Como criar uma "rede pública isolado" com um segundo roteador?

Luc457x · 4 de julho de 2022

Bom dia/noite a todos, desde já agradeço a todos que puderem adicionar qualquer informação/sugestão quanto a esse tópico.
Bom, tenho um roteador da operadora da internet aqui na minha região (que daqui pra frente chamarei de roteador principal) ao qual eu não tenho acesso as configurações. Necessitando criar uma rede pública filtrada, resolvi pegar outro roteador para criar uma segunda LAN (roteador secundário) onde eu pudesse configurar o DHCP para usar um Raspberry rodando pihole e unbound (filtro e servidor DNS) que tenho ligado ao roteador principal, a ideia era que esse roteador secundário fica-se isolado do resto da rede para quem se conectasse a ele não conseguisse enxergar as outras maquinas no roteador principal (embora o Raspberry esteja ligado ao roteador principal, imaginei que com um pouco de configuração conseguisse fazer o roteador secundário enxergar ele para o usar como servidor DNS). Liguei um cabo LAN saindo do roteador principal no WAN do secundário, quanto a usar o servidor DNS não precisei configurar muita coisa, exceto pelo lado do pihole mesmo, pôs a rede não ficou isolada como eu queria. Na verdade me parece que a rede do roteador secundário está protegida da rede do roteador primário, pôs da rede do roteador secundário consigo enxergar as maquinas nas duas redes, porém da rede do roteador primário enxergo o roteador secundário, mas não as maquinas ligadas a ele.

Resumindo o que preciso é basicamente isso:

Roteador primário com meu PC e outros dispositivos que não quero expor pra rede do outro roteador, exceto o servidor DNS no Raspberry.
Roteador secundário usando o DNS server e o acesso a internet do roteador primário, porém não conseguindo enxergar outras maquinas.

Não entendo muito de rede e segurança então minhas dúvidas são basicamente:

Dá pra configurar da forma que eu descrevi ai acima?
Do jeito que está há algum risco critico? Por exemplo algum PC infectado ou mesmo de alguém mal intencionado que se conecte a rede pública do roteador secundário, põe em risco grave outros PCs na rede do roteador principal?

W46n3r · 4 de julho de 2022

Se conectar o secundário como cliente do primário, sim... dá.

Para garantir que os clientes do secundário não tenham acesso aos clientes do primário provavelmente vai precisar aplicar algumas regras de firewall no primário tratando o trafego que vier do secundário. Uma outra alternativa seria ativar o "client isolation" no secundário... mas dependendo do quer fazer, vai mais atrapalhar do que ajudar.

Luc457x · 4 de julho de 2022

5 minutos atrás, W46n3r disse:

Se conectar o secundário como cliente do primário, sim... dá.

Imagino que essa relação de cliente se dá pela ligação do cabo, certo? No caso está correto como fiz? LAN do primário pra WAN do secundário...

7 minutos atrás, W46n3r disse:

Para garantir que os clientes do secundário não tenham acesso aos clientes do primário provavelmente vai precisar aplicar algumas regras de firewall no primário tratando o trafego que vier do secundário.

Então, o problema é que o aplicativo do roteador primário é horrível, não me deixa configurar praticamente nada, e o painel administrativo não dá pra ser acessado normalmente.

W46n3r · 4 de julho de 2022

12 minutos atrás, Luc457x disse:

Imagino que essa relação de cliente se dá pela ligação do cabo, certo? No caso está correto como fiz? LAN do primário pra WAN do secundário...

Isso.

Bem, se o software do primário é horrivel, talvez possa fazer o bloqueio no secundário então (com regras com trafego na WAN... tipo... não permitindo trafego para a rede local do primário.)

Cadu Campos · 5 de julho de 2022

@Luc457x Olá amigo, tudo bem?

