概要

私の最終的な目標は、Ciscoルーターを介してVPNを実行することです。つまり、Comcastゲートウェイを邪魔にならないようにすることです。このために、Ciscoルーター（またはスイッチ）を論理的にWANの近くに配置し、論理デバイスとしてのComcastモデムを削除します。モデムを実際に削除することはできません（結局、WANアクセスを提供します）が、そのDHCP、NAT、またはファイアウォールサービスは必要ありません。設定のアドバイスをお願いします。

細部

これが私の現在のネットワーク設定です：

Comcastゲートウェイ-Ciscoルーター-Ciscoスイッチ<LAN＆Wifi（Ruckus）

• Comcastモデム：TC8305C
• Ciscoルーター：1941-sec / k9 + ehwic-4esg
• Ciscoスイッチ：2960S 48TS-L（マルチレイヤースイッチ、VLANなど）

モデムは、DHCPサーバー、NATおよびファイアウォールとして動作し、内部アドレスは10.0.0.1/24です。ルーターのWANポートは、動的アドレス（DHCPクライアント）でルーターに接続されています。ルーターのLAN側では、NAT（はい、現時点では二重NATを実行しています）、DHCPサーバー、DNS、NTPも実行しています。

オプションについての私の考えは：

1. モデムをブリッジモードで実行します。
2. ルーターをモデムのDMZに配置します。
3. 1＆2の1つのバリエーションは、モデムをスイッチに接続することです。

ブリッジモードのモデム

モデムをブリッジモードに設定しようとしましたが、インターネットアクセスがダウンしていて、非常に怒っているユーザーに耐えなければならない非常に不愉快な90分の期間がありました。ルータWANポートを正しく設定できなかったと思います。DHCPモードであったためと考えられます。静的アドレス（10.0.0.2/24など）に設定したいのですが、今のところ、ブリッジモードについては少し恥ずかしがり屋です。「コムキャストブリッジモード」を検索すると、Googleは大量のヒットを生成しますが、見つけたものをあまり活用できませんでした。コムキャストブリッジモードでのルーターWANポート構成に適切な呪文を見つけることができませんでした。

余談ですが、Comcastブリッジは完全に透過的ではありません。モデムはIPアドレス（10.0.0.1）を保持します。モデムのポート1にラップトップを直接接続すると、http経由で接続し、（幸いにも）再構成できます。したがって、私のラップトップは、ルーターがそうでなくても、ブリッジモードでモデムを処理する方法を理解しています。

また、ブリッジモードでは、ルーターがDHCPの場合と同様に、ルーターがComcast ISPから動的設定（DNSやデフォルトゲートウェイなど）を取得する方法も混乱しています。または、これらが実際に動的ではなく、ルーター構成ファイルでハードコーディングする必要がある場合。

モデムが完全に邪魔にならず、ルーターがセキュリティ、VPN、DDNSなどを実行できるため、これはネットワークにとって最良のオプションだと思います。

これを機能させるにはどうすればよいですか？

モデムDMZのルーター

ここでは、構成に関するあらゆる問題を解決し、ルーター（静的IP、たとえば10.0.0.2/24）をモデムのDMZにドロップするだけで、すべてのインターネットトラフィックを転送できます。この構成と上記の構成との間に大きな違いはありませんが、モデムは依然としてレイヤ3デバイスのように機能します（まして、さらにレイヤ3デバイスのように機能します）。私はこれを動作させることができるとかなり確信しており、ルーターを介してVPNを動作させることができなかった理由はわかりません。

ここでの1つの欠点は、モデムが動的DNSを実行するためのdyndns.orgしか提供しないことです。この組織がDDNSプロバイダーであるという意見はありませんが、ルーターが許可するベンダーを選択したいと思います。また、私のエンジニアは、WANパスでの不要な処理を最小限に抑えたいので、モデムのブリッジングの方が快適です。

スイッチを介してモデムを実行

しばらく前にネットワークエンジニアとチャットしたところ、モデムを直接スイッチに接続することを提案されました。構成に関する詳細については触れませんでした。私の想定では、上記のシナリオ（ブリッジまたはDMZ）のいずれかが、次の条件で直接スイッチにも同様に機能する可能性があります。

1. 外部攻撃を防ぐために、スイッチ/モデムポートに適切なACLを設定します。
2. 着信DMZトラフィックをルーターに転送するためのモデムおよびルーター通信用の個別のVLAN。着信トラフィックはVPNトラフィックに制限する必要があります。他のすべてのトラフィック（TPC、UDP、ICMP）は、セキュリティ上の目的でブロックされます。ルータのWAN側にあるのと同じACL。

スイッチにモデムを直接配置することで、接続の確立後にIPパケットをショートカットするスイッチの機能を利用できるので、彼がこの設定を推奨したと思います。つまり、内部デバイスがモデム（おそらくルーターのVLANで開始された接続の確立）を介して接続すると、スイッチはこれを認識し、関連するすべてのIPパケットを内部デバイスとモデムの間で直接ルーティングし、ルーターをスキップします。これは、モデムとスイッチがルーターポート上にある物理構成では発生しません。

要約

1. ルーターのWANポート構成は、ブリッジモードのComcastモデムで動作するようにどのように見えるべきですか？（DNSサーバーのように）他に注意すべき構成オプションはありますか？
2. または、ルーターをDMZに配置することで解決できますか？
3. モデムを再構成して＃1または＃2のスイッチポートに移動する価値はありますか？

モデムをブリッジモードにすると、DHCPを使用してComcastからIPアドレスやその他の情報を取得するため、ラップトップは機能します。同じことを行うには、ルーターを設定する必要があります。

Cisco ISR G2ルータを使用するケーブルインターネットプロバイダーでこれと同じ設定を行っています。

interface GigabitEthernet0/0
 description WAN
 ip address dhcp
 ip access-group WAN_Firewall in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect WAN_Inspect out
 ip virtual-reassembly in
 ip verify unicast source reachable-via rx allow-default 100
 load-interval 30
 duplex auto
 speed auto
 no cdp enable
 service-policy output QoS-WAN-Out
end

ルーターに、WANアドレスのDHCPを受信させる必要があります。また、ルーターでNATとDHCPを構成する必要があります（別のサーバーにない場合）。

ファイアウォール、NAT、DHCPなどの完全な構成は、カバーするには広すぎる。

まず第一に、Comcastはこれをとにかくロックしておくので、モデムを「ブリッジモード」にしたり、モデムを台無しにしたりする必要はありません。ルータから、Ronが上に配置した構成例を入力します。したがって、たとえば、Gi0 / 0は外部インターフェイス、つまりISP /インターネットに面するインターフェイス（Comcast）である必要があり、内部インターフェイスはGi0 / 1です。 Comcastが提供するIPアドレスは1つだけなので、PATを実行しているので、1対1を使用するとさらに役立つ場合があります。インターフェイスコマンド-パブリックIPアドレス指定スキームに従ってDHCP＆NATプールを作成した後。頑張ってね！

通常、Webブラウザーを介して顧客宅内機器（CPE）に接続することで、それにログインできます。（あなたのはこのように行われます）。したがって、DHCPが提供するIPデフォルトゲートウェイが何であるかを確認します（Windowsのオープンコマンドプロンプトでは、ipconfig / allと入力します）。そのIPアドレスをブラウザに接続して接続します。/adminアドレスの後に追加する必要がある場合があります。モデルCPEに基づいて検索します。

そこに入ると、ほとんどのCPEで、ホームネットワークのデバイスに単一のパブリックIPアドレスを割り当てることができます。そのIPアドレスをルーターに適用します。そこから、必要に応じて構成します。