Tipps zur Netzwerk- und Gerätekonfiguration mit Comcast Modem?

8

Zusammenfassung

Mein oberstes Ziel ist es, ein VPN über meinen Cisco Router zu betreiben, was für mich bedeutet, das Comcast Gateway aus dem Weg zu räumen. Zu diesem Zweck möchte ich meinen Cisco Router (und / oder Switch) logisch näher am WAN platzieren und mein Comcast-Modem als logisches Gerät entfernen . Ich kann das Modem nicht wirklich entfernen (es bietet schließlich den WAN-Zugriff), benötige jedoch keine DHCP-, NAT- oder Firewall-Dienste. Ich hätte gerne Konfigurationshinweise.

Einzelheiten

Hier ist mein aktuelles Netzwerk-Setup:

Comcast Gateway - Cisco Router - Cisco Switch <LAN und WLAN (Ruckus)

  • Comcast-Modem: TC8305C
  • Cisco Router: 1941 Sek. / K9 + ehwic-4esg
  • Cisco Switch: 2960S 48TS-L (Mehrschicht-Switch, VLANs usw.)

Das Modem wird als DHCP-Server, NAT und Firewall mit der internen Adresse 10.0.0.1/24 ausgeführt. Der WAN-Port des Routers ist mit einer dynamischen Adresse (DHCP-Client) verbunden. Auf der LAN-Seite des Routers werden auch NAT (ja, derzeit doppelt NAT-fähig), DHCP-Server, DNS, NTP ausgeführt.

Meine Gedanken zu Optionen sind:

  1. Führen Sie das Modem im Bridge-Modus aus.
  2. Platzieren Sie den Router in der DMZ des Modems.
  3. Eine Variante von 1 & 2 besteht darin, das Modem an den Switch anzuschließen.

Modem Im Bridge-Modus

Ich habe versucht, das Modem in den Bridge-Modus zu versetzen, und hatte einen sehr unangenehmen Zeitraum von 90 Minuten, in dem mein Internetzugang unterbrochen war und einige sehr verärgerte Benutzer ertragen musste. Ich vermute, ich konnte den Router-WAN-Port nicht richtig konfigurieren. Wahrscheinlich, weil es im DHCP-Modus war. Ich würde gerne versuchen, eine statische Adresse festzulegen (z. B. 10.0.0.2/24), aber ich bin im Moment ein wenig scheu gegenüber dem Bridge-Modus. Google generiert bei der Suche nach "Comcast Bridge Mode" viele Treffer, konnte jedoch nicht viel von dem verwenden, was ich gefunden habe. Ich konnte keine gute Beschwörung für die Konfiguration des Router-WAN-Ports im Comcast Bridge-Modus finden.

Abgesehen davon ist die Comcast-Bridge nicht vollständig transparent. Das Modem behält seine IP-Adresse (10.0.0.1) bei, mit der ich mich über http verbinden und (zum Glück) neu konfigurieren kann, wenn ich einen Laptop direkt an Port 1 des Modems anschließe. Mein Laptop versteht es also, mit dem Modem im Bridge-Modus umzugehen, auch wenn der Router dies nicht tut.

Ich bin auch verwirrt darüber, wie der Router im Bridge-Modus dynamische Einstellungen vom Comcast-ISP (für DNS und Standard-Gateway usw.) erhält, wie dies bei DHCP der Fall wäre. Oder wenn diese nicht wirklich dynamisch sind und ich sie einfach in der Router-Konfigurationsdatei fest codieren sollte.

Ich glaube, dies ist die beste Option für das Netzwerk, da das Modem vollständig aus dem Weg geht und der Router Sicherheit, VPN, DDNS usw. ausführen kann.

Was soll ich tun, damit dies funktioniert?

Router in Modem DMZ

Hier kann ich alle Konfigurationsprobleme ermitteln und den Router (mit einer statischen IP von z. B. 10.0.0.2/24) einfach in die DMZ des Modems einfügen und den gesamten Internetverkehr an diese weiterleiten lassen. Es gibt keinen großen Unterschied zwischen dieser und der obigen Konfiguration, außer dass sich das Modem immer noch wie ein Layer 3-Gerät verhält (noch mehr wie ein Layer 3-Gerät). Ich bin mir ziemlich sicher, dass ich das zum Laufen bringen kann, und ich sehe keinen Grund, warum ich VPN über den Router nicht zum Laufen bringen konnte.

