Hlavní stránka Hardware Sítě a Internet Malé domácí síťování: modem, router, switch
Malé domácí síťování: modem, router, switch
autor: Petr Šaroun , publikováno 8.2.2018
Malé domácí síťování: modem, router, switch

Nějaký ten modem, který zprostředkovává připojení k internetu, má doma většina z nás. A řada z nás za ním má připojenou rovnou celou síť počítačů a dalších zařízení, jako jsou mobily, tablety anebo televizory. Jak se to řeší, když vám nestačí jediná přípojka, anebo když chcete, aby spolu více zařízení v síti komunikovalo, se podíváme dnes.


Dejme tomu, že chcete doma zlepšit rozvedení WIFI po domácnosti.

Tohle je váš první modem:

Malé domácí síťování: modem, router, switch

Modem

Přes WAN rozhraní jste připojení k poskytovateli připojení k Internetu. Máte tam WIFI a čtyři porty switche.

Teď si přidám další zařízení:

Malé domácí síťování: modem, router, switch

Méně správné propojení – vytváříme dvě sítě

Zapojili jsme WAN rozhraní do Switche prvního (hlavního) modemu. Všechno funguje, asi jako když obraz přilepíte izolepou. Je to rychlé, je to snadné, často se to povede, nemusíte k tomu nic umět, jen to prostě není ono.

Routování funguje ze sítě do sítě, můžete tedy routovat ze sítě 192.168.0.1/255.255.255.0 třeba do sítě 192.168.1.0/255.255.255.0. Směrovat pakety ze sítě 192.168.0.0 do sítě 192.168.0.0 je poněkud problém a vyhněte se tomu! Hodí se zopakovat definici toho, co je to brána. Brána je zařízení, které routuje nebo natuje provoz z jedné IP sítě do druhé IP sítě. Pokud máte na LAN i WAN různé sítě, ale obě jsou stejné, tj. 192.168.0.0 a 192.168.0.0..no tak obvykle máte problém.

Zapneme druhé zařízení a stane se následující. Nová krabička chce zapnout svoje WAN rozhraní, proto na něj vyšle DHCP požadavek a získá odpověď. Ale ouha, na obou rozhraních má stejnou síť a routování nejde. Řešením je se do druhého zařízení připojit a nastavit mu jinou vnitřní síť. Řešení to je, ale dobré není.

Správně to je takhle:

Správné propojení – rozšíření sítě

Malé domácí síťování: modem, router, switch

Obvykle je lepší propojit zařízení pomocí jejich switchů! Což jde hrozně snadno, jen musíte vědět, co děláte a vyřešit dva menší problémy. Tak zaprvé, právě teď máte v síti DVA DHCP servery! To by dělalo problémy, jeden zakažte! No a taky můžete mít peška a obě zařízení mohou mít stejnou IP adresu, jednu budete muset změnit, nemůžete mít dvě stejné IP v rámci jedné sítě.

Vypnutí druhého DHCP

Malé domácí síťování: modem, router, switch

A je víc než vhodné změnit IP adresu modemu tak, aby byl ve stejné síti jako první modem a zároveň, aby jeho adresa nezasahovala do seznamu adres, které může přidělit DHCP server. První modem bude mít IP adresu dejme tomu 192.168.0.1 a druhý modem bude mít adresu 192.168.0.2. Vážně dáte pozor, abyste IP adresu modemu nenastavili do rozsahu pro DHCP! Pokud obě WIFI nastavíte stejně, s trochou štěstí bude fungovat Roaming. Tj. budete mít jeden název sítě a zařízení si samo bude rozhodovat, do které sítě se připojí. Dost možná naprosto bez výpadku připojení nebo nutnosti zadávat různé přihlašovací údaje. Pokud byste zařízení propojili pomocí WAN, děly by se ošklivé, nepěkná věc.

Jiný případ

Kdybych chtěl připojit babičku, klidně jí připojím výše uvedeným způsobem, aby chuděra stará mohla tisknout na naší síťové tiskárně a používat náš NAS.

Kdybych chtěl připojit souseda k internetu přes můj modem, tam je naopak lepší sítě oddělit. Na modemu bych vyhradil port 4 jiné síti, sestavil síťový bridge a síť routoval, rozhodně nemá smysl zapínat NAT. Jeden NAT je víc než dost. Jak na to, si ukážeme v dalších dílech. Něco si musíme nechat taky napříště že?

