Jak mogę oddzielić moją sieć osobistą (z WIFI) od mojej sieci biurowej?

13

Pracuję z mojego domowego biura domowego i mam router VPN do mojej firmy. Dzielę tę samą sieć do użytku osobistego i biurowego. Mam punkt dostępu WiFi, ze względów bezpieczeństwa nie chcę dostępu do żadnego z serwerów mojej firmy z WiFi.

Obecnie cały ruch IP jest mieszany i chciałbym go rozdzielić. Czy ktoś może zasugerować niedrogą konfigurację, utrzymanie WiFi i dostępu do Internetu na własny użytek oraz stworzenie innej sieci (ograniczony dostęp) do mojego biura (brak WiFi, VPN).

kod-gijoe
źródło
Jakiego rodzaju routera Cisco? ASA55xx? Jeśli tak, można go skonfigurować tak, aby wszystko było oddzielone.
Chris S
2
Większość użytkowników nie martwi się takimi kwestiami jak bezpieczeństwo. Sława!
ZnArK

Odpowiedzi:

8

VLANS nie są tutaj potrzebne !!!

Wystarczy podłączyć interfejs WAN routera VPN do routera domowego. Ponieważ cały ruch Office powinien być szyfrowany przez tunel VPN, żaden ruch domowy nie miałby dostępu do ruchu roboczego.

Router VPN NIE WOLNO zezwalać na rozmowę z komputerami domowymi, gdy jest się do niego podłączonym tylko w tej konfiguracji. Jeśli tak, zespół sieciowy powinien zostać pokonany kijem. Cały ruch do routera VPN powinien być kierowany przez tunel VPN.

Jedyny problem, jaki możesz mieć, to konieczność odłączenia się od WIFI podczas łączenia (przewodowego) z routerem VPN i odwrotnie. To, czy jest to konieczne, ma związek z konfiguracją sieci w domu i pracy, a także parametrami interfejsu systemu operacyjnego (można to zmienić, ale poza zakresem tego pytania).

Wygląda na to, że twoja obecna konfiguracja działa wstecz. Żeby było jasne:

  • ŹLE - [Router domowy] -> [Router VPN] -> [Internet]
  • Prawidłowo - [Router VPN] -> [Router domowy] -> [Internet]

Oto jak to wyglądałoby: wprowadź opis zdjęcia tutaj

Pozwól mi odnieść się do kilku poprzednich komentarzy

Rzucanie w nią zaporą nic nie pomaga. Jeśli łączysz ze sobą routery NAT, nie ma dobrego sposobu, aby powstrzymać te na końcu łańcucha od rozmowy z tymi, które są bliżej Internetu. Jeśli chodzi o sieć biurową, jest ona częścią Internetu.

Jest to głównie prawdziwe stwierdzenie. Router VPN będzie mógł komunikować się z dowolnym innym urządzeniem znajdującym się bliżej Internetu. Jednak; nic za routerem nie będzie z powodu tunelu VPN. Jedyne, co zobaczą urządzenia w sieci domowej, to zaszyfrowane pakiety VPN.

Kup dwa oddzielne połączenia internetowe. Podłącz swoje biuro do jednego, a rzeczy domowe do drugiego. Nie trzeba nad tym myśleć.

To by działało ... ale nie jest konieczne. Mówimy o zaszyfrowanym tunelu VPN ... Pozwól, aby VPN działał. To jest ponad myślenie!

ZnArK
źródło
Zakłada się, że VPN nie jest podzielonym tunelem.
MDMarra,
@MDMarra Masz rację. Robię tutaj kilka założeń. Jeśli tunel został podzielony, nadal można użyć OpenWRT lub dd-wrt (na routerze domowym), aby odizolować cały ruch od routera VPN za pomocą sieci VLAN. IMHO, byłoby to lepsze niż płacenie za dwa oddzielne połączenia internetowe, co miesiąc.
ZnArK,
16

Kup dwa oddzielne połączenia internetowe. Podłącz swoje biuro do jednego, a rzeczy domowe do drugiego. Nie trzeba nad tym myśleć.

MDMarra
źródło
oczywiście najprostsza odpowiedź jest zawsze najlepsza. Pozostawiam dostęp do mojej firmy za pośrednictwem routera cicso vnp, a mój dom będzie miał inne połączenie.
code-gijoe
3
Zgoda. Będzie to łatwiejsze do rozwiązania również w zakresie odpisów podatkowych.
EEAA,
13

Kup router, który może obsługiwać sieci VLAN. Utwórz dwa oddzielne sieci VLANS, jeden dla domu i jeden dla pracy. Kupowanie routera jako opłaty 1 raz jest lepszym IMO niż płacenie 2x.

Kumar
źródło
0

Kup przełącznik, który będzie obsługiwał vlany.

Następnie utwórz ilość oddzielnych sieci, które musisz mieć.

Możesz również użyć bieżącego routera, jeśli go masz

Pozwoli ci to zaoszczędzić dużo pieniędzy.

Inkey
źródło
-1

dla większego bezpieczeństwa bez 2 oddzielnych kont netto; kup tanią zaporę ogniową, podłącz komputery biurowe do zapory bezpośrednio, a komputery domowe używaj do routera. Możesz teraz skonfigurować szczegółowe ustawienia w interfejsie sieciowym zapory. Nawet osobno ustanawia przywileje dla wszystkich klientów

Erdinç Çorbacı
źródło