Come collegare due router in cascata

Quando non si volesse o non si potesse sostituire il router fornito dall'operatore di telecomunicazioni si può collegarvi in cascata un router professionale dotato di maggiori funzionalità. Ecco come si fa con gli schemi LAN to LAN e LAN to WAN.
Come collegare due router in cascata

Ci sono casi in cui si vuole mantenere un modem router o comunque il dispositivo fornito dall’operatore di telecomunicazioni per collegare a valle un altro router.
Collegare due router in cascata è un’ottima soluzione quando, per i motivi più diversi, non si potesse o non si volesse abbandonare il modem router principale.

Di seguito ipotizziamo che il router principale sia quello fornito dall’operatore di telecomunicazioni mentre quello secondario sia un router di proprietà acquistato autonomamente.

Nel caso delle connessioni xDSL il router principale integra anche un “modem” ovvero un componente chiamato a negoziare il collegamento di rete con il provider Internet.
Nel caso delle connessioni FTTH, invece, è possibile utilizzare un router classico (senza modem integrato) perché il dispositivo va collegato al modulo ONT (Optical Network Terminal) fornito dall’operatore di telecomunicazioni usando la porta WAN (o in mancanza convertendo la porta LAN1 a porta WAN dall’interfaccia di amministrazione).
Questo secondo approccio può essere utilizzato anche nel caso di connettività fornita da provider FWA (Fixed Wireless Access) collegando alla porta WAN il cavo che scende dall’antenna.

Due modalità per collegare i router in cascata: LAN to LAN e LAN to WAN

I due router, ovvero quello dell’operatore e quello acquistato in proprio, possono essere collegati in cascata usando due modalità differenti: LAN-LAN (o LAN to LAN) e LAN-WAN (LAN to WAN).

La prima tipologia di connessione (LAN-LAN) implica che i due router si trovino nello stesso segmento di indirizzi IP privati.
Semplificando, se il router fornito dal provider Internet avesse IP privato 192.168.1.1, il router acquistato in proprio potrà avere IP 192.168.1.2 oppure 192.168.1.254 o altri IP compresi nello stesso intervallo di indirizzamento.

Con la tipologia di connessione LAN-WAN i due router useranno due segmenti IP diversi. Se il router principale avesse IP 192.168.0.1, al router secondario e ai dispositivi ad esso collegati si assegnerà per esempio l’intervallo di indirizzamento 192.168.1.1/24: come visto nell’articolo in cui spieghiamo cos’è la subnet mask, i dispositivi collegati al router secondario in modalità wireless o via cavo Ethernet avranno IP compresi tra 192.168.1.2 e 192.168.1.254.

Per impostazione predefinita i dispositivi connessi al router principale non saranno in grado di comunicare con il router secondario e con i dispositivi su di esso attestati (a meno di non effettuare una modifica sulle rotte statiche).
Viceversa i dispositivi collegati al router secondario avranno visibilità sul router primario e sui client ad esso connessi.

Prima di procedere con la connessione dei router in cascata

È bene non affrettarsi subito a collegare il router principale (quello dell’operatore di telecomunicazioni) con quello acquistato in proprio usando un cavo Ethernet (RJ-45) e “sperare che tutto funzioni”.
Per configurare bene la rete e far sì che i due router in cascata funzionino correttamente sono necessari alcuni passaggi:

1) Verificare l’IP privato del router principale (generalmente 192.168.1.1, 192.168.0.1 ma anche 192.168.1.254 o 10.0.0.1). Per procedere, si deve collegare un sistema Windows via cavo Ethernet al router principale, aprire il prompt dei comandi e digitare:

ipconfig /all

In corrispondenza della voce Gateway predefinito si troverà l’IP privato del modem router del provider.

2) Accedere al pannello di amministrazione del modem router principale da browser web digitando http:// seguito dall’IP privato estratto in precedenza.

3) Procedere alla disattivazione della rete WiFi sul router del provider.

4) Disattivare la funzionalità DHCP sul router del provider (gli indirizzi IP locali saranno assegnati dal router acquistato in proprio).

5) Disconnettere il cavo Ethernet che collega il PC al router principale e connetterlo al router secondario (quello acquistato in proprio).

6) Alimentare il router secondario da presa elettrica ma non collegarlo (almeno per il momento) al router principale.

