Vo väčšine domácnosti funguje internet tak, že zákazník dostane modem/router od poskytovateľa internetu (príp. si zákazník kúpi vlastné zariadenie). V zariadení je defaultne nastavená východzia brána (GW) a všetky pakety, ktoré nepatria do lokálnej siete sú smerované na GW. Zákazník sa teda o žiadne smerovanie nemusí starať.
V menších domoch, resp. bytoch sme si vždy vystačili z jedným bezdrôtovým smerovačom. Ja bývam v rodinnom dome a na opačnom konci domu nemám dostačujúce pokrytie pre bezdrôtové zariadenia. Ľudia riešia tento problém tak, že niekde uprostred (medzi hlavný wifi router a koncové wifi zariadenie) použijú wifi opakovač (repeater). Ja nie som veľmi zástancom wifi technológii a všade kde je to možné použijem radšej kábel. Samozrejme sa nemôžem pripojiť na kábel s mobilom keďže, mobil nemá RJ 45 konektor v tomto prípade to musím riešiť cez wifi.
Nedávno boli moje zariadenia obeťou búrky a jeden blesk udrel veľmi blízko. Niekoľko elektronických zariadení bolo nepriamym úderom blesku poškodených a ja som bol nútený tieto zariadenia nahradiť (niektoré sa mi podarilo opraviť). Okrem iného bolo poškodené aj sieťové zariadenie (odpálené všetky LAN porty), ktoré fungovalo v móde Bridge a Access Point (AP), viď nasledujúci obrázok.
Zariadenie som nahradil takmer tým istým zariadením (jedná sa o TP Link Archer C6). Rozdiel v zariadeniach je len vo ver. kde prvé bolo ver. 2.0 a teraz mám ver. 3.20. HW rozdieli sú však podstatné, pretože ver. 2.0 bola osadená CPU Qualcomm Atheros QCA9563, 775 MHz a 8 MB Flash, zatiaľ čo ver. 3.20 používa CPU MediaTek MT7621DAT, 880 MHz a 16 MB Flash. Pokiaľ si dobré pamätám, tak konfigurácia cez webové rozhranie bola takmer totožná.
Znova som TP-Link nakonfiguroval do módu bridge s wifi AP. Ak sa zariadenia (či už drôtovo, alebo bezdrôtovo) pripoja k tomu routeru, tak IP adresu získavajú od nadradeného DHCP servera a to je DHCP server na pfSense. K tomuto AP som sa pripájal s 2x NTB, 3x mobil a 2x kábel DVB-S2 box. Všetko fungovalo asi 3 dni. Potom sa prestal pripájať jeden NTB (všetko ostatné fungovalo ďalej). Aby som to uviedol na správnu mieru, tak NTB sa na wifi sieť pripojil, avšak internet nefungoval (IP adresa nebola pridelená). Skúsil som TP-Link rekonfigurovať, ale NTB sa stále nedokázal pripojiť.
Poznámka: Na NTB je nainštalovaný Win 10. Ak som nabootoval live Linux, tak som sa na AP bez problémov pripojil. To znamená, že po HW stránke je sieťová karta v poriadku. Skúsil som teda pripojenie cez kábel, ale nefungovalo ani to.
TP Link Archer C6 má okrem režimu AP aj režim smerovač. Rozhodol som sa, že vyskúšam teda režim smerovač. V tomto režime sa použije WAN rozhranie a NAT (to znamená, že za routerom je vytvorená nová sieť). V režime smerovač sa NTB pripojil k wifi bez akýchkoľvek problémov.
Z obrázkov vyplýva, že hlavná sieť používa IP rozsah 192.168.1.0/24 a sieť za TP-Link routerom je nastavená na IP rozsah 192.168.0.0/24. Je pochopiteľné, že zo siete 192.168.1.0/24 sa do siete 192.168.0.0/24 nedostaneme, pretože pakety, ktoré nebudú patriť do rozsahu 192.168.1.0/24 budú smerované na GW 192.168.1.1. Následne budú preložené na IP adresu WAN a budú smerovať do internetu. V režime bridge existovala len jedna sieť, takže som nemusel riešiť nič.
Ak by sme sa chceli zo siete 192.168.1.0/24 dostať na konkrétne zariadenie v sieti 192.168.0.0/24, tak môžeme použiť jednoduchý port forwarding. Ak chceme aby bola dostupná cela sieť, tak musíme routovať. V tomto prípade musí sieť 192.168.0.0/24 dôverovať nadradenej sieti 192.168.1.0/24.
Podľa vyššie uvedeného obrázku sme v routery TP-Link nastavili na rozhraní WAN statickú IP adresu 192.168.1.151. To znamená, že všetky pakety, ktoré opúšťajú router TP-Link sú preložené na IP adresu 192.168.1.151. Ak by sme chceli zo siete 192.168.1.0/24 poslať paket do siete 192.168.0.0/24, tak to nebude fungovať. Nebude to fungovať preto, lebo naša sieť je definovaná rozsahom 192.68.1.0/24 a keď paket nie je z tohto rozsahu, tak bude smerovaný na default GW 192.168.1.1, následne bude preložený a poslaný do internetu. Keďže IP sieť 192.168.0.0/24 je privátna a nie je routovaná na sieti internet paket bude zahodený. Aby bol paket smerovaný do siete 192.168.0.0/24 musíme na pfSense vytvoriť ďalšiu GW. V rámci webového konfigurátora pfSense prejdeme na
Systém --> Routing --> Gateways --> +Add
- Interface – LAN
- Address Family – IPv4
- Name – Čokoľvek napr. (subnet_01)
- Gateway – 192.168.1.151
- Save
Teraz musíme pridať staticku routu. Prejdeme do
Systém --> Routing --> Static Routes --> +Add
- Destination Network – 192.168.0.0/24
- Gateway – subnet_01 – 192.168.1.151
- Save
Po uložení potvrdíme zmeny. Ak na TP-Linku neblokujeme ICMP (príp. môžeme dočasne deaktivovať firewall), tak by sme mali vedieť zo siete 192.168.1.0/24 pingať na akékoľvek zariadenie v sieti 192.168.0.0/24
ping 192.168.0.98
PING 192.168.0.98 (192.168.0.98) 56(84) bytes of data.
64 bytes from 192.168.0.98: icmp_seq=1 ttl=63 time=0.667 ms
64 bytes from 192.168.0.98: icmp_seq=2 ttl=63 time=0.547 ms
64 bytes from 192.168.0.98: icmp_seq=3 ttl=63 time=0.568 ms
64 bytes from 192.168.0.98: icmp_seq=4 ttl=63 time=0.520 ms
64 bytes from 192.168.0.98: icmp_seq=5 ttl=63 time=0.567 ms
64 bytes from 192.168.0.98: icmp_seq=6 ttl=63 time=0.550 ms
^C
--- 192.168.0.98 ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5123ms
rtt min/avg/max/mdev = 0.520/0.569/0.667/0.046 ms
Teraz sme získali prístup zo siete 192.168.1.0/24 do siete 192.168.0.0/24.
Záver
Vo všeobecnosti sa dá povedať, že ak potrebujeme smerovať pakety z nadradenej siete musíme oznámiť routeru, existenciu ďalšej siete a IP adresu, cez ktorú môžeme do siete pristupovať. V malých sieťach sa to často rieši pomocou statických rout, ale na väčšie siete sa používa dynamické smerovanie ako napr. RIP, OSPF a pod.