Come creare una sottorete separata per l'accesso wireless?

12

Devo configurare il mio router wireless in modo che tutti i dispositivi wireless si trovino su una sottorete diversa (192.168. 2 .1).

I dispositivi wireless dovrebbero essere in grado di accedere a Internet, ma idealmente non alle workstation sulla LAN.

Ecco la mia rete:

inserisci qui la descrizione dell'immagine

Tutti i suggerimenti sono benvenuti!

wireless-networking  subnet 
Poteri di Austin "Pericolo"
fonte
Quali sono le marche / i modelli del router gateway predefinito e dello switch principale? Ciò può essere semplice a condizione che entrambi supportino VLAN.
Paul
Sono necessarie alcune informazioni in più su ciò che stai attualmente eseguendo. È una rete domestica (suppongo di no) o una rete aziendale / di lavoro? Che modello di controller / router wireless hai? ecc.
Josh
In realtà è un'organizzazione senza scopo di lucro. Non ho i modelli dei router con me in questo momento, ma sono tutte apparecchiature di livello residenziale. Questa volta non credo che le VLAN siano un'opzione.
Austin '' Pericolo '' Powers

Risposte:

9

Il modo per raggiungere questo obiettivo utilizzando apparecchiature di livello consumer è utilizzare una configurazione Y a 3 router

inserisci qui la descrizione dell'immagine

Impostando i due router utilizzando la stessa sottorete ma su "LAN" diverse è impossibile che una rete parli con l'altra rete.

Pensala in questo modo: hai un computer su LAN A con un IP di 192.168.1.2e uno dei client wireless su LAN B con un IP di 192.168.1.3. Se su LAN B richiedi 192.168.1.2(uno dei client wireless che tenta di connettersi a un client cablato) va al router LAN B, vede che è una richiesta per la 192.168.1.xsottorete e non inoltra il pacchetto più in alto nella catena (potrebbe ma non avrebbe importanza, vedere la sezione inferiore di questa risposta). Inoltre, rileva che non è a conoscenza di alcun computer in 192.168.1.2(l'unico computer di cui è a conoscenza 192.168.1.3) e riporta al computer originale "host di destinazione sconosciuto". Se richiediamo un altro IP diverso da quello 192.168.1.xche userà il gateway e continueremo su Internet per provare a risolvere la tua connessione IP.

Questo ti offre una sicurezza completa sulla tua rete, dandoti due LAN che sono fisicamente impossibili da comunicare tra loro mentre permetti a entrambi di connettersi a Internet.

A seconda di come funziona il firmware del tuo router wireless, potresti essere in grado di farlo con due router semplicemente spostando la connessione del wireless dalla sua porta LAN alla sua porta WAN. Tuttavia, è possibile farlo solo se il router wireless NON inoltra le richieste che non può risolvere al gateway per la propria sottorete (quindi nel mio esempio precedente il router wireless NON deve controllare la porta WAN per 192.168.1.2 per la configurazione dei due router ). Il vantaggio di questo è che se il tuo router si comporta come desideri, non è necessario acquistare alcun hardware aggiuntivo.

Nella configurazione Y a 3 router non importa se il router inoltra richieste o meno perché sulla LAN Y non ci sono 192.168.1.xcomputer, solo le due interfacce WAN dei router che sono entrambe 192.168.0.x.

Ecco un nuovo diagramma che è più vicino al diagramma originale per aiutarti a spiegarlo. inserisci qui la descrizione dell'immagine

Scott Chamberlain
fonte
Quindi, solo per verificare, non ci sarebbe alcuna connessione fisica tra i 2 router nella parte inferiore del diagramma? E quei 2 router (192.168.1.101 e 192.168.1.102) sono collegati al router gateway dalle loro porte WAN?
Austin '' Danger '' entra in
@Dan Corretto, nel diagramma sopra il blu chiaro è le porte WAN e l'arancione è le porte LAN. Tuttavia, una correzione su ciò che hai detto, hai sbagliato l'IP delle porte WAN. Tutti i computer che superano il secondo set di router (su entrambe le reti) hanno IP nell'intervallo 192.168.1.x, ma tutte le macchine sulla rete Y (e in questa configurazione dovrebbe essere solo il lato LAN del router Internet e i due sub router WAN) avranno IP nell'intervallo 192.168.0.x.
Scott Chamberlain,
@ Dan Aggiunto un nuovo diagramma per essere più vicino a quello originale per spiegare.
Scott Chamberlain,
1
Puoi farlo anche su router di livello consumer se stai utilizzando un firmware personalizzato più potente (dd-wrt, tomato, ect.) Che ti consente di scrivere direttamente al iptablescomando del sistema Linux sottostante .
Scott Chamberlain,
1
@ toffee.beanns No, non può. L'intero punto di questa configurazione è impedire ai laptop guest sul wifi di accedere a qualsiasi cosa non sul wifi.
Scott Chamberlain,
3

Suppongo che il tuo router wireless sia inferiore a $ 100 che compreresti in un grande magazzino.

Hai davvero bisogno di un router con 3 interfacce. Un PC con Linux con 3 schede di rete lo fa bene: una NIC è la WAN, l'altra NIC è connessa agli host LAN e la terza è collegata al router wireless. È quindi possibile eseguire un DHCP sulla casella Linux ascoltando e distribuendo IP sull'interfaccia LAN e WLAN.

Stai cercando un po 'di iptablesconfigurazione per assicurarti che gli host WLAN non possano comunicare con gli host LAN (relativamente semplici poiché si trovano su sottoreti separate).

È inoltre possibile posizionare gli host LAN dietro il proprio router e configurare qualsiasi impostazione del firewall SPI sul router wireless e cablato per eliminare il traffico dall'altra sottorete. Si noti che in questa situazione è necessario un server DHCP separato in esecuzione su ciascuna sottorete poiché il traffico di trasmissione non viene inoltrato dai router.

Inoltre, se il router wireless lo supporta, è possibile indicare che blocca tutto il traffico in uscita che proviene da dietro alla sottorete su cui si trova la LAN cablata.

LawrenceC
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.