在 Comcast Business IP Gateway 後面的路由器後面的主機上使用 5 個不帶 NAT 的靜態 IP 地址
我有一個 VyOS 路由器。VyOS 是 Vyatta pre-Brocade/pre-Ubiquiti EdgeRouter 的 OSS 分支。它有一個面向公共伺服器的 DMZ 和一個面向我們的私人 WiFi 和乙太網網路的私有區域。
我們之前一直在使用一個靜態 IP 地址來處理 DSL。DSL 調製解調器只是處於橋接模式,靜態 IP 地址被分配給 VyOS 路由器的 WAN 介面。DSL(和單個 IP 地址)變得不可持續。
我們正在配置 Comcast Business Class Internet(5 個靜態 IP 地址)。有了它,如果您想擁有靜態 IP 地址(您自己的設備只允許使用動態 IP 地址),您必須使用 Comcast 商業 IP 網關(一個花哨的 DOCSIS 3.0 調製解調器,在本例中為 Cisco type-BWG model-DPC3939B) )。此外,如果您想擁有靜態 IP 地址,則不能將 IP 網關置於橋接模式。如果您這樣做,它將恢復為動態定址。靜態定址僅在路由器模式下可用,儘管 Comcast 強調您可以禁用所有路由器功能(DHCP、NAT、WiFi、防火牆等)並在調製解調器後面使用您自己的設備(我們的 VyOS 路由器)。這就是奇怪的地方。
5 個靜態 IP 地址來自 /29:在我們的例子中,這是 .168 到 .175,其中 .168 和 .175 保留/不可用,.174 分配給 IP 網關,留給我們.169、.170、.171、*.172 和 .173 用於我們的設備。.174 是“預設網關”,是所有出站流量都經過的地址。
我能夠設置一個簡單的配置,其中 VyOS 在其 WAN 上有一個靜態 IP 地址 (*.169),所有流量都通過 IP 網關進出該地址。它工作正常。但我不確定如何/最好地使用所有五個。我推測我可以將所有五個地址分配給 WAN 並使用 1:1 NAT (DNAT+SNAT) 來處理將傳入流量映射到這些公共 IP 地址到 DMZ 上的私有 IP 地址,並反過來,但我想避免這種設置。(我知道我必須為我的私有 DHCP/WiFi/乙太網網路使用 SNAT;我不需要幫助。)
我希望我可以只為 VyOS WAN 分配一個公共 IP (*.169),然後將 *.170 到 *.173 直接分配給我的 DMZ 中的主機,設置 VyOS 以將流量路由到這些公共 IP DMZ,並設置 IP 網關將所有 *.169 - *.173 流量發送到 *.169 以進行進一步路由。這可能嗎?還是上述 NAT 方法是最好/唯一的解決方案?
一般來說,您想要/需要的工具是代理 arp。您的路由器響應 arp 請求,就好像它是有問題的主機一樣,然後可以將其路由到您的原始網路。
我不知道 vyos 是否支持這一點。
您需要做的就是再購買 4 個路由器。任何 Netgear 都會這樣做,然後將 wan 地址設為靜態 IP 地址之一。網關地址在 Comcast 路由器上將是 1,但不會是 5 個中的一個,它可能比 5 個中的最高數字高一個。您購買的每個新路由器都將是一個完整的路由器,並且可以配置任何你想要的方式。我有這個設置,它工作正常。