У меня есть несколько подключенных к Интернету устройств, которые я не доверяю, чтобы быть безопасными, но которые я бы все равно хотел использовать (умный телевизор и некоторые готовые устройства домашней автоматизации). Я не хочу, чтобы они были в той же сети, что и мои компьютеры.
Мое текущее решение состоит в том, чтобы подключить мой кабельный модем к коммутатору и подключить к нему два беспроводных маршрутизатора. Мои компьютеры подключаются к первому маршрутизатору, все остальное подключается ко второму маршрутизатору.
Достаточно ли этого, чтобы полностью отделить мои компьютеры от всего остального?
Кроме того, есть ли более простое решение, использующее один маршрутизатор, который бы эффективно делал то же самое? У меня есть следующие маршрутизаторы, оба с DD-WRT :
Netgear WNDR3700-v3
Linksys WRT54G-v3
Все устройства (безопасные и незащищенные) подключаются по беспроводной сети, за исключением одного компьютера в защищенной сети.
Ответы:
Да, ваше решение также в порядке, но увеличит один переход, плюс накладные расходы на конфигурацию, вы можете достичь этого с одним маршрутизатором, выполнив следующие действия:
Надеюсь это поможет!
источник
Это вполне возможно, но я бы хотел сначала остановиться на нескольких вещах.
Интересно, что оба маршрутизатора имеют доступ в Интернет, когда ваш кабельный модем выглядит просто как модем. Ваш провайдер делает NAT? Если нет, я бы порекомендовал отключить коммутатор (действительно ли это коммутатор или коммутатор поддерживает NAT?) И установить один из ваших маршрутизаторов DD-WRT в качестве шлюза. Ваша текущая настройка (без знания того, к какому порту подключены маршрутизаторы) может иметь конфликты IP-адресов или может иногда вызывать случайную и случайную потерю соединения в одной или другой сети.
Да, но это займет немного работы с конфигурацией и некоторое тестирование. Я сам использую аналогичную настройку для разделения гостевой сети. Метод, который я опишу ниже, не включает VLAN.
DD-WRT (среди прочих) поддерживает создание нескольких SSID на одной и той же точке доступа. Единственное, что нужно сделать, - это создать другой мост, назначить его другой подсети, а затем заблокировать его в остальной части основной сети.
Прошло много времени с тех пор, как я последний раз делал это таким образом, но это должно происходить где-то так (будьте готовы потерять связь):
Network Configuration
чтобыBridged
включить,AP Isolation
как вы хотитеbr1
?br1
Интерфейс»wl.01
или укажите имя его интерфейса [^ virtif], сохраните и примените.В разделе «Несколько серверов DHCP» нажмите «Добавить» и назначьте его
br1
Перейдите в Администрирование => Команды и вставьте их (вам может потребоваться настроить имена интерфейсов) [^ note2]
iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -j REJECT
И нажмите Сохранить брандмауэр
Вы должны быть все готово, я думаю
Для получения более подробной информации вы можете посмотреть на http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/
Предостережение для этого - то, что эта настройка эффективна только для маршрутизатора / AP шлюза. Если вы хотите, чтобы такая же настройка работала для другого маршрутизатора, вам придется использовать VLAN. Настройка похожа, но она немного сложнее. Разница здесь в том, что вам придется настроить и подключить новую VLAN к SSID IoT и, возможно, выполнить некоторые правила маршрутизации.
[^ virtif]: Первый - это обычно физический интерфейс, который часто обозначается как wl0. Ваши виртуальные интерфейсы (до трех, если я не ошибаюсь) будут помечены как wl0.1, wl0.2 и так далее.
[^ brname]: это будет имя интерфейса, которое DD-WRT даст интерфейсу моста.
[^ ipaddr]: скажем, ваша основная сеть находится на 172.16.1.0/24, укажите
br1
адрес 172.16.2.0/24.[^ nDS]: если у вас Nintendo DS, вам придется использовать WEP. В качестве альтернативы, вы можете создать другой SSID только для NDS и подключить его
br1
для удобства.[^ note1]: в этот момент после применения настроек все, что подключается к SSID IoT, теперь будет назначено другой подсети. Тем не менее, две подсети могут по-прежнему общаться друг с другом.
[^ note2]: этот бит может нуждаться в некоторой работе.
источник
Предполагая, что ваше соединение от маршрутизатора 1 к коммутатору использует
WAN
порт маршрутизатора, и вы не разделяете WAN и LAN в OpenWRT (то есть вы не изменили настройки по умолчанию и выполнили кабели, как при подключении напрямую к модему), ты в основном в порядке.Конечно, ваши устройства на маршрутизаторе 2 могут отправлять трафик кому угодно, что само по себе может быть проблемой (статистика использования, изображения с камер, звук через микрофоны, информация о WLAN, приемниках GPS и т. Д. В зависимости от устройств).
Вы можете настроить свои порты отдельно и направлять плохой трафик отдельно от хорошего трафика. Ваше ключевое слово будет
DMZ
, есть много учебных пособий.Если вы хотите иметь более сложную структуру, вы также можете включить VLAN, таким образом вы можете разместить дополнительные устройства с поддержкой VLAN за маршрутизатором и подключить к ним оба типа устройств, по сути, сделав весь дом таким, как если бы каждое устройство было подключено непосредственно к порт одного из обоих маршрутизаторов, даже если у вас есть только один маршрутизатор и 5 коммутаторов за ним с гирляндным подключением ... но делайте это только в случае необходимости, так как вероятность ошибки значительна, а выгода зависит от вашего кабеля ( почти нет при использовании звездной топологии, отлично подходит при использовании кольцевой топологии).
источник
Некоторые маршрутизаторы Wi-Fi потребительского уровня имеют «гостевой режим», то есть сеть, отделенную от обычной сети.
Вы можете ограничить свои ненадежные устройства точкой доступа «Гость» .
Не то чтобы каждый маршрутизатор с такой функцией был особенно безопасен.
Хотя статья « Предупреждение:« Гостевой режим »на многих маршрутизаторах Wi-Fi не защищена» говорит о небезопасности, основной недостаток, который они обсуждают, - это конфиденциальность. Если вас не волнует, звонит ли ваш телевизор по сети домой, чтобы сообщить производителю, что вы смотрите, то кому это нужно, если соседи смотрят это, сделайте это.
источник
Большинство домашних WiFi-роутеров позволяют настроить «гостевую сеть». Этой беспроводной локальной сети разрешено подключаться к Интернету, но нельзя подключаться к устройствам в основных проводных или беспроводных локальных сетях. Таким образом, вы можете подключить устройства IoT к сети, и они не смогут скомпрометировать ваши компьютеры.
источник
Создание отдельной сети должно быть лучшим способом защиты небезопасных устройств от защищенной локальной сети, чтобы злоумышленники / устройства не могли получить доступ к вашим общим файлам или сетевым устройствам. Этого можно добиться, включив сеть GUEST с помощью функций Netgar WNDR3700v3. с надежными и разными паролями.
Отключить UPnP
Отключите удаленный доступ через WIFI к роутерам
Также не подключайте небезопасные устройства без необходимости.
источник