7) Accedere al pannello di amministrazione del router secondario ripetendo eventualmente la procedura illustrata ai precedenti punti 1) e 2).
In caso di problemi, provare a usare i comandi ipconfig /release e ipconfig /renew al prompt.
In alternativa, premendo la combinazione di tasti Windows+R quindi digitando ncpa.cpl si può temporaneamente disattivare la connessione di rete cliccando con il tasto destro sull’interfaccia corrispondente e scegliendo Disabilita.
Attendere qualche secondo e cliccare nuovamente sull’icona dell’interfaccia di rete per riabilitarla.

Configurazione dei due router in cascata in modalità LAN-LAN

Dalla sezione LAN o similare del pannello di amministrazione del router secondario, bisognerà modificare l’IP del router scegliendolo nell’intervallo gestito dal router principale.

Se per esempio l’IP privato del router principale fosse 192.168.1.1, si può assegnare manualmente al router secondario l’IP 192.168.1.254 oppure 192.168.1.2.
Se l’IP privato del router principale fosse, ad esempio, 192.168.0.1, si potrà attribuire l’IP 192.168.0.2 o 192.168.0.254 al router secondario.


Come visto in precedenza, la subnet mask utilizzata sul router secondario dovrà essere ovviamente la stessa adoperata sul router principale.

Come Gateway si deve indicare l’IP privato del router principale mentre come DNS si possono ad esempio specificare quelli di Google (8.8.8.8 e 8.8.4.4).

Collegando il router secondario al router principale, tutto dovrebbe funzionare correttamente e si potranno usare le caratteristiche più evolute presenti sul dispositivo acquistato in proprio.

Va detto che con la configurazione LAN-LAN, i dispositivi collegati ai due router si vedranno vicendevolmente appartenendo alla medesima rete.

Nel caso in cui si dovessero aprire delle porte in ingresso ed effettuare l’inoltro dei pacchetti dati verso un dispositivo collegato alla rete locale (utile quando si attivasse un software dotato di funzionalità server) si deve necessariamente attivare il port forwarding sul router principale specificando l’IP privato verso il quale si desidera inoltrare il traffico.

Configurazione dei due router in modalità LAN-WAN o LAN to WAN

Come spiegato in precedenza, l’approccio LAN-WAN porta alla creazione di due reti locali caratterizzate da un diverso spazio di indirizzamento.

La procedura che consigliamo di applicare è quella presentata nei punti che seguono:

1) Controllare l’indirizzo IP privato del router principale: come visto al paragrafo precedente, è sufficiente collegare un sistema Windows via cavo Ethernet al router principale, aprire il prompt dei comandi e digitare:

ipconfig /all

Accanto alla voce Gateway predefinito si può leggere l’IP privato del router fornito dal provider Internet.

2) Disconnettere il PC dal router principale e collegare il cavo Ethernet al router secondario che deve essere acceso ma non ancora connesso al router principale.

3) Accedere al pannello di amministrazione del router secondario e nella sezione WAN assegnare un IP statico nello stesso spazio di indirizzamento del router principale. Se l’IP privato del router principale fosse, ad esempio, 192.168.0.1, si potrà specificare 192.168.0.254.

4) Nella sezione LAN del router secondario bisogna assegnare al dispositivo un IP privato fuori dal range utilizzato sul router principale.
Ad esempio, se il router principale avesse IP 192.168.0.1, si potrà assegnare al router secondario l’IP 192.168.1.1 specificando 255.255.255.0 come subnet mask.

In questo modo il router secondario potrà assegnare via DHCP gli IP nell’intervallo 192.168.1.2-192.168.1.254 ai client collegati.

Alcuni router in fase di configurazione del dispositivo sono in grado di riconoscere la presenza di un router principale collegato alla porta WAN e quindi di impostare di conseguenza il dispositivo. In caso di problemi suggeriamo di procedere con il reset del router secondario e ripetere la procedura di configurazione.

5) A questo punto è possibile collegare la porta WAN del router secondario con una porta LAN del router principale.

La configurazione LAN-to-WAN con due router in cascata sarà così conclusa.

LAN-to-WAN: accesso al router secondario e ai dispositivi collegati dal router principale

Come indicato nell’introduzione i dispositivi collegati al router principale non sono in grado di raggiungere quelli connessi al router secondario. I dispositivi collegati al router secondario possono invece “vedere” quelli connessi al router principale.

