Jak utworzyć oddzielną podsieć dla dostępu bezprzewodowego?

12

Muszę skonfigurować router bezprzewodowy, aby wszystkie urządzenia bezprzewodowe znajdowały się w innej podsieci (192.168. 2 .1).

Urządzenia bezprzewodowe powinny mieć dostęp do Internetu, ale najlepiej nie stacje robocze w sieci LAN.

Oto moja sieć:

wprowadź opis zdjęcia tutaj

Wszystkie sugestie mile widziane!

wireless-networking subnet Uprawnienia Austin „Danger”
źródło
Jakie są marki / modele domyślnego routera bramy i przełącznika głównego? Może to być proste, pod warunkiem że oba obsługują sieci VLAN.
Paul
Potrzebne jest trochę więcej informacji na temat tego, co aktualnie prowadzisz. Czy to sieć domowa (zakładam, że nie) czy sieć firmowa / służbowa? Jaki masz model kontrolera / routera bezprzewodowego? itp.
Josh
W rzeczywistości jest to organizacja non-profit. W tej chwili nie mam ze sobą modeli routerów - ale to wszystko sprzęt klasy mieszkaniowej. Nie sądzę, że tym razem sieci VLAN są opcją.
Austin 'Danger' Powers

Odpowiedzi:

9

Sposobem na osiągnięcie tego za pomocą sprzętu klasy konsumenckiej jest konfiguracja Y z 3 routerami

wprowadź opis zdjęcia tutaj

Ustawiając oba routery się przy użyciu tej samej podsieci, ale na innym „LAN” s to jest niemożliwe dla jednej sieci, aby rozmawiać z innej sieci.

Pomyśl o tym w ten sposób: masz komputer w sieci LAN A z adresem IP 192.168.1.2i jeden z klientów bezprzewodowych w sieci LAN B z adresem IP 192.168.1.3. Jeśli w sieci LAN B zażądasz 192.168.1.2(jeden z klientów bezprzewodowych próbujących połączyć się z klientem przewodowym), przejdzie do routera sieci LAN B, zobaczy, że jest to żądanie dla 192.168.1.xpodsieci i nie przesyła dalej pakietu (może to zrobić ale to nie ma znaczenia, zobacz dolną część tej odpowiedzi). Widzi także, że nie zna żadnego komputera w 192.168.1.2(Jedyny komputer, o którym wie, to 192.168.1.3) i zgłasza do oryginalnego komputera „host docelowy nieznany”. Jeśli poprosimy o inny adres IP inny niż 192.168.1.xużyje bramy i przejdzie do Internetu, aby spróbować rozwiązać połączenie IP.

Daje to pełne bezpieczeństwo w sieci, dając ci dwie sieci LAN, które fizycznie nie są w stanie ze sobą rozmawiać, jednocześnie pozwalając na połączenie się z Internetem.

W zależności od tego, jak działa oprogramowanie wewnętrzne routera bezprzewodowego, możesz to zrobić za pomocą dwóch routerów, po prostu przenosząc połączenie bezprzewodowe z portu LAN do portu WAN. Można to jednak zrobić tylko wtedy, gdy router bezprzewodowy NIE przesyła dalej żądań, których nie może rozpoznać do bramy własnej podsieci (więc w moim poprzednim przykładzie router bezprzewodowy NIE musi sprawdzać portu WAN pod kątem 192.168.1.2 dla konfiguracji dwóch routerów ). Zaletą tego jest to, że jeśli router zachowuje się tak, jak chcesz, nie musisz kupować żadnego dodatkowego sprzętu.

W konfiguracji 3 routera Y nie ma znaczenia, czy router przesyła żądania, czy nie, ponieważ w sieci Y LAN nie ma 192.168.1.xkomputerów, tylko oba interfejsy WAN routerów, które są oba 192.168.0.x.

Oto nowy schemat, który jest bliższy oryginalnemu diagramowi, aby pomóc go wyjaśnić. wprowadź opis zdjęcia tutaj

Scott Chamberlain
źródło
Więc żeby to sprawdzić - nie byłoby fizycznego połączenia między 2 routerami na dole schematu? Czy te 2 routery (192.168.1.101 i 192.168.1.102) są podłączone do routera bramy za pomocą portów WAN?
Austin „Danger” Powers
@ Dan Prawidłowo, na powyższym schemacie jasnoniebieski to porty WAN, a pomarańczowy to porty LAN. Jednak z jedną poprawką dotyczącą tego, co powiedziałeś, źle wprowadziłeś adres IP portów WAN. Wszystkie komputery z drugim zestawem routerów (w obu sieciach) mają adresy IP z zakresu 192.168.1.x, ale wszystkie komputery w sieci Y (w tej konfiguracji powinna to być tylko strona LAN routera internetowego i dwa podrzędne routery po stronie WAN) będą miały adresy IP z zakresu 192.168.0.x.
Scott Chamberlain
@ Dan Dodał nowy schemat, aby być bliżej oryginalnego, aby pomóc wyjaśnić.
Scott Chamberlain
1
Możesz to zrobić również w routerach konsumenckich, jeśli korzystasz z bardziej zaawansowanego niestandardowego oprogramowania układowego (dd-wrt, pomidor, itp.), Które pozwala pisać bezpośrednio do iptablespolecenia systemu Linux .
Scott Chamberlain,
1
@ toffee.beanns Nie, nie można. Głównym celem tej konfiguracji jest uniemożliwienie laptopom-gościom dostępu do Wi-Fi dostępu do czegokolwiek, co nie znajduje się w Wi-Fi.
Scott Chamberlain,
3

Zakładam, że router bezprzewodowy kosztuje mniej niż 100 USD, który można kupić w domu towarowym.

Naprawdę potrzebujesz routera z 3 interfejsami. Komputer z systemem Linux z 3 kartami sieciowymi robi to dobrze - jedna karta sieciowa to sieć WAN, druga karta sieciowa jest podłączona do hostów sieci LAN, a trzecia jest podłączona do routera bezprzewodowego. Następnie możesz uruchomić DHCP na Linux-ie, nasłuchując i wydając adresy IP w interfejsie LAN i WLAN.

Masz trochę iptableskonfiguracji, aby upewnić się, że hosty WLAN nie mogą rozmawiać z hostami LAN (stosunkowo proste, ponieważ znajdują się w osobnych podsieciach).

Możesz także umieścić hosty LAN za własnym routerem i skonfigurować dowolne ustawienia zapory SPI na routerze bezprzewodowym i przewodowym, aby ograniczyć ruch z innej podsieci. Należy pamiętać, że w tej sytuacji potrzebny będzie osobny serwer DHCP działający w każdej podsieci, ponieważ ruch rozgłoszeniowy nie jest przekazywany przez routery.

Możesz również, jeśli router bezprzewodowy go obsługuje, nakazać mu blokowanie całego wychodzącego ruchu wychodzącego zza niego do podsieci, w której działa przewodowa sieć LAN.

LawrenceC
źródło