Malá rekapitulace:

  • Dvě zařízení ve stejné síti nesmí mít stejnou IP adresu.
  • Brána je zařízení, které směruje (routuje) provoz z jedné sítě do druhé, může provádět i NAT.
  • Pokud máte jednu veřejnou adresu, nejspíš se bez NATu neobejdete.
  • Vícenásobný NAT je zlo, snažte se počet NATů minimalizovat.
  • Není dobré používat NAT místo routování.
  • NAT ani router není firewall, chraňte svou síť kvalitním firewallem.

Doufám, že jsem vás neunavil, je to poměrně nezáživná teorie, ale probraná řekněme z trochu jiného úhlu, než je obvyklé.



Tagy: Síť  Router  Firewall  Sítě  Nastavení sítě  


 
Komentáře k článku
RSS
Pouze registrovaní uživatelé mohou přidat komentář!
8.2.2018 22:06:46   81.200.57.xxx 411
Je dobré už rovnou poskytovatele bombardova dotazy na IPv6, a urychlit tím konec pekla jménem NAT.
9.2.2018 08:10:01   217.16.190.xxx 91
To je sice pravda, ale tomu NATu se nevyhneš. V dnešní době bych na pc opravdu nechtěl pouze a čistě IPv6 (bez tunelu) Protože by půlka internetu stejnak nefungovala. Otázkou tedy je, zdali je lepší mít tunel IPv6 -> IPv4 nebo ten NAT. Já jsem tedy názoru, že radši bych zůstal u natu.
9.2.2018 08:41:26   78.102.90.xxx 14
Ve světě to všechno mají dávno vyřešeno, jen v USA a Evropě si díky počáteční rezervaci velkého počtu IPv4 adres mohou dovolit ten luxus neřešit to

Třeba v Číně je nová veřejná IPv4 pro domácnosti sci-fi, všichni dostanou pouze IPv6 a pro přístup na IPv4 používají technologie jako třeba NAT64 a 464XLAT.
9.2.2018 08:54:00   93.91.150.xxx 12
Asi tak. Třeba můj poskytovatel dává na své (uživatelům pronajaté) routery IPv6 automaticky, ostatním po dohodě. Ale přístup z netu blokuje a otevře jej pro příslušnou subsíť až na požádání. Mám IPv6 skoro dva roky a přístup zvenčí jsem ještě nepotřeboval...
10.2.2018 16:21:22   81.200.57.xxx 00
Nevyhneš, ale je potřeba vyvíjet nátlat na ISP. Dnes už jiný problém není.
9.2.2018 09:25:32   89.103.223.xxx 21
Mno, aby to pak neskončilo jako u mne (UnityMedia - UPC v DE), kdy provider sice nasadil IPv6, ale ne Dual Stack ale DS-lite, kdy IPv4 je stejně NATovaný.

https://www.ipv6.cz/Dual-Stack_Lite
10.2.2018 16:20:09   81.200.57.xxx 00
Tak to co předvedlo UPC je čistá prasárna, a ti ne z technických, ale zcela jistě z nenažraných důvodů...
9.2.2018 09:43:48   193.84.172.xxx 10
Můj poskytovatel dává IPv6 novým zákazníkům, ale pěkně to domrvil, takže pokud jste u UPC, tak s tím IPv6 počkejte co to jen jde...

Cituji vyjádření UPC k jejich "úžasnému" řešení IPv6:
Pokud má klient na modemu podporu dual stacku lite, dostane nově privátní IPv4 adresu a veřejný IPv6 prefix. V současné době běží testy, které budou během několika dnů ukončeny. Během následujících týdnů zahájíme provoz v režimu DS-Lite. Pro místní síť bude pomocí DHCPv6 přidělován prefix o délce /56, drátová síť i Wi-Fi pak dostanou pomocí SLAAC společný rozsah /64. Bohužel zatím nebude možné z routeru prostřednictvím DHCPv6 serveru dostat další rozsah pro zařízení v místní síti. Bohužel to neumožňuje firmware modemů. Zároveň nebude možné mít modem přepnutý do režimu bridge a routovat na jiném zařízení za ním.

Jejich výmluva "Bohužel to neumožňuje firmware modemů. Zároveň nebude možné mít modem přepnutý do režimu bridge a routovat na jiném zařízení za ním." je směšná, trapná a tragická zároveň. Oni mají dodavatele vlastních zařízení a nejsou schopni si dupnout, aby měli v pořádku firmware?!? Kdepak, je to jinak. Oni to samozřejmě umí, ale nechtějí aby někdy v budoucnu mohli udělat "super" akci "My vám teď poskytneme ještě lepší IPv6 než doposud."... Kdyby v místě mého připojení byla nějaká konkurence, tak už jsem dávno odešel, ale zatím je pro mě UPC bohužel jediná rozumná možnost.