Der einzige Nachteil hierbei ist, dass das Modem nur dyndns.org zum Ausführen von dynamischem DNS bereitstellt. Ich habe keine Meinung zu dieser Organisation als DDNS-Anbieter, möchte jedoch eine Auswahl von Anbietern, die der Router zulassen würde. Außerdem möchte der Ingenieur in mir so wenig unnötige Verarbeitung auf dem WAN-Pfad, sodass sich die Überbrückung des Modems einfach besser anfühlt.

Führen Sie das Modem über den Switch aus

Als ich vor einiger Zeit mit einem Netzwerkingenieur chattete, schlug er vor, dass ich das Modem direkt auf dem Switch ausführen könnte. Wir haben nicht auf Details bezüglich der Konfiguration eingegangen. Ich gehe davon aus, dass eines der oben genannten Szenarien (Bridge oder DMZ) mit den folgenden Bestimmungen genauso gut direkt in den Switch einfließen kann:

  1. Die richtige ACL wurde am Switch / Modem-Port eingerichtet, um externe Angriffe zu verhindern.
  2. Separates VLAN für die Modem- und Router-Kommunikation, um eingehenden DMZ-Verkehr an den Router weiterzuleiten. Eingehender Verkehr sollte auf VPN-Verkehr beschränkt sein. Der gesamte andere Datenverkehr (TPC, UDP, ICMP) wird aus Sicherheitsgründen blockiert. Dieselben ACLs, die sich auf der WAN-Seite des Routers befinden würden.

Ich vermute, er hat diese Einrichtung wieder aufgenommen, da Sie durch direktes Platzieren des Modems auf dem Switch die Möglichkeit des Switch nutzen, IP-Pakete nach dem Verbindungsaufbau zu kürzen. Das heißt, sobald ein internes Gerät eine Verbindung über das Modem herstellt (vermutlich wurde der Verbindungsaufbau mit VLANs auf dem Router gestartet), erkennt der Switch dies und leitet alle relevanten IP-Pakete direkt zwischen dem internen Gerät und dem Modem weiter, wobei der Router übersprungen wird. Dies kann in der physischen Konfiguration, in der sich das Modem und der Switch an den Router-Ports befinden, nicht auftreten.

Einpacken

  1. Wie sollte die WAN-Port-Konfiguration meines Routers aussehen, um sicherzustellen, dass sie mit einem Comcast-Modem im Bridge-Modus funktioniert? Gibt es andere Konfigurationsoptionen, auf die ich achten sollte (wie DNS-Server)?
  2. Sollte ich mich alternativ damit zufrieden geben, den Router in der DMZ zu platzieren?
  3. Lohnt es sich, das Modem für # 1 oder # 2 neu zu konfigurieren und an einen Switch-Port zu verschieben?
cisco switch router vpn bridge Andrew Philips
quelle
Haben Sie darüber nachgedacht, ein eigenes Modem zu kaufen? Comcast verwaltet eine Liste kompatibler Modems, und die meisten in der Liste führen kein Routing, DHCP, DNS usw. durch. Dies scheint das zu sein, was Sie möchten. Sie müssen Comcast informieren, wenn Sie Ihr Modem verwenden möchten, und sie müssen eine MAC-Adressinformation modellieren.
Ron Maupin
@ RonMaupin Danke. Ich habe. Ich denke, im Moment bin ich immer noch scheu gegenüber dem Bridge-Modus und suche nach einer Anleitung zur Port-Konfiguration des Routers. Was ich meine ist, Hersteller-Router oder eigener Router, ich bin immer noch unklar, ob der Router-Port eingerichtet ist. Vielleicht muss ich mehr mit der Konfiguration dieses Ports experimentieren, während sich das Modem im Bridge-Modus befindet?
Andrew Philips
Wenn Sie das Modem besitzen, müssen Sie nur NAT auf Ihrem Router einrichten und alles vom Router aus steuern. Wenn Sie das Comcast-Modem nicht im Bridge-Modus ausführen, können Sie die Layer-3-Steuerung nicht umgehen.
Ron Maupin
Ich glaube ich verstehe das. Das Problem besteht nicht darin, das Modem in den Bridge-Modus zu versetzen. Das Problem besteht darin, dass keine Netzwerkverbindungen über den Router hergestellt werden. Mit der WAN-Port-Konfiguration meines Routers (und möglicherweise anderen Teilen seiner Konfiguration) stimmt etwas nicht. Wenn ich das Modem in den Bridge-Modus versetze, besteht keine Internetverbindung. Ein Laptop, der an das Modem angeschlossen ist, während Bridged das Internet kontaktieren kann .
Andrew Philips
Wenn sich das Modem im Bridge-Modus befindet, müssen Sie Ihren Router so konfigurieren, dass er die Modemfunktionen wie NAT, DNS, DHCP usw. übernimmt. Der WAN-Port Ihres Routers muss für DHCP als IP-Adresse festgelegt werden.
Ron Maupin

