Non sono sicuro del modo migliore per risolvere questo problema, anche se probabilmente esistono diverse soluzioni (incluse alcune soluzioni "non preoccuparti" davvero semplici).
La mia LAN ha sottoreti WiFi e cablate totalmente separate, su diverse schede di rete. (Dire, WiFi = 10.10.0.0 / 16, cablato = 10.20.0.0 / 16). Le regole del firewall sul router impediscono a tutto il traffico in arrivo all'interfaccia wifi, di passare alla LAN o a qualsiasi IP del router stesso, in modo che i client WiFi possano raggiungere la WAN e nient'altro.
Ma la sottorete WiFi include anche un singolo IP per i sistemi di gestione dell'AP (webui, ssh). Voglio separare totalmente questo dal lato WiFi meno affidabile, inserendo il traffico client WiFi in VLAN 6 e il traffico verso / dall'IP di gestione in VLAN7. E voglio VLAN7 raggiungibile dalla LAN (idealmente, raggiungibile tramite un IP LAN simile agli switch LAN e ai servizi di infrastruttura, come si vede dalla LAN), e non raggiungibile da VLAN6.
Sto usando pfsense o il suo fork vicino, opnsense, hanno capacità quasi identiche in queste aree.
Posso immaginare di impostare le VLAN, definire un IP virtuale sulla LAN e collegare l'IP virtuale all'IP di gestione WiFi usando NAT 1: 1 su una o l'altra interfaccia. E poi aggiungerei le regole di filtro sulle interfacce VLAN, per garantire che solo i pacchetti dall'IP di gestione LAN a AP siano consentiti nella VLAN 7. (L'ultima parte di cui sono soddisfatto, non è necessario alcun aiuto)
Ma non sono molto chiaro delle specifiche VLAN / NAT sul router. Come lo farei davvero? (Come in, i passaggi effettivi)