Takže pokud chcete bombardovat své poskytovatele dotazy na IPv6, pak si dejte pozor zda zrovna ten váš poskytovatel z IPv6 neudělal hromadu sr**ek...
10.2.2018 06:14:25   188.167.253.xxx 00
ale potom si pre cely ipv4 internet na 1 IPadrese so vsetkymi klientami ISP.. nemozes si presmerovat porty a si v haji. Napr. na zahrade mam kamery a ten drbnuty ubiquiti cloud system je jedna velka katastrofa. Cez pripojenie priamo na IP s presmerovanim na NVR to funguje lepsie (nie vsak dokonale).
9.2.2018 01:01:30   188.112.66.xxx 142
Mohol by som napisat intro do Lede/Openwrt ak by bol zaujem Bohuzial len po Slovensky ak to nebude problem
9.2.2018 07:27:12   46.135.94.xxx 70
Gratuluji, perfektně napsané, aby to pochopili i ti bez základních znalostí.
V 5. kapitole by bylo dobré sjednotit "doručovatele" Karel a Franta, aby to přece jen některé nemátlo..
9.2.2018 08:12:10   80.188.34.xxx 101
Výborně, moc fandím takovýmto článkům!
Takový obecný základ je názorně představen. Co se týče veřejné IP adresy, určitě je dobré mít vlastní (přidělování veřejných statických ipv6 adres dosud není u většiny ISP běžné) dá se připlatit za vlastní ipv4 adresu ( mě to stojí 60 CZK měsíčně).

Nebudu rýpat do jednotlivých podrobností v článku, ten koho baví síťování ví, že všechno jde nějak vymyslet a zprovoznit.

Hodně doporučuji zařízení Mikrotik koho to zajímá, s tím se dá doopravdy kouzlit a je to cenově dostupné. Paketový firewall co je obsažen mi dovoluje filtrovat cokoliv jakkoliv, včetně skriptování a případných notifikací.

Wifi ISP často používají Ubiquiti, protože je dobré co se týká výkonu v bezdrátu, ale routováním nesahá ani po kotníky Mikrotiku, který naopak použijí pro routování (mikrotik podporuje i chytré BGP a OSPF routovací protokoly).

Každopádně díky za článek a jen tak dál :-)
9.2.2018 12:48:00   195.39.10.xxx 00
"Wifi ISP často používají Ubiquiti, protože je dobré co se týká výkonu v bezdrátu, ale routováním nesahá ani po kotníky Mikrotiku"

Tak určitě

to je to samé jako tvrdit že jezdit s automatem je lepší jak S manuálem
9.2.2018 13:06:03   80.188.34.xxx 10
Ano, jsou to informace z praxe, sám jsem pro jednoho ISP dělal, u klientů většinou nějaký Ubiquiti nanobeam (opravdu pěkně bezdrátuje). A na spojovacích bodech opět nějaké ubiquiti nebo jirous, ALE vlany routy a naty obstarával právě nějaký Mikrotik (který je v bezdrátu horší, ale stojím si za svým coby router s ubiquti absolutně srovnání, a pokud nejdete v ciscu nebo vlastní unix-like řešení tak nemá konkurenci).
10.2.2018 06:20:24   188.167.253.xxx 10
ja mam v jednej budove ubi edgerouter er8 s 18 virtualnimi sietami a slape to jak svajciarske hodinky. Mikrotik som mal len 1x pred 100 rokmi a nevedel som tam nic nastavit...
12.2.2018 09:37:01   195.39.10.xxx 00
jako nechápu proč bych zato strkal MKT a okrádal se o další funkcionalitu celého ekosystému...