Antworten:

2

Wenn sich das Modem im Bridge-Modus befindet, funktioniert Ihr Laptop, da er DHCP verwendet, um seine IP-Adresse und andere Informationen von Comcast abzurufen. Sie müssen den Router so einstellen, dass er dasselbe tut.

Ich habe das gleiche Setup mit einem Kabel-Internetprovider mit einem Cisco ISR G2-Router:

interface GigabitEthernet0/0
 description WAN
 ip address dhcp
 ip access-group WAN_Firewall in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect WAN_Inspect out
 ip virtual-reassembly in
 ip verify unicast source reachable-via rx allow-default 100
 load-interval 30
 duplex auto
 speed auto
 no cdp enable
 service-policy output QoS-WAN-Out
end

Ihr Router muss DHCP für seine WAN-Adresse empfangen. Sie müssen auch NAT und DHCP (sofern Sie dies nicht auf einem anderen Server haben) auf dem Router konfigurieren.

Die vollständigen Konfigurationen für Ihre Firewall, NAT, DHCP usw. sind zu umfangreich, um sie abzudecken.

Ron Maupin
quelle
Tatsächlich hat der Laptop seine Adresse nicht von DHCP erhalten. Die Adresse wurde auf eine lokale Linkadresse 169.254.XX festgelegt. Ich vermute, dass dies für Sie funktioniert, weil das Modem Ihnen einen geeigneten Bridge-Modus bietet und Sie den DHCP-Server von Ihrem Kabelanbieter abholen. Während der weniger als echte Bridge-Modus auf meinem Modem bedeutet, dass ich diesen Port als statische IP festlegen muss. Ich glaube wirklich, dass der Rest meines internen Netzwerks gut konfiguriert ist. A show xxxauf dem Router für Arp, DHCP-Bindungen, Nat usw. bietet alles, was Sie erwarten. Ich verlasse mich nur für den WAN-Zugriff auf das Modem.
Andrew Philips
Wenn der Laptop funktioniert hat, als er auf DHCP eingestellt war, müssen Sie dies für Ihren Router tun. Haben Sie eine zugewiesene statische öffentliche IP-Adresse von Comcast? Wenn ja, verwenden Sie das. Wenn nicht, müssen Sie DHCP verwenden. Fragen von Endbenutzern von ISPs sind speziell nicht zum Thema gehörend, daher müssen Sie sich diesbezüglich mit Comcast befassen. Dies ist wirklich ziemlich einfach. Sie haben entweder eine zugewiesene öffentliche IP-Adresse, die Sie verwenden müssen, oder Sie stellen eine Verbindung über DHCP her.
Ron Maupin
Ich frage nicht nach der Modemverbindung zum ISP, sondern nach der Routerverbindung zum Modem im Bridge-Modus. In diesem Modus werden DHCP-Clientanforderungen nicht verarbeitet. Darüber hinaus verfügt das Modem selbst im Bridge-Modus über eine WAN-zugewiesene IP-Adresse (bereitgestellt von DHCP) und eine LAN-erreichbare IP-Adresse. Daher kann mein Router nichts als DHCP-Client anfordern. Aus dieser Diskussion geht hervor, dass ich wirklich eine statische IP-Zuweisung am Router-WAN-Port vornehmen und mit Modem Bridging testen muss.
Andrew Philips
Ich habe einige Male erklärt, dass Sie zwei Möglichkeiten für die WAN-Konfiguration Ihres Routers haben: eine von Comcast zugewiesene statische Adresse oder DHCP. Das sind deine zwei Möglichkeiten. Sie können mit Comcast zusammenarbeiten, um die geeignete Auswahl zu treffen. Das ist wirklich sehr einfach und die Leute machen das jeden Tag. Sie wollten das von jemandem, der das tut, und ich mache das. Wenn Sie das Modem als Netzwerkgerät entfernen möchten, können Sie es in den Bridge-Modus versetzen oder Ihr eigenes erwerben. Ich verstehe das Problem wirklich nicht. Wenn es funktioniert, gibt es keinen wirklichen Grund, es zu ändern, da Sie nichts Greifbares gewinnen.
Ron Maupin
Vielen Dank, aber ich muss VPN in den Router ausführen, damit der Router (und nicht das Modem) sein externes Gesicht zur Verfügung hat. Vielen Dank. Sie haben mein Verständnis ein Stück weiter verschoben. Ich bin mir noch nicht sicher, ob ich das vollständig verstehe. Wenn ich hier andere Antworten sehe oder wenn ich es endlich zum Laufen bringe, werde ich etwas posten.
Andrew Philips
0

