Konfigurowanie punktu dostępu WLAN za serwerem proxy

0

Obecnie mam sieć domową, która nie korzysta z żadnej sieci WLAN. Z zewnątrz jest modem DSL, most / proxy łączący się z modemem DSL oraz kilka stacji roboczych uzyskujących dostęp do Internetu za pośrednictwem serwera proxy (lub siebie nawzajem w sieci wewnętrznej, np. Serwerów plików).

Teraz czasami przydatna jest sieć WLAN. Jestem jednak bardzo zadowolony z mojego (nie buforującego) serwera proxy i zamiast umieszczać router WLAN przed serwerem proxy i mieć dostęp do Internetu przez router za pośrednictwem proxy, chciałbym, aby każda maszyna korzystała z serwera proxy, w tym dowolny klient WLAN. Jeśli dobrze rozumiem terminologię, potrzebuję punktu dostępu WLAN (wymaganie # 1).

Byłoby to oczywiście zagrożeniem bezpieczeństwa, gdyby ktoś włamał się do sieci WLAN, ponieważ ta osoba uzyskałaby dostęp do mojej wewnętrznej sieci domowej. Dlatego wymaganie # 2 używa nowoczesnego typu szyfrowania WLAN, takiego jak WPA2.

Aby ułatwić tę konfigurację gościom, sądzę, że powinienem skonfigurować punkt dostępu WLAN, który działa jako serwer DHCP, oferując adresy IP, na przykład w zakresie 192.168.2.0/255.255.255.0, mostowanie routing ruch do istniejącej sieci domowej (192.168.1.0/255.255.255.0) i dostęp do serwera proxy pod adresem 192.168.1.1:8080. Najlepiej byłoby, gdyby gość nie musiał nawet mówić przeglądarce, aby korzystała z serwera proxy, ponieważ punkt dostępu działa jako wewnętrzny router i dba o przekazanie dowolnego ruchu do serwera proxy, ale byłoby to opcjonalne. Alternatywnie, zakres adresów IP w podsieci 192.168.1.0/255.255.255.0 może być oferowany dynamicznie (DHCP), podczas gdy adresy statyczne pozostają takie, jakie są, dzięki czemu punkt dostępu działa jak zwykłe przełączenie w jednej podsieci.

Czy to ma sens i czy jest to rozsądny sposób na rozszerzenie mojej istniejącej sieci domowej o WLAN?

Dla porównania, niektóre linki do nieco pokrewnych problemów, które chciałbym zachować; nie identyczny z moim problemem, ale jako dobre źródło do dalszej lektury:

Linux box działający jako bezprzewodowy punkt dostępu do udostępniania połączenia internetowego

Czy mogę skonfigurować EeePc jako punkt dostępu do sieci WLAN?

Konfiguracja zdalnego dostępu do domowej sieci LAN za wieloma routerami?

Czy komputer z systemem Linux może działać jednocześnie jako klient bezprzewodowy i punkt dostępu przy użyciu jednego fizycznego interfejsu WLAN?

Czy można podłączyć router bezprzewodowy do innego punktu dostępu?

wireless-networking proxy zebonaut
źródło

Odpowiedzi:

1

Tak, to ma sens i jest - na ogół - rozsądnym sposobem konfiguracji sieci. Kilka obserwacji -

  1. Poszukaj routera WLAN, który będzie współpracował z DD-WRT (lub OpenWRT). W celu uzyskania jakakolwiek realna szansa na wykonanie przezroczystego proxy bez drogiego sprzętu będzie potrzebować czegoś takiego jak DD-Wrt lub openwrt, i prawdopodobnie jakieś interesujące ustawienia z iptables i tproxyd lub równoważnym.

  2. Czy twój pełnomocnik faktycznie robi dla ciebie tyle? Wiem to 15 lat temu, pełnomocnik zrobili sensowną różnicę, ale wierzę, że - ogólnie - będą powodować więcej problemy następnie rozwiązują, a zależnie od rodzaju treści mogą sprawić pewne rzeczy w niektórych przypadkach wolniej i zapewniają bardzo małą oszczędność przepustowości (szczególnie jeśli zapisujesz na wolnym dysku twardym i ze względu na buforowanie wbudowane w przeglądarki)

  3. WPA2 powinien być dość standardowy w większości nowatorskich urządzeń konsumenckich.

  4. Pozostawiłbym adresowanie DHCP do routera - uważam, że jest to bardziej odpowiednie, jednak technicznie możesz to zrobić na serwerze proxy - zakładam z twojego postu wiesz, że generalnie uruchamiasz tylko 1 serwer DHCP na segment sieci.

  5. Technicznie nie możesz połączyć ruchu między 192.168.1.0/24 a 192.168.2.24 - musisz go przekierować. Przyzwoity router może to zrobić i zaporę ogniową. Alternatywnie (i mniej bezpiecznie) możesz skonfigurować wszystko na tym samym podsieć - byłaby to typowa konfiguracja użytkownika domowego. (Możesz przedłużyć maska ​​sieciowa na 255.255.128.0 w celu objęcia większego zakresu, jeśli to naprawdę wymagało, ale nadal będziesz potrzebował sposobu obsługi DHCP, jak to by się stało 1 podsieć - więc może to być kłopotliwe (np. dynamiczne przypisywanie statycznych adresów IP) na podstawie MAC)

  6. Jeśli nie wiesz, z twojego postu nie wynika, ale punkt dostępu WLAN działa jak switch / hub (pomyśl o klientach wifi jako o dodatkowych urządzeniach na tym samym segment sieci). Aby wykonać separację, potrzebujesz routera. [W rzeczywistości najbardziej przełączniki zdolne do uruchamiania * WRT mają 5 portów, z których każdy może być indywidualnie kontrolowane - np. - jak router - i zazwyczaj łączone w oprogramowanie aby zachowywały się jak przełącznik - ale * WRT może zmienić to zachowanie - chociaż może to być nietrywialne.

davidgo
źródło
Rozumiem, że właściwa terminologia jest ważna, więc zastąpiłem „most” słowem „router”. Poza tym, co mówisz o tym, że AP jest przełącznikiem, wydaje się, że najlepiej zostawić wszystko w podsieci 192.168.1.0/24, przewodowej i wlan (- edytowanej jako pytanie). Uważam, że mój (nie buforujący) serwer proxy http może być lepszym wyborem w porównaniu do routera NAT pod względem bezpieczeństwa, ale rozważam użycie IP Masquerading / NAT zamiast mojego proxy squid w przyszłości.
zebonaut