Na realidade não tem a proteção que você imaginou, a rede do primeiro roteador ela não enxerga a rede do segundo roteador por não ter roteamento e saber pra onde ir, ou seja, ela consulta o gateway e o gateway encaminha para a rota default que é o roteador da operadora, já no segundo roteador ela consegue chegar na rede do primeiro por motivo do primeiro roteador ser o gateway do segundo roteador e com isso estar na tabela de roteamento. O real motivo que está ocorrendo é que o roteador utilizado é doméstico e seu firmware é bem simples e não lhe dando muitas opções.

Recomendo você comprar um roteador mais completo para fazer essa sua separação, um mikrotik 750gr3 vai lhe atender perfeitamente e ser o seu roteador de borda ou seja, receber o link e realizar qualquer função que desejar e filtrar as redes em firewall.

Em relação a máquina infectada, se tiver roteamento pra chegar nos destinos, sim pode ocorrer problemas de infectar os demais computadores, por motivo da comunicação entre eles e os virus utilizarem bastante o serviço netbios para se propagar, ai por isto um firewall para evitar comunicação entre equipamentos.

att;

arfneto · 5 de julho de 2022

6 horas atrás, Luc457x disse:

Imagino que essa relação de cliente se dá pela ligação do cabo, certo? No caso está correto como fiz? LAN do primário pra WAN do secundário...

Não está. Usando assim vai rodar NAT duas vezes para os dispositivos que estiverem na segunda rede e algumas coisas não funcionar por causa disso, como redirecionamento de portas e outras coisas. E a performance cai muito porque todos os pacotes da segunda rede terão que ser roteados DUAS vezes. Não use assim.

Quando ao caso da segunda rede ver os micros da primeira entenda que essa é a natureza do TCP/IP. É claro que todos os dispositivos na primeira rede estão na mesma LAN. E claro que o gateway dela é o roteador do provedor. Então se tem acesso ao gateway tem acesso aos outros dispositivos, porque como usou a porta WAN eles são algo como next hop e estão todos por definição na mesma rede.

Claro que pode bloquear toda a LAN com uma regra no firewall da segunda e liberar apenas o gateway em outra regra. As regras "não" vem antes das regras "sim". Mas não deve ficar com o duplo NAT.

Se a sua preocupação é com algum tipo de invasão a partir da WAN apenas controle a entrada no roteador da operadora.

Se precisa de redes isoladas no lado interno uma coisa simples (barata) que pode fazer para conseguir o que quer é desabiitar NAT no primeiro roteador e usar dois roteadores na rede interna na mesma LAN do roteador primário. Ligados via WAN no roteador primário. Então sua rede primária terá apenas os roteadores. Cada roteador secundário terá seu serviço DHCP e suas estações isoladas e NAT normal, mas a WAN deles vai apontar para o roteador da operadora.

Algumas coisas como compartilhamento de arquivos, impressoras e servidores de midia entre os roteadores precisarão ser configuradas caso a caso, mas de todo modo é como se faz com roteadores comuns em escritórios, para construir a rede interna, só que aí se usa tabelas de rotas ao invés de NAT.

W46n3r · 5 de julho de 2022

7 horas atrás, arfneto disse:

Não está.

Não acho prudente complicar a topologia de forma desnecessária. O ganho de performance é irrisório e só em cenários extremos... como baixando torrents ou com muitos clientes simultâneos. Coisas banais como Youtube, Instagram, Web, vai funcionar idêntico. A maior parte das operadoras de internet a rádio usam assim... então... dizer que "não está certo" é como dizer que oferecer internet publica sem um captive portal "está errado".

Como tudo na vida, há as soluções simples, as complexas, as certas e as erradas. Uma solução simples pode estar errada, mas não necessáriamente.

arfneto · 6 de julho de 2022

14 horas atrás, W46n3r disse:

Não acho prudente complicar a topologia de forma desnecessária

Múltiplo NAT é um bom exemplo de como complicar a topologia e não o contrário

14 horas atrás, W46n3r disse:

A maior parte das operadoras de internet a rádio usam assim... então... dizer que "não está certo" é como dizer que oferecer internet publica sem um captive portal "está errado"

Ninguém diz que CGNAT está errado. E economiza muito dinheiro para essas operadoras. Quanto aos clientes acho que se sabe que todo mundo odeia isso porque trás muitos problemas. Por exemplo com jogos e encaminhamento de portas. Pode ver neste forum por exemplo.