Buď si to naklikám v grafickém klikátku a to co tam nejde nastavím přes cls...
9.2.2018 10:39:44   93.91.150.xxx 20
Karel routuje, Franta NATuje.
9.2.2018 13:01:27   46.135.94.xxx 00
Ano, ale u natování je v článku napsáno, že odpověd dostane "zase Karel". Domnívám se, že by tam mělo být "Franta". Protože při natování se odpověd vrací zpátky na adresu NATu, tedy "Franty"..
10.2.2018 00:36:28   217.30.70.xxx 10
V článku se píše: .. A je víc než vhodné změnit IP adresu druhého modemu tak, aby byl ve stejné síti jako první modem a zároveň, aby jeho adresa nezasahovala do seznamu adres, které může přidělit DHCP server.
Dotaz: Proč musí být IP adresa 2. modemu mimo rozsah DHCP prvního modemu? Druhý modem má vypnuté DHCP tudíž by neměla nastata kolize. Rád bych věděl důvod. Děkuji za článek.
10.2.2018 06:25:53   188.167.253.xxx 00
aby nahodou DHCP routeru1 nepridelilo danu IP, ktoru ma router2 nejakemu inemu zariadeniu. Samozrejme menit IP rozsah R2 na rovnaky ako ma R1 nieje nutne, len sa potom nedostanes do nastaveni bez zmeny IP...
10.2.2018 17:34:20   185.99.65.xxx 10
je to jednoduche... Ten 1. router totiz nevi ze ta adresa je staticky obsazena jinym zarizenim (2. routerem). Sice by si prvni router mel overit zda adresa neni obsazena ale router to nedela. Nektere routery poznaji kdyz je ta adresa aktivni a chodi pres ne ven ze je obsazena a tak ji neprideli, ale nektere ani tohle neresi. Problem druheho routeru je v tom, ze on sam od sebe pres branu nekomunikuje a tudiz ta brana o nem ani nemuze vedet. Nejlepsi reseni by bylo dat druhemu routeru dhcp client na stranu switch portu, ale tohle na levnych routerech nastavit nejde aproto se musi nastavit adresat staticky na .2 a vyjmout ji v DHCP serveru... ja to delam tak ze prvnich 10 adres nechavam umyslne mimo DHCP a nemusim na to potom myslet.
10.2.2018 17:13:01   185.99.65.xxx 22
Nelíbí se mi označování všech ISP za ty zlé. Uvědomte si že adresy nejsou zadarmo. Nejde každému klientovi dát veřejnou adresu. Obrázek s natem u ISP je taky blbost. Jak potom tu síť chcete spravovat? Síť je logicky routovaná, ale nikoliv natovaná. To je docela velký rozdíl. U nás to funguje tak, že kdo si o veřejnou adresu řekne dostane ji zdarma. Díky tomuto modelu jsem schopen vyjít s počtem adres a nemusím za ně platit. Kdybych měl být super hodný a každému dávat veřejnou adresu, tak musím být dražší a vzhledem k tomu že 80% lidí nevadí že nemají veřejnou a hodně velká část lidí ani veřejnou nechce (nechtějí aby měli popotahovanice, když jejich dítě přes torrent sdílí duševně chráněné vlastnictví). Co se týka ipv6 tak toto je uděláno úmyslně jako šmírovací věc a osobně dokud to nebude nutné tak to nechci. Uvědomte si že ipv6 adresa je tak velká aby její vznik fungoval na základě MAC adresy. Na základě tohoto je jasné že IP adresama v ipv6 se nehorázným způsobem plýtvá. Přestože ipv6 umožňuje obrovské množství ip adres je to jeden z důvodů proč jednou dojdou. Otázkou je kdyby je dnes používali všichni jestli by už nedošly. ipv6 je technologicky krok zpět proti ipv4. On ten nat má taky svoje výhody. Skovat počítače negramotných lidí za nat je v rámci jejich dobra. Dát jim veřejné adresy na všechny zařízení by mohlo znamenat že i chytrá lednička by je někdy mohla chtít zabít. Obecně si nedokaží představit že by všechna zařízení v rámci chytré domácnosti měla mít veřejné IP...
10.2.2018 20:32:37   188.167.253.xxx 11
mat verejnu IP na vsetkych zariadeniach doma je kktina na ntu! Znamena to, ze musim chranit vsetky zariadenia, v pripade NATu musim chranit len router. Je jasne, co je jednoduhsie. A chladnicka pripojena na net... som konzervativny clovek, do chladnicky nikdy LAN kabel nepichnem!
10.2.2018 21:37:47   37.221.248.xxx 11
2^128 adres ..tak ty urcite dojdou

pletes japka s hruskama ...a EUI adresy... te nenuti nikdo pouzivat ...
13.2.2018 17:58:02   185.99.65.xxx 00
doporucuji nastudovat pravidla pouzivani IPv6 dle RIPE. 2^128 to totiz v realu neni. /64 je totiz nejmensi subnet. Nevim k cemu je dobre davat kazde domaci siti 18446744073709551616 adres, kdyz ted si myslim ze kazdemu z nas staci obligatnich 252 adres. Jak jsem rikal.. je to jen smirovaci nastroj jak byt schopen cloveka rozpoznat a velky ten blok je prave protoze adresa klienta vznika na zaklade jeho MAC. Cele je to jeste nekdy nahouby, protoze v momente kdy zarizeni jednou adresu vygeneruje snazi se ji pouzivat porad stale a je jedno jestli jste na wifi doma, nebo pres mobilni pripojeni nebo nekde na verejnem hotspotu. Samozrejmne prvni cast adres se meni, ale ta posledni nikoliv. A z toho vznika ta zajimava situace a to jest jak rozpoznat zarizeni. Klientsky notebook se poprve k ipv6 pripoji nekde na hotspot. Dostane tam ipv6, ktery si idealne vygeneruje na zaklade mac adresy wifi adapteru (ale uz jsem videl ze to vzalo i MAC od bluetooth) a potom kdyz se takovyto clovek pripoji s notebookem k firemni siti, tak pouzije ethernet a najednou mi nesedi ipv6 s mac protoze to stale drzi tu prvni vygenerovanou.