Zunächst einmal sollten Sie Ihr Modem nicht in den "Bridged-Modus" versetzen oder sich damit herumschlagen müssen, da Comcast dies ohnehin unter Verschluss hält. Geben Sie vom Router aus das Konfigurationsbeispiel ein, das Ron oben platziert hat. So sollte beispielsweise Gi0 / 0 Ihre externe Schnittstelle sein, es ist die ISP / Internet-Schnittstelle - dh Comcast - und Ihre interne Schnittstelle ist Gi0 / 1. Die Befehle unterscheiden sich nicht, außer den Beschreibungen und "IP Nat overload", wenn Sie machen PAT, da Comcast Ihnen nur 1 IP-Adresse gibt, daher ist die Verwendung von 1 zu 1 möglicherweise hilfreicher für Sie. Schnittstellenbefehl - nachdem Sie einen DHCP- und NAT-Pool gemäß Ihrem öffentlichen IP-Adressierungsschema erstellt haben. Viel Glück Bruder!

Dunkler Zauberer
quelle
Ich habe mit meiner Box die Entspannung erreicht, aber ich muss das noch einmal überprüfen. Ich hatte einige Probleme mit Verbindungsabbrüchen für SSL-Verbindungen über meinen Router. Ich denke, ich muss die iOS-Version aktualisieren. Ich denke auch, dass es mit dem doppelten NAT (doppeltes PAT) über Kabel und Router zusammenhängen könnte. Ich möchte nicht, dass die Kabelbox IP-Adressen verteilt. Ich hätte wirklich gerne keine Kabelbox PAT'ing oder sonst etwas im Weg. Ich arbeite immer noch daran, aber es hat keine hohe Priorität. Wenn ich es endlich herausgefunden habe, habe ich vor, hier zu posten, wie ich es gelöst habe.
Andrew Philips
0

Sie können sich in der Regel beim CPE (Customer Premise Equipment) anmelden, indem Sie über Ihren Webbrowser eine Verbindung herstellen. (Yours ist wie gemacht diese ). Schauen Sie sich also an, was Ihr von DHCP bereitgestelltes IP-Standardgateway ist (geben Sie in der Windows Open-Eingabeaufforderung ipconfig / all ein). Stecken Sie diese IP-Adresse in Ihren Browser, um eine Verbindung herzustellen. Möglicherweise müssen Sie /adminnach der Adresse hinzufügen . Suche basierend auf Ihrem Modell CPE.

Dort können Sie mit den meisten CPEs einem Gerät in Ihrem Heimnetzwerk Ihre einzelne öffentliche IP-Adresse zuweisen. Sie würden diese IP-Adresse auf Ihren Router anwenden. Konfigurieren Sie es von dort aus nach Ihren Wünschen.

Ronnie Royston
quelle