Quanto alguém trás duplo ou múltiplo NAT para sua casa ou escritório está buscando os mesmos problemas. E encontrando. Em casa mesmo.

14 horas atrás, W46n3r disse:

Coisas banais como Youtube, Instagram, Web, vai funcionar idêntico

Só que isso não é tudo. Mesmo em redes domésticas esse cenário "banal" não funciona. Vou listar uns exemplos.

14 horas atrás, W46n3r disse:

Como tudo na vida, há as soluções simples, as complexas, as certas e as erradas. Uma solução simples pode estar errada, mas não necessáriamente

Pode ser. Mas essa está errada.

Opiniões diversas num forum público são perfeitamente ok. Indulgência com coisas meio certas também. Mas a realidade não tem isso.

Vou te listar alguns problemas comuns que eu acho que até já listei aqui, por usar essa coisa de ligar roteadores em cascatas pela porta WAN e achar que funciona.

15 horas atrás, W46n3r disse:

O ganho de performance é irrisório e só em cenários extremos

Vou até listar algo de hoje pela manhã numa instalação dessas: um roteador doméstico de banda larga da operadora vivo na região de Taubaté-SP ligado a um outro roteador modelo Archer C2 da TP-Link de uns anos atrás. É um aparelho dual band com portas gigabit e alguns recursos até.

Ligado um laptop na rede do primeiro roteador tem esses números nesse particular medidor de performance, e o servidor é irrelevante nesse caso

As duas sessões a seguir mostram a diferença de trocar o cabo de uma porta LAN da rede do primeiro para uma porta LAN da rede do segundo roteador, depois do DNAT

Foram rodadas em seguida. Eu só queria aproveitar a oportunidade e não posso perder tempo com isso. Rodei os testes, reconfigurei o Archer C2 e segui adiante

Mudando a configuração para ligar o segundo roteador via LAN e medindo minutos depois com o mesmo laptop ligado agora numa porta LAN do SEGUNDO roteador os números ficam próximos do caso inicial

Acho que dá pra ver que as taxas de download cairam para menos da metade ao usar WAN/LAN/WAN/LAN e o consequente duplo NAT. Claro que um teste de download induz um stress maior do que muitos aplicativos web. Mas pode imaginar 2 videos 4K passando na segunda rede, um no NetFlix na TV da sala e outro num celular no sofá? Era um cenário comum nesse meu exemplo hoje. E ficava tudo muito lento.

Quedas misteriosas no acesso a internet para computadores na segunda rede

Essa é uma queixa comum nesses forums. Acontece em todo lugar e por muitos motivos; Tem casos em que se pode achar a causa. Duplo NAT é uma delas. Veja esse caso que eu acompanhei hoje, por absoluta coincidência (o mesmo que descrevi acima).

O intervalo padrão de lease do DHCP para essa operadora ao menos nessa região é de 4 horas, no popular 4 vezes ao dia tipo remédio para gripe.

O segundo roteador está ligado no primeiro via porta WAN e ela está claro ligada a uma porta LAN do roteador da VIVO. O que acontece quando vence o lease da VIVO e vai renovar o endereço? Muitas vezes a WAN do C2 fica sem IP por um pequeno intervalo, porque o roteador da VIVO demora a responder ao pedido. E aí derruba TODAS as conexões na LAN da segunda rede. Isso pode cancelar um pagamento, cancelar um download, piscar uma tela de um filme, parar um impressão.....

Renovado o endereço tudo volta ao normal, 1s ou 2s depois. Ou mais. Não há nenhuma garantia de tempo de resposta do primeiro roteador, e ele tem outras coisas para fazer.

Claro que se o intervalo de lease for menor isso vai acontecer mais e mais vezes. E se aumentar muito pode cair em outros problemas maiores. Conhece aquele dos estabelecimentos que oferecem wifi grátis para clientes e a rede para toda hora?

