Como criar uma sub-rede separada para acesso sem fio?

Preciso configurar meu roteador sem fio para que todos os dispositivos sem fio estejam em uma sub-rede diferente (192.168. 2 .1).

Os dispositivos sem fio devem poder acessar a Internet, mas, idealmente, não as estações de trabalho na LAN.

Aqui está a minha rede:

Todas as sugestões são bem-vindas!

A maneira de fazer isso usando equipamentos de nível consumidor é usando uma configuração Y de 3 roteadores

Ao configurar os dois roteadores usando a mesma sub-rede, mas em diferentes "LAN" s, é impossível uma rede falar com a outra rede.

Pense desta maneira: você tem um computador na LAN A com um IP de 192.168.1.2e um dos clientes sem fio na LAN B com um IP de 192.168.1.3. Se na LAN B você solicitar 192.168.1.2(um dos clientes sem fio que está tentando se conectar a um cliente com fio) ele for ao roteador da LAN B, perceber que é uma solicitação para a 192.168.1.xsub - rede e não encaminhar o pacote mais adiante na cadeia (poderia mas não importa, consulte a seção inferior desta resposta). Ele também vê que não conhece nenhum computador em 192.168.1.2(O único computador que conhece é 192.168.1.3) e reporta ao computador original "host de destino desconhecido". Se solicitarmos outro IP que 192.168.1.xnão seja, ele usará o gateway e continuará na Internet para tentar resolver sua conexão IP.

Isso oferece segurança completa em sua rede, oferecendo duas LANs fisicamente impossíveis de se comunicar enquanto ainda permitem a conexão com a Internet.

Dependendo do funcionamento do firmware do roteador sem fio, você poderá fazê-lo com dois roteadores apenas movendo a conexão do wireless da porta LAN para a porta WAN. No entanto, você só pode fazer isso se o roteador sem fio NÃO encaminhar solicitações que não pode resolver no gateway para sua própria sub-rede (portanto, no exemplo anterior, o roteador sem fio NÃO deve verificar a porta WAN para 192.168.1.2 na configuração dos dois roteadores ) A vantagem disso é que, se o seu roteador se comportar da maneira que você deseja, não precisará comprar nenhum hardware adicional.

Na configuração Y de 3 roteadores, não importa se o roteador encaminha solicitações ou não, porque na LAN Y não há 192.168.1.xcomputadores, apenas as duas interfaces WAN dos roteadores que são ambas 192.168.0.x.

Aqui está um novo diagrama que está mais próximo do diagrama original para ajudar a explicá-lo.

Suponho que seu roteador sem fio seja inferior a US $ 100 que você compraria em uma loja de departamentos.

Você realmente precisa de um roteador com 3 interfaces. Um PC executando Linux com 3 placas de rede faz isso muito bem - uma NIC é a WAN, a outra NIC está conectada aos hosts da LAN e a terceira à qual seu roteador sem fio está conectado. Você pode executar um DHCP na caixa Linux ouvindo e fornecendo IPs na interface LAN e WLAN.

Você precisa de um pouco de iptablesconfiguração para garantir que os hosts da WLAN não possam conversar com os hosts da LAN (relativamente simples, pois estão em sub-redes separadas).

Você também pode colocar os hosts da LAN atrás de seu próprio roteador e definir quaisquer configurações de firewall SPI no roteador sem fio e com fio para eliminar o tráfego da outra sub-rede. Observe que, nessa situação, você precisará de um servidor DHCP separado em execução em cada sub-rede, pois o tráfego de broadcast não é encaminhado pelos roteadores.

Você também pode, se o roteador sem fio suportar, solicitar que ele bloqueie todo o tráfego de saída originado por trás dele para a sub-rede na qual a LAN com fio está.