Proc IPv6 mohou dojit?

protoze se s nima plytva jako prase. To ze kazdy subnet sezere pulku kazde adresy je relativne detail, protoze stale zbyva 2^64 adres... ale...

2^48 by mel dostat spravne kazdy zakaznik, nastesti ISP nejsou idioti a takoveto adresni rozsahy svym zakaznikum nedavaji - davaji obvykle 2^56 (256 subnetu do 2^64) - da se to oznacit jako stejne mnozstvi jako IPv4 class C subnet (256 adres). Ano v IPv6 je to sice 256 subnetu a realnych verejnych adres je sakra vic, ale realne je to pro stejnych 256 klientu, protoze klient nenatuje a nenastavuje se presmerovani portu jako v ipv4, ale dostava cely blok 2^64 adres pro vsechny svoje zarizeni.

Pokud teda jako poskytovatel zazadate v RIPU o adresy v ipv6, tak dostavate automaticky 2^32 adres. Jen tak pro predstavu hadejte kolik je adres v IPv4 ano je to 2^32. Takze teoreticky - pokud by kazdy poskytovatel mel C blok v IPv4 (256 adres) tak to znamena ze muzeme mit 2^24 poskytovatelu v IPv6 muzeme mit dle stavajicich pravitel 2^32 poskytovatelu. Stale si myslite ze adresy v IPv6 nemohou dojit?

Mimochodem adresy dostavate zdarma. Plati se jen clenstvi v RIPE. Registrace v RIPE stoji 2000€ a kazdy rok se plati 1400€. Takze ted mi definujte vesnickeho poskytovatele. Pokud takovy poskytovatel ma 100 platicich klientu a musi platit 1400€ aby kazdemu z nich mohl dat verejne IPv6 tak je to 1400*25/12=2920kc / mesic - na cloveka ho to stoji 292kc. Pokud tento ISP ma 1000 platicich lidi (je to stale vesnicky ISP?) tak je to ~30kc na cloveka. Ted se prosim oprostete od nas samotnych (piseme tady vsichni minimalne technicky nadseni) a uvedomte si kolik z tech vesnickych lidi poznaji jestli maji nebo nemaji verejnou IP a kolik z nich by dobrovolne pridalo 30kc mesicne - je mi jasne ze z nas prakticky vsichni, ale opravdu si to myslite o bezne rodince z vesnice? Ty obvykle ani nezajima rychlost... Ty resi jestli za ty internety daji 100, 200 nebo 300 a vic uz je moc.

Zkuste nehodnotit prosim jestli vzorek lidi o kterem vam zde pisi dava nebo nedava smysl. Jiny kraj jiny mrav. Bavme se jen technicky a zkuste mi tady najit nejakou chybu.
13.2.2018 18:10:23   185.99.65.xxx 00
jednu chybu jsem si nasel 2920/100=~30 a 2920/1000=~3...

uznavam pro 1000 lidi uz to i financni smysl ma.
13.2.2018 20:18:27   89.24.225.xxx 00
koncakum davame /96
13.2.2018 20:23:30   89.24.225.xxx 00
prosimte nedosly ani 4ky... to ze je maj vsichni nasisleny je vec druha...a ne..nepridelujeme ipv6 na zaklade mac adresy
10.2.2018 22:26:31   78.102.90.xxx 21
Co je to zase za bláboly Nutnou, nikoliv postačující, podmínkou k připojení se k internetu je veřejná IP Pokud ISP nemá IPv4, nechť rozdává IPv6, NAT není internet Skutečně existují vesničtí ISP, kteří mají za jednou veřejnou IP celou vesnici. Pokud ti vadí autokonfigurace IPv6 podle MAC adresy, není problém zprovoznit DHCPv6. Ten kdo si myslí, že NAT nějak nahrazuje firewall, by vůbec do sítí neměl dělat.

Redakce si vyhrazuje právo odstranit neslušné a nevhodné příspěvky. Případné vyhrady na diskuze(zavináč)pctuning.cz

91 čtenářů navrhlo autorovi prémii: 45.5Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.