Televisores nas redes

Esse é outro inferno.

Ao usar roteadores em cascata via WAN numa casa se você tem televisores nesse caso nas duas redes dispositivos conectados na segunda rede podem projetar tela em televisores na rede principal porque é a next hop. Por definição todos os aparelhos conectados na rede da VIVO no meu exemplo estão na mesma rede do roteador VIVO e ele é claro o gateway da segunda rede.

Mas os aparelhos que estão na segunda rede não conseguem projetar na TV conectada ao segundo roteador porque precisaria passar pelo segundo NAT.

Impressoras na segunda rede

Nesse (meu) caso de hoje tem uma Laserjet Pro MFP na segunda rede no primeiro andar e para imprimir nela é preciso estar conectado na rede do primeiro andar, no tal Archer C2. Da rede da VIVO a impressora não pode ser acessada e todo mundo se acostumopu com isso desde a mudança do apartamento de um andar para esse que tem dois . . .

Dispositivos Chromecatst, Roku, Fire

Esses aparelhos tem o mesmo problema e não dá para passar um vídeo do Youtube por exemplo do celular para uma TV na rede primária se o celular estiver conectado na rede wi-fi do Archer C2.

NetFlix, HBOMax e serviços de stream e IPTV, Wifi Direct, Miracast

Todos os pacotes tem que passar pelas tabelas NAT dos DOIS ou vários roteadores que use nesse modo e isso sim é complicar a topologia. Um vídeo 4K pode gastar perto de 25mbits segundo a NetFlix...

servidores de mídia como Plex ou Kodi simplesmente não funcionam dependendo de onde na rede estejam o servidor e os clientes no caso de múltiplo NAT. E quando funcionam induzem uma carga enorme na rede totalmente a toa.

TL;DR

Cansei de exemplos. Mas o caso é de se você usa isso numa casa trás para si o mesmo inferno que contrata ao assinar com um provedor que usa CGNAT na sua região. Só que nesse caso acontece toda hora e é desnecessário.

Um lado pior

Nesse caso que descrevi o roteador secundário ainda é um dual-band moderno. Muitas vezes o que acontece é que se ressuscita um roteador de 10 anos atrás desses de 150/300 mbps e quase sem RAM e põe para "aumentar a rede" e aí ele mal aguenta manter as tabelas de NAT.

Estou me dando ao trabalho de escrever isso porque toda hora leio ou escuto opiniões como essa de que " funciona tudo ok na maioria dos casos" e quem sabe alguém tenha lido isso e entenda que não é o caso.

W46n3r · 6 de julho de 2022

Rapaz... estou surpreso pela sua disposição em escrever tanto.

O cenário de troca de IP por DHCP causando queda de conexão... me desculpe, mas isso é problema de roteador. É o caso de pedir para a operadora trocar. Não tem nada a ver com NAT duplo. Lembre-se que DHCP da rede interna não tem nada a ver com o DHCP da internet... então internamente todo mundo continua com seus IPs intactos. Como disse, se o roteador não receber um novo IP antes de haver um timeout, ele tem problema e precisa ser trocado.

Pelo que entendi, o desejo é disponibilizar internet ao publico... então não vai ter impressora, TV e todos os cenários descritos. Muito provavelmente vão ser celulares. E, se num cenário extremo a performance for limitada (steaming 4k) isso é um tremendo de um bônus né... é como se fosse um QOS primitivo te protegendo da falta de noção do pessoal na rede publica.

arfneto · 7 de julho de 2022

Você não parece ter experiência com essas coisas ou em entender cenários de uso.

Vou explicar um pouco mais porque pode ajudar mais gente. Em cenários de múltiplo NAT todas as portas WAN que não a que vai dar no provedor serão atendidas PELO DHCP do roteador acima. Entenda isso. Não tem nada a ver com o provedor de acesso.

