Como criar uma sub-rede separada para acesso sem fio?

12

Preciso configurar meu roteador sem fio para que todos os dispositivos sem fio estejam em uma sub-rede diferente (192.168. 2 .1).

Os dispositivos sem fio devem poder acessar a Internet, mas, idealmente, não as estações de trabalho na LAN.

Aqui está a minha rede:

insira a descrição da imagem aqui

Todas as sugestões são bem-vindas!

Austin '' Perigo '' Poderes
fonte
Quais são as marcas / modelos do roteador de gateway padrão e do switch principal? Isso pode ser direto, desde que ambos suportem VLANs.
Paul
É necessário um pouco mais de informação sobre o que você está executando no momento. Esta é uma rede doméstica (suponho que não) ou uma rede comercial / comercial? Qual modelo de controlador / roteador sem fio você possui? etc ..
Josh
Na verdade, é uma organização sem fins lucrativos. Eu não tenho os modelos dos roteadores comigo agora, mas são todos os equipamentos de nível residencial. Não acho que as VLANs sejam uma opção dessa vez.
Austin '' Danger '' Powers

Respostas:

9

A maneira de fazer isso usando equipamentos de nível consumidor é usando uma configuração Y de 3 roteadores

insira a descrição da imagem aqui

Ao configurar os dois roteadores usando a mesma sub-rede, mas em diferentes "LAN" s, é impossível uma rede falar com a outra rede.

Pense desta maneira: você tem um computador na LAN A com um IP de 192.168.1.2e um dos clientes sem fio na LAN B com um IP de 192.168.1.3. Se na LAN B você solicitar 192.168.1.2(um dos clientes sem fio que está tentando se conectar a um cliente com fio) ele for ao roteador da LAN B, perceber que é uma solicitação para a 192.168.1.xsub - rede e não encaminhar o pacote mais adiante na cadeia (poderia mas não importa, consulte a seção inferior desta resposta). Ele também vê que não conhece nenhum computador em 192.168.1.2(O único computador que conhece é 192.168.1.3) e reporta ao computador original "host de destino desconhecido". Se solicitarmos outro IP que 192.168.1.xnão seja, ele usará o gateway e continuará na Internet para tentar resolver sua conexão IP.

Isso oferece segurança completa em sua rede, oferecendo duas LANs fisicamente impossíveis de se comunicar enquanto ainda permitem a conexão com a Internet.


Dependendo do funcionamento do firmware do roteador sem fio, você poderá fazê-lo com dois roteadores apenas movendo a conexão do wireless da porta LAN para a porta WAN. No entanto, você só pode fazer isso se o roteador sem fio NÃO encaminhar solicitações que não pode resolver no gateway para sua própria sub-rede (portanto, no exemplo anterior, o roteador sem fio NÃO deve verificar a porta WAN para 192.168.1.2 na configuração dos dois roteadores ) A vantagem disso é que, se o seu roteador se comportar da maneira que você deseja, não precisará comprar nenhum hardware adicional.

Na configuração Y de 3 roteadores, não importa se o roteador encaminha solicitações ou não, porque na LAN Y não há 192.168.1.xcomputadores, apenas as duas interfaces WAN dos roteadores que são ambas 192.168.0.x.


Aqui está um novo diagrama que está mais próximo do diagrama original para ajudar a explicá-lo. insira a descrição da imagem aqui

Scott Chamberlain
fonte
Então, só para verificar - não haveria conexão física entre os 2 roteadores na parte inferior do diagrama? E esses 2 roteadores (192.168.1.101 e 192.168.1.102) estão conectados ao roteador de gateway por suas portas WAN?
Austin '' Danger ''
@ Dan Correto, no diagrama acima, o azul claro são as portas WAN e o laranja são as portas LAN. No entanto, uma correção sobre o que você disse, você tinha o IP das portas WAN errado. Todos os computadores após o segundo conjunto de roteadores (em ambas as redes) têm IPs na faixa 192.168.1.x, mas todas as máquinas na rede Y (e nessa configuração devem ser apenas o lado da LAN do roteador da Internet e o lado da WAN dos dois sub-roteadores) terá IPs no intervalo 192.168.0.x.
Scott Chamberlain
@ Dan Adicionado um novo diagrama para estar mais próximo do original para ajudar a explicar.
Scott Chamberlain
11
Você também pode fazer isso em roteadores de nível consumidor se estiver usando um firmware personalizado mais poderoso (dd-wrt, tomato, ect.) Que permite gravar diretamente no iptablescomando do sistema Linux subjacente .
Scott Chamberlain
11
@ toffee.beanns Não, não pode. O objetivo dessa configuração é impedir que os laptops convidados no wifi acessem qualquer coisa que não esteja no wifi.
Scott Chamberlain
3

Suponho que seu roteador sem fio seja inferior a US $ 100 que você compraria em uma loja de departamentos.

Você realmente precisa de um roteador com 3 interfaces. Um PC executando Linux com 3 placas de rede faz isso muito bem - uma NIC é a WAN, a outra NIC está conectada aos hosts da LAN e a terceira à qual seu roteador sem fio está conectado. Você pode executar um DHCP na caixa Linux ouvindo e fornecendo IPs na interface LAN e WLAN.

Você precisa de um pouco de iptablesconfiguração para garantir que os hosts da WLAN não possam conversar com os hosts da LAN (relativamente simples, pois estão em sub-redes separadas).

Você também pode colocar os hosts da LAN atrás de seu próprio roteador e definir quaisquer configurações de firewall SPI no roteador sem fio e com fio para eliminar o tráfego da outra sub-rede. Observe que, nessa situação, você precisará de um servidor DHCP separado em execução em cada sub-rede, pois o tráfego de broadcast não é encaminhado pelos roteadores.

Você também pode, se o roteador sem fio suportar, solicitar que ele bloqueie todo o tráfego de saída originado por trás dele para a sub-rede na qual a LAN com fio está.

LawrenceC
fonte