IP estática. Realmente creo que el resto de mi red interna está bien configurada. A show xxxen el enrutador para arp, enlaces dhcp, nat, etc. tiene todo lo que esperarías. No confío en el módem para nada más que el acceso a la WAN.
Andrew Philips
Si la computadora portátil funcionaba cuando estaba configurada en DHCP, eso es lo que debe hacer para su enrutador. ¿Tiene una dirección IP pública estática asignada de Comcast? Si es así, usa eso, si no, debe usar DHCP. Las preguntas de los usuarios finales de los ISP están específicamente fuera de tema, por lo que deberá tratar con Comcast al respecto. Esto es realmente bastante fácil, o tiene una dirección IP pública asignada que debe usar, o se conecta a través de DHCP.
Ron Maupin
No estoy preguntando por la conexión del módem al ISP, estoy preguntando por la conexión del enrutador al módem en modo puente. En ese modo, las solicitudes del cliente DHCP no se manejan. Por otra parte, en el modo de puente, el módem en sí tiene una WAN IP asignada (provisionada por DHCP) y un IP accesible a internet, por lo tanto, mi router no puede pedido nada como un cliente DHCP. De esta discusión, supongo que realmente necesito hacer una asignación de IP estática en el puerto WAN del enrutador y probar con Modem Bridging.
Andrew Philips
Lo que he explicado un par de veces es que tiene dos opciones para la configuración WAN de su enrutador: una dirección estática asignada por Comcast o DHCP. Esas son tus dos opciones. Puede trabajar con Comcast para determinar la elección adecuada. Esto es realmente muy simple, y la gente hace esto todos los días. Querías esto de alguien que hace esto, y yo hago esto. Si desea eliminar el módem como dispositivo de red, puede configurarlo en modo puente o puede obtener el suyo. Realmente no entiendo el problema. Si funciona, no hay una razón real para cambiarlo, ya que no obtienes nada tangible.
Ron Maupin
Gracias, pero necesito ejecutar VPN en el enrutador, por lo que el enrutador (y no el módem) necesita su cara externa disponible. Gracias. Moviste mi entendimiento un poco más adelante. No estoy seguro de entender completamente, todavía. Si veo otras respuestas aquí o cuando finalmente lo hago funcionar, publicaré algo.
Andrew Philips
0

En primer lugar, no debería necesitar colocar su módem en "modo puente" o incluso meterse con él, ya que Comcast lo mantiene bloqueado de todos modos. Desde el enrutador ingrese el ejemplo de configuración que Ron colocó arriba. Entonces, por ejemplo, Gi0 / 0 debe ser su interfaz externa , es la interfaz orientada a Internet / ISP, es decir, Comcast, y su interfaz interna es Gi0 / 1, los comandos no son diferentes, excepto las descripciones y la "sobrecarga de IP Nat" si están haciendo PAT ya que Comcast solo le da 1 dirección IP, por lo que usar 1 a 1 puede ser más útil para usted. comando de interfaz: después de crear un conjunto de DHCP y NAT de acuerdo con su esquema de direccionamiento IP público. ¡Buena suerte hermano!

Mago oscuro
fuente
He llegado a detente con mi caja, pero necesito revisar esto. He tenido algunos problemas con las caídas de conexión para conexiones SSL a través de mi enrutador. Creo que necesito actualizar la versión de ios. También creo que podría estar relacionado con el doble NAT (doble PAT) a través del cable y el enrutador. No quiero que la caja de cable entregue direcciones IP. Realmente me gustaría no tener la caja de cable PAT'ing o de otra manera en el camino. Todavía estoy trabajando en todo esto, pero no ha sido una alta prioridad. Cuando finalmente lo resuelva, planeo publicar aquí cómo lo resolví.
Andrew Philips
0

Por lo general, puede iniciar sesión en el equipo local del cliente (CPE) conectándose a él a través de su navegador web. (El suyo está hecho como este ). Entonces, mire cuál es su puerta de enlace predeterminada de IP proporcionada por DHCP (en el símbolo del sistema de Windows Open escriba ipconfig / all). Conecte esa dirección IP en su navegador para conectarse. Es posible que deba agregar /admindespués de la dirección. Búsqueda basada en su modelo de CPE.

Una vez allí, la mayoría de los CPE le permiten asignar su única dirección IP pública a un dispositivo en su red doméstica. Aplicaría esa dirección IP a su enrutador. A partir de ahí, configúrelo como desee.

Ronnie Royston
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.