9 horas atrás, W46n3r disse:

É o caso de pedir para a operadora trocar

Espero que já tenha entendido agora, mas não há operadora envolvida exceto pelo roteador do provedor. No exemplo que descrevi, que é de uma casa, o roteador C2 estava ligado via WAN na LAN do roteador da VIVO. É claro que o endereço da WAN dele é um endereço da LAN da rede do roteador da VIVO. Isso não é opinião: é TCP/IP. O gateway do next hop, a rede da VIVO, será claro o roteador da VIVO. E o endereço dele virá via PPPOE do provedor. TCP/IP nada tem a ver com a internet. TCP/IP tem a rede e o gateway. Só isso. Se os pacotes tem destino fora da rede vão para o gateway. Como não há infinitos endereços DHCP permite o reuso. E há os endereços não roteáveis que são replicados em toda parte. DNS permite associar nomes aos endereços e a vida segue.

9 horas atrás, W46n3r disse:

Lembre-se que DHCP da rede interna não tem nada a ver com o DHCP da internet... então internamente todo mundo continua com seus IPs intactos. Como disse, se o roteador não receber um novo IP antes de haver um timeout, ele tem problema e precisa ser trocado

Caso ainda não tenha entendido: não existe rede interna. É TCP/IP. São camadas. Pode olhar em sua rede e tentar entender. Voltando ao exemplo que descrevi: a rede do Archer C2 é uma LAN normal com seu gateway. A rede da VIVO é uma LAN normal com seu gateway.

Só que o gateway da LAN do roteador secundário é ele próprio. E a porta WAN dele está ligada a uma porta LAN do roteador da VIVO. Essa é a configuração que você disse que é certa e que funciona em todos os casos. o endereço da WAN dele e de todos os roteadores ligados via porta WAN ao roteador do provedor é dado pelo servidor DHCP do roteador do provedor. Ou é fixo mas o gateway TEM QUE apontar para o roteador da operadora. Isso quer dizer que sim, o endereço IP dos roteadores secundários expira sim. E não é problema da operadora nem da rede.

9 horas atrás, W46n3r disse:

E, se num cenário extremo a performance for limitada (steaming 4k) isso é um tremendo de um bônus né... é como se fosse um QOS primitivo te protegendo da falta de noção do pessoal na rede publica

Não , não é um cenário extremo. Essa situação que descrevi não é nada extrema e todo mundo usa isso hoje em dia. É uma casa, um apartamento. Tem dois pisos, e os equipamentos vieram de uma casa que só tinha um piso. Nesse novo cenário foi preciso colocar uma rede em cada piso. Tem TV em cada piso. Tem assinaturas de NetFlix, Disney, GloboPlay e HBO. E recebem conteúdo em 4K. Tem vários celulares, tablets e Notebooks. E servidor e clientes Plex. Tem uma impressora Laserjet Pro ligada na rede secundária.

Alguém instalou o roteador do modo como você sugeriu. E apareceram todos os problemas que eu listei. E ao mudar para o cenário que eu expliquei todos os problemas se foram. A impressora que só podia ser usada numa rede por exemplo. Os celulares que não achavam as TVs. Os notebooks que ficavam ilhados na rede secundária...

10 horas atrás, W46n3r disse:

QOS primitivo te protegendo da falta de noção do pessoal na rede publica

Está certo de que sabe o que é QOS? Isso não atravessa redes. Trata-se de uma protocolo para priorizar tipos de tráfego na LAN. Em especial VOIP. Eu nem coloquei isso na lista do meu exemplo, mas VOIP é outro protocolo que não rodaria na rede com duplo NAT facilmente. Telefones e aplicativos VOIP na rede secundária não iriam rodar a menos de ter um servidor STUN rodando em cada LAN.

10 horas atrás, W46n3r disse:

me desculpe

claro

W46n3r · 7 de julho de 2022

DHCP na topologia que propus, são 3... meu caro. Operadora, roteador da operadora ou o primario dele se o da operadora estiver em bridge e o secundário. Acho que você não conseguiu entender assim né. Tudo bem, faz parte. Se pensar nessa topologia vai entender o porque que o que você disse sobre DHCP é absurdo.

arfneto · 7 de julho de 2022

Eu dei vários exemplos de coisas que não funcionam no cenário em que eu disse que não funciona. Todo mundo pode testar o que eu expliquei. Até você.