Se si avesse la necessità di raggiungere i client collegati al router secondario dal router principale si può disattivare il firewall sul router secondario quindi creare una rotta statica o percorso statico sul router principale.

Come indirizzo di destinazione va specificata la rete associata al router secondario (nell’esempio 192.168.1.0), come subnet mask 255.255.255.0 e come gateway l’IP assegnato alla porta WAN del router secondario (ad esempio 192.168.0.254).
La metrica può essere impostata a 2 intendendo che il costo della rotta da seguire è pari a due hop.

Come si vede nell’immagine un IP collegato al router principale con IP 192.168.0.1 riesce a raggiungere senza problemi la rete 192.168.1.x (router secondario).

DMZ: per escludere l’inoltro delle porte sul router principale in configurazione LAN-to-WAN

Nel caso in cui si dovessero rendere raggiungibili dall’esterno (rete Internet) dei dispositivi collegati alla LAN, con la configurazione LAN-to-WAN si dovrebbe attivare un doppio port forwarding.

Se non si avesse alcun interesse a collegare i dispositivi al router principale e si volessero utilizzare funzionalità NAT e firewall integrate sul router secondario (ad esempio per usare il router principale esclusivamente come modem) è possibile attivare la funzionalità DMZ (Demilitarized zone) dal pannello di configurazione del router principale.
In questo modo tutto il traffico in ingresso sarà automaticamente inoltrato sulle corrispondenti porte del router acquistato personalmente.
In alternativa è possibile ricorrere all’abilitazione del cosiddetto IP passthrough.

Entrambe le funzionalità devono essere direttamente supportate del router principale.

In questo modo, tutte le porte in ingresso saranno automaticamente forwardate, in caso di necessità, verso il router secondario e non si sarà costretti a un doppio inoltro delle porte.
Grazie a DMZ e IP passthrough il router principale sarà “declassato” a semplice modem: l’importante è astenersi dal collegare qualunque dispositivo client a tale router per evitare che le sue porte risultino esposte sulla rete Internet e direttamente raggiungibili.
D’ora in avanti tutti i client dovranno essere collegati, via cavo Ethernet e via WiFi, solo ed esclusivamente al router secondario.

Attivare la modalità bridge sul modem router principale

Non tutti i router ma alcuni di essi permettono di attivare la modalità bridge.
Si tratta di una speciale modalità di funzionamento che nel caso dei dispositivi dotati di modem permette la negoziazione della connessione Internet ma disattiva la funzione NAT sul router. In questo modo il router principale diventa “trasparente” e tutte le attività vengono svolte dal router collegato in cascata ad esempio in LAN to WAN.

L’attivazione della modalità bridge si rivela molto utile allorquando si volesse usare il router principale solo come modem e demandare tutte le altre funzionalità più avanzate al router connesso in cascata, più a valle.
Il router secondario dovrà essere configurato per stabilire in proprio una connessione PPPoE con l’operatore di telecomunicazioni.

Per le connessioni che prevedono la fornitura da parte del provider di un indirizzo IP pubblico statico bisognerà aver cura di specificare le credenziali corrette per l’autenticazione via PPPoE.

Da ultimo va osservato che, come accennato in precedenza, alcuni modem router non supportano la modalità bridge quindi stabiliscono sempre e comunque una connessione PPPoE con l’operatore di telecomunicazioni.

Almeno al momento della stesura di questo articolo, nel caso dei modem TIM la funzionalità PPPoE passthrough (quindi la possibilità di stabilire una connessione PPPoE da un router collegato in cascata) non viene attivata se prima non è il modem TIM a stabilire esso stesso una connessione PPPoE.
Una volta collegatosi il modem principale TIM via PPPoE diventerà possibile effettuare una connessione PPPoE dal router secondario e ricevere un secondo indirizzo IP pubblico.
Nel caso delle linee business l’IP statico sarà assegnato al router secondario previo utilizzo delle corrette credenziali di autenticazione via PPPoE.
Con alcuni modem TIM sarà poi possibile disattivare eventualmente la PPPoE liberando un IP pubblico e utilizzando soltanto quello richiesto dal router secondario collegato in cascata.

Ti consigliamo anche

Link copiato negli appunti