Як створити окрему підмережу для бездротового доступу?


12

Мені потрібно налаштувати свій бездротовий маршрутизатор, щоб усі бездротові пристрої знаходилися в іншій підмережі (192.168. 2 .1).

Бездротові пристрої повинні мати доступ до Інтернету, але в ідеалі не робочі станції в локальній мережі.

Ось моя мережа:

введіть тут опис зображення

Всі пропозиції вітаються!


Які марки / моделі маршрутизатора шлюзу за замовчуванням та основного комутатора? Це може бути зрозуміло, якщо вони обидва підтримують VLAN.
Павло

Потрібно трохи більше інформації про те, що ви зараз працюєте. Це домашня мережа (я вважаю, що це не так) чи бізнес / робоча мережа? Яка модель бездротового контролера / маршрутизатора у вас є? тощо ..
Джош

Це насправді неприбуткова організація. В даний час у мене немає моделей маршрутизаторів, але все це обладнання житлового рівня. Цього разу я не думаю, що VLAN є варіантом.
Остін 'Небезпека' Повноваження

Відповіді:


9

Спосіб досягнення цього за допомогою обладнання споживача - це використання конфігурації 3 маршрутизатора Y

введіть тут опис зображення

Встановивши два маршрутизатори, використовуючи одну і ту ж підмережу, але в різних "локальних мережах" неможливо, щоб одна мережа спілкувалася з іншою мережею.

Подумайте про це так: у вас є комп'ютер в локальній мережі A з IP-адресою 192.168.1.2та один з бездротових клієнтів у локальній мережі B з IP-адресою 192.168.1.3. Якщо в LAN B ви запитуєте 192.168.1.2(один з бездротових клієнтів, який намагається підключитися до провідного клієнта), він переходить до маршрутизатора LAN B, бачить, що це запит для 192.168.1.xпідмережі і не пересилає пакет далі вгору по ланцюгу (це може але це не мало значення, див. нижній розділ цієї відповіді). Він також бачить, що він не знає жодного комп’ютера в 192.168.1.2(Єдиний комп'ютер, про якого він знає 192.168.1.3), і звітує про початковий комп'ютер "Хост призначення невідомий". Якщо ми запитаємо будь-який інший IP, окрім 192.168.1.xнього, він використовуватиме шлюз і продовжує працювати в Інтернеті, щоб спробувати вирішити ваше IP-з'єднання.

Це дає вам повну безпеку у вашій мережі, надаючи дві локальні мережі, які фізично неможливо спілкуватися один з одним, одночасно дозволяючи обом підключатися до Інтернету.


Залежно від того, як працює мікропрограмне забезпечення вашого бездротового маршрутизатора, ви можете зробити це за допомогою двох маршрутизаторів, просто перемістивши з'єднання бездротового зв'язку з порту LAN до його порту WAN. Однак ви можете це зробити лише в тому випадку, якщо бездротовий маршрутизатор НЕ перенаправляє запити, він не може вирішити шлюз для своєї власної підмережі (тому в моєму попередньому прикладі бездротовий маршрутизатор НЕ повинен перевіряти порт WAN на 192.168.1.2 на два конфігурації маршрутизатора ). Переваги цього, якщо ваш маршрутизатор веде себе так, як вам потрібно, не потрібно купувати додаткове обладнання.

У конфігурації 3 маршрутизатора Y не має значення, передає маршрутизатор запити чи ні, тому що в локальній мережі Y немає 192.168.1.xкомп'ютерів, тільки два маршрутизатора WAN-інтерфейси, які є обома 192.168.0.x.


Ось нова діаграма, яка ближче до вашої початкової схеми, щоб допомогти пояснити її. введіть тут опис зображення


Тож просто перевірити - не було б фізичного зв’язку між двома маршрутизаторами внизу діаграми? А ці 2 маршрутизатори (192.168.1.101 та 192.168.1.102) підключені до маршрутизатора шлюзу їх портами WAN?
Остін 'Небезпека' Повноваження

@ Правильно, на наведеній діаграмі світло-синім кольором є порти WAN, а оранжевим - порти локальної мережі. Однак, виправдавши те, що ви сказали, помилка IP-порту WAN. Усі комп'ютери, які пройшли другий набір маршрутизаторів (в обох мережах), мають IP-адреси в діапазоні 192.168.1.x, але всі машини в мережі Y (і в цій конфігурації це має бути лише мережевою мережею інтернет-маршрутизатора, і два бічних маршрутизатора WAN сторони) матимуть IP-адреси в діапазоні 192.168.0.x.
Скотт Чемберлен

@Dan Додано нову діаграму, щоб бути ближче до оригінальної, щоб пояснити.
Скотт Чемберлен

1
Ви можете це робити і в маршрутизаторах для споживачів, якщо ви використовуєте більш потужну власну програмну програму (dd-wrt, помідор, тощо), яка дозволяє вам писати безпосередньо до основної команди Linux iptables.
Скотт Чемберлен

1
@ toffee.beanns Ні, не може. Вся суть цієї конфігурації полягає в тому, щоб забороняти гостемним ноутбукам на Wi-Fi доступ до всього, що не є на wifi.
Скотт Чемберлен

3

Я припускаю, що ваш бездротовий маршрутизатор - це ціна за 100 доларів, яку ви купили у універмазі.

Вам дійсно потрібен роутер з 3 інтерфейсами. ПК, що працює під управлінням Linux з 3 мережевими картами, робить це чудово: один NIC - це WAN, інший NIC підключений до ваших хостів LAN, а третій - ваш бездротовий маршрутизатор. Потім ви можете запустити DHCP на вікні Linux, слухаючи та видаючи IP-адреси в інтерфейсі LAN та WLAN.

Вам потрібна трохи iptablesконфігурація, щоб переконатися, що хости WLAN не можуть спілкуватися з хостами локальної мережі (порівняно просто, оскільки вони знаходяться в окремих підмережах).

Ви також можете розмістити хости локальної мережі за власним маршрутизатором та налаштувати будь-які параметри брандмауера SPI на бездротовому та дротовому маршрутизаторах, щоб скинути трафік з іншої підмережі. Зауважте, що в цій ситуації вам знадобиться окремий сервер DHCP, що працює в кожній підмережі, оскільки маршрутизатор не передає маршрутизатор.

Ви також можете, якщо бездротовий маршрутизатор підтримує його, сказати йому, щоб заблокувати весь вихідний трафік, що виникає ззаду нього, до підмережі, на якій увімкнено вашу дротову локальну мережу.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.