Sobre isso que disso de bridge de que falou o texto faz pouco sentido, mas entenda que se o roteador está em modo bridge ele não é mais um roteador e se torna apenas uma ponte --- quem diria? bridge --- e opera como modem. Só que aí voltando ao exemplo de que falei, da VIVO em SP:

os telefones e o pacote de TV contratado (dependendo da topologia dos pontos de TV) não funcionam mais
o wifi não funciona mais
apenas uma das portas LAN funciona
vai ser preciso instalar um terceiro roteador (segundo porque o primeiro será em bridge apenas um modem. E aí a topologia volta a ser a mesma e os problemas os mesmos se ligar os 2 roteadores em cascata a partir da porta WAN

Em 07/07/2022 às 08:10, W46n3r disse:

A explicação teórica de QOS

? Leu algo sobre isso? Para não-especialistas --- como eu --- podemos citar a wikipedia em https://en.wikipedia.org/wiki/Quality_of_service

Citação

In the field of computer networking and other packet-switched telecommunication networks, quality of service refers to traffic prioritization and resource reservation control mechanisms rather than the achieved service quality. Quality of service is the ability to provide different priorities to different applications, users, or data flows, or to guarantee a certain level of performance to a data flow.

Quality of service is particularly important for the transport of traffic with special requirements. In particular, developers have introduced Voice over IP technology to allow computer networks to become as useful as telephone networks for audio conversations, as well as supporting new applications with even stricter network performance requirements

Por coincidência eu tenho um PABX asterisk em casa então configurar QoS para priorizar o tráfego dele não é novidade para mim, e é só um formulário a mais na prática.

Em 07/07/2022 às 08:10, W46n3r disse:

Essa tentativa de que "é TCP/IP" e "camadas"... foi horrível.

que posso dizer? Tem um livro? TCP/IP precede a internet. Foi escrito para viabilizar algo como a internet. Esse é barato https://www.amazon.com.br/Networking-Interview-Questions-Answers-Explanations/dp/1933804653/ref=sr_1_11?__mk_pt_BR=ÅMÅŽÕÑ&crid=2XZUK4M4F6J5E&keywords=livros+tcp%2Fip&qid=1657200152&sprefix=livros+tcp%2Fip%2Caps%2C218&sr=8-11&ufe=app_do%3Aamzn1.fos.6d798eae-cadf-45de-946a-f477d47705b9 e é focado em entrevistas com perguntas E respostas.

Vou repetir pra você procurar nos seus livros: TCP/IP é claro definido em camadas, protocolos e serviços. Sobre protocolos e serviços pode encontrar a lista em /etc se usa Linux. Usa Windows? veja em system32. São arquivos de texto

E para um dispositivo conectado a uma rede TCP/IP só tem isso: a rede em que ele está, dada pela combinação de endereço e máscara. E o resto, dado pelo gateway, a próxima camada.

Ainda sobre os exemplos que listei: alguns mais umas coisas que não funcionam direito ao ligar redes domésticas em cascata com esses roteadores NAT:

automação fica um inferno. Não pode acender luzes que estejam numa rede "abaixo" por exemplo. Ou pode?
controle remoto de TVs pelo celular não mostra todas as TV da casa. Era uma queixa do pessoal sobre o exemplo de ontem

Luc457x · 12 de julho de 2022

Em 04/07/2022 às 23:31, Cadu Campos disse:

@Luc457x Olá amigo, tudo bem?

Recomendo você comprar um roteador mais completo para fazer essa sua separação, um mikrotik 750gr3 vai lhe atender perfeitamente e ser o seu roteador de borda ou seja, receber o link e realizar qualquer função que desejar e filtrar as redes em firewall.

