Как создать отдельную подсеть для беспроводного доступа?

12

Мне нужно настроить беспроводной маршрутизатор, чтобы все беспроводные устройства находились в другой подсети (192.168. 2 .1).

Беспроводные устройства должны иметь доступ к Интернету, но в идеале не к рабочим станциям в локальной сети.

Вот моя сеть:

введите описание изображения здесь

Все предложения приветствуются!

Остин '' Опасность '' Пауэрс
источник
Какие марки / модели маршрутизатора по умолчанию и основного коммутатора? Это может быть простым, если они оба поддерживают VLAN.
Пол
Требуется немного больше информации о том, что вы сейчас используете. Это домашняя сеть (я полагаю, нет) или деловая / рабочая сеть? Какая модель беспроводного контроллера / маршрутизатора у вас есть? и т.д ..
Джош
Это на самом деле некоммерческая организация. У меня сейчас нет моделей роутеров, но это все оборудование бытового уровня. Я не думаю, что VLAN являются вариантом на этот раз.
Остин '' Опасность '' Пауэрс

Ответы:

9

Способ сделать это с помощью оборудования потребительского уровня - использовать конфигурацию 3 маршрутизатора Y

введите описание изображения здесь

Установив два маршрутизатора вверх с использованием той же подсети , а на другой «LAN» S это невозможно для одной сети , чтобы говорить с другой сетью.

Подумайте об этом так: у вас есть компьютер в локальной сети A с IP-адресом 192.168.1.2и один из беспроводных клиентов в локальной сети B с IP-адресом 192.168.1.3. Если в локальной сети B вы запрашиваете 192.168.1.2(один из беспроводных клиентов пытается подключиться к проводному клиенту), он переходит к маршрутизатору локальной сети B, видит, что это запрос для 192.168.1.xподсети, и не пересылает пакет дальше по цепочке (это может но это не имеет значения, см. нижнюю часть этого ответа). Он также видит, что не знает ни о каком компьютере 192.168.1.2(единственный компьютер, о котором он знает 192.168.1.3), и сообщает исходному компьютеру «хост назначения неизвестен». Если мы запросим какой-либо другой IP-адрес, отличный 192.168.1.xот шлюза, перейдем к Интернету, чтобы попытаться разрешить ваше IP-соединение.

Это дает вам полную безопасность в вашей сети, предоставляя вам две ЛВС, которые физически невозможно общаться друг с другом, но в то же время позволяющие обеим подключаться к Интернету.


В зависимости от того, как работает микропрограмма вашего беспроводного маршрутизатора, вы можете сделать это с двумя маршрутизаторами, просто переместив соединение беспроводного соединения с его порта LAN на порт WAN. Однако это можно сделать только в том случае, если беспроводной маршрутизатор НЕ перенаправляет запросы, которые он не может разрешить, на шлюз для своей собственной подсети (поэтому в моем предыдущем примере беспроводной маршрутизатор НЕ должен проверять порт WAN для 192.168.1.2 для конфигурации двух маршрутизаторов. ). Плюс в этом, если ваш маршрутизатор ведет себя так, как вы хотите, вам не нужно покупать дополнительное оборудование.

В конфигурации 3 маршрутизатора Y не имеет значения, перенаправляет ли маршрутизатор запросы или нет, потому что в локальной сети Y нет 192.168.1.xкомпьютеров, только интерфейсы WAN двух маршрутизаторов, которые оба 192.168.0.x.


Вот новая диаграмма, которая ближе к вашей исходной диаграмме, чтобы помочь объяснить это. введите описание изображения здесь

Скотт Чемберлен
источник
Так что просто для проверки - не было бы физического соединения между двумя маршрутизаторами внизу диаграммы? И эти 2 маршрутизатора (192.168.1.101 и 192.168.1.102) подключены к маршрутизатору шлюза своими портами WAN?
Остин «Опасность» Пауэрс
@Dan Правильно, на приведенной выше диаграмме светло-голубым обозначены порты WAN, а оранжевым - порты LAN. Тем не менее, одно исправление в том, что вы сказали: у вас неверный IP-адрес портов WAN. Все компьютеры после второго набора маршрутизаторов (в обеих сетях) имеют IP-адреса в диапазоне 192.168.1.x, но все компьютеры в сети Y (и в этой конфигурации это должна быть только сторона LAN интернет-маршрутизатора и сторона WAN двух суб-маршрутизаторов) будет иметь IP в диапазоне 192.168.0.x.
Скотт Чемберлен
@Dan Добавлена ​​новая диаграмма, которая будет ближе к исходной, чтобы помочь объяснить.
Скотт Чемберлен
1
Вы можете сделать это и на маршрутизаторах потребительского уровня, если вы используете более мощную специализированную прошивку (dd-wrt, tomato, и т. Д.), Которая позволяет писать непосредственно в команду базовой системы Linux iptables.
Скотт Чемберлен
1
@ toffee.beanns Нет, не может. Весь смысл этой конфигурации состоит в том, чтобы запретить гостевым ноутбукам на Wi-Fi доступ к чему-либо, кроме Wi-Fi.
Скотт Чемберлен
3

Я предполагаю, что ваш беспроводной маршрутизатор стоит менее 100 долларов, который вы купили бы в универмаге.

Вам действительно нужен маршрутизатор с 3 интерфейсами. ПК под управлением Linux с 3 сетевыми картами справляется с этой задачей: одна сетевая карта - это глобальная сеть, другая сетевая карта подключена к хостам вашей локальной сети, а третья - к вашему беспроводному маршрутизатору. Затем вы можете запустить DHCP на устройстве Linux, прослушивая и выдавая IP-адреса в интерфейсе LAN и WLAN.

Вам нужно немного iptablesсконфигурировать, чтобы убедиться, что узлы WLAN не могут общаться с узлами LAN (относительно просто, поскольку они находятся в разных подсетях).

Вы также можете разместить узлы локальной сети за собственным маршрутизатором и настроить любые параметры брандмауэра SPI на беспроводном и проводном маршрутизаторе для отбрасывания трафика из другой подсети. Обратите внимание, что в этой ситуации вам потребуется отдельный DHCP-сервер, работающий в каждой подсети, поскольку широковещательный трафик не пересылается маршрутизаторами.

Вы также можете, если это поддерживает беспроводной маршрутизатор, запретить весь исходящий трафик, исходящий из-за него, в подсеть, в которой включена проводная локальная сеть.

LawrenceC
источник