Tudo bem amigo, foi mal a demora pra responder, estive fora o fds... rs
Então, meu problema é que o roteador nem é tão simples, porém ele tem um firmware custom da empresa da internet, e só consigo acessar algumas configurações pelo aplicativo android deles, e o pior é que nem posso trocar, ao menos que seja por outro roteador deles. Já até entrei em contato e o máximo que "dizem que vão fazer" é encaminhas minhas "sugestões de melhoras no app pra equipe que cuida dele"...

Em 04/07/2022 às 23:59, arfneto disse:

Se a sua preocupação é com algum tipo de invasão a partir da WAN apenas controle a entrada no roteador da operadora.

Se precisa de redes isoladas no lado interno uma coisa simples (barata) que pode fazer para conseguir o que quer é desabiitar NAT no primeiro roteador e usar dois roteadores na rede interna na mesma LAN do roteador primário. Ligados via WAN no roteador primário. Então sua rede primária terá apenas os roteadores. Cada roteador secundário terá seu serviço DHCP e suas estações isoladas e NAT normal, mas a WAN deles vai apontar para o roteador da operadora.

Algumas coisas como compartilhamento de arquivos, impressoras e servidores de midia entre os roteadores precisarão ser configuradas caso a caso, mas de todo modo é como se faz com roteadores comuns em escritórios, para construir a rede interna, só que aí se usa tabelas de rotas ao invés de NAT.

Como citei ai pro outro amigo, a única coisa q consigo controlar no roteador primário é basicamente ligar/desligar as redes 2.4 e 5G e bloquear endereços mac...
Não me importo tanto com a performance no segundo roteador, pôs uso a rede cabeada do primeiro no servidor e no meu PC, minha única preocupação é com alguma invasão pela rede pública, que no caso é o wifi do segundo roteador.

Em 04/07/2022 às 23:59, arfneto disse:

Não está. Usando assim vai rodar NAT duas vezes para os dispositivos que estiverem na segunda rede e algumas coisas não funcionar por causa disso, como redirecionamento de portas e outras coisas. E a performance cai muito porque todos os pacotes da segunda rede terão que ser roteados DUAS vezes. Não use assim.

Então é por isso que mesmo com a "gestão remota" ligada não consigo acessar o painel administrativo do segundo roteador pela internet (de fora da minha rede)? O que é até bom, pôs tive q ligar a gestão remota pra acessar o painel pelo meu pc ligado ao primeiro roteador, mas estava meio preocupado em deixar essa porta aberta... rs

Arfneto, tua explicação me ajudou bastante com alguns pontos q estavam muito confusos (ainda estão, porém menos kkkk), porém quanto aos problemas de performance, não me importo muito, todos meus aparelhos de IoT, servidor e PC pessoal estão ligados no roteador primário, o secundário é mesmo só para fornecer internet grátis e nunca tem mais de uns 5 a 7 aparelhos ligados, geralmente celular usando whatsapp, no máximo um youtube e nada de 4k ou coisa do tipo. O meu receio é mesmo a segurança quanto ao servidor e o meu PC pessoal...
de qualquer forma vou pesquisar sobre a forma de ligar q você sugeriu @arfneto , se puder recomendar alguma leitura ou tutorial sobre...
Mais umas duvidas q tenho, agradeço se puderem responder:

Para criar uma vlan precisaria de um switch, certo? Seria viável ou é muito "overkill"?
Isolar ponto de acesso no roteador secundário mitigaria esse problema de segurança?
Uma coisa q tem me chamado atenção é que sempre que acesso o painel de adm do roteador secundário pelo meu PC que está conectado ao roteador primário, ele enxerga meu MAC como "00-00-00-00-00-00", isso é normal?

arfneto · 12 de julho de 2022

1 hora atrás, Luc457x disse:

Não me importo tanto com a performance no segundo roteador, pôs uso a rede cabeada do primeiro no servidor e no meu PC, minha única preocupação é com alguma invasão pela rede pública, que no caso é o wifi do segundo roteador

Eu expliquei muitos dos efeitos de usar a rede do segundo roteador "isolada" ligando a parir da porta WAN. Em geral hoje em dia é mais prejuízo do que lucro e só nesses últimos dias vi 3 situações dessas. Não vou repetir tudo que eu expliquei, mas vou resumir: o mundo doméstico mudou. É muito chato descobrir que em muitos casos o celular ligado no wifi de uma rede não consegue acessar a TV na outra. Ou as músicas e vídeos no Plex não passam na TV do andar de cima. Ou a impressora do escritório não pode ser usado se o laptop não se conectar na mesma rede que ela. Ou muitas coisas assim. E conforme estiver configurada a LAN no servidor primário quando vence o lease do DHCP de algum roteador ele vai provavelemte derrubar todas as conexões por uns segundos...

Se nada disso importa esqueça o que eu disse. E claro, a performance pode cair MUITO nas redes secundárias.

1 hora atrás, Luc457x disse:

Então é por isso que mesmo com a "gestão remota" ligada não consigo acessar o painel administrativo do segundo roteador pela internet (de fora da minha rede)? O que é até bom, pôs tive q ligar a gestão remota pra acessar o painel pelo meu pc ligado ao primeiro roteador, mas estava meio preocupado em deixar essa porta aberta.

Nem tão bom. Se acessar pela porta comum ela vai estar "aberta" de todo modo já que é a porta do http.

1 hora atrás, Luc457x disse:

o secundário é mesmo só para fornecer internet grátis e nunca tem mais de uns 5 a 7 aparelhos ligados, geralmente celular usando whatsapp, no máximo um youtube e nada de 4k ou coisa do tipo. O meu receio é mesmo a segurança quanto ao servidor e o meu PC pessoal

Essa é uma situação ideal para o seu caso então.

Nenhum dos efeitos colaterais que expliquei é importante nesse caso. É como o caso de acesso grátis em padarias e restaurantes. Apenas é importante considerar que o intervalo do LEASE de DHCP para esse tipo de rede deve ser mínimo e nunca deixado no padrão. Essa é a razão de que tantos restaurantes ficam sem wifi na hora do almoço e os funcionários se acostumam em muitos casos a desligar e ligar o roteador toda hora lá atrás do balção. Nem sei quantas vezes expliquei isso já. No caso de uns poucos aparelhos isso também não é importante.

1 hora atrás, Luc457x disse:

de qualquer forma vou pesquisar sobre a forma de ligar q você sugeriu @arfneto , se puder recomendar alguma leitura ou tutorial sobre...
Mais umas duvidas q tenho, agradeço se puderem responder:

Para criar uma vlan precisaria de um switch, certo? Seria viável ou é muito "overkill"?

Isolar ponto de acesso no roteador secundário mitigaria esse problema de segurança?

Uma coisa q tem me chamado atenção é que sempre que acesso o painel de adm do roteador secundário pelo meu PC que está conectado ao roteador primário, ele enxerga meu MAC como "00-00-00-00-00-00", isso é normal?

Apenas o que eu disse naquele post é suficiente. Naquela ordem. Assim pode acessar todos os roteadores a partir de qualquer ponto da rede e ter por exemplo um script de automação para por exemplo configurar ou listar a situação de todos.

Conforme a rede aumenta se usam mais servidores DHCP, depois se desliga NAT e usa um roteador.

VLAN seria mesmo overkill eu diria. Uma V LAN é uma LAN virtual que tem que ser administrada. Pra que isso se uma LAN comum é baratinha e provida por um roteador que já está lá?

AP Isolation é cada dia mais esquisito com TV com servidores de midia e celulares com projeção de tela e tudo. Essa preocupação com a segurança acaba caindo na cabeça do usuário.

Talvez não deva mesmo ter acesso grátis nem a 7 dispositivos se não pode admitir os riscos ,mas só o dono pode julgar.

MAC 00.. não .e normal, mas não é importante para o roteador secundário ver isso. Não sei qual seria a implicação.