У меня есть маршрутизатор, который имеет OpenWRT (WRT54GL) и специальную конфигурацию, чтобы действовать как "скрыть клиентов WLAN от основной сети" устройства. Фактическая настройка выглядит следующим образом:
^
|
|WLAN
|10.0.0.x
|
|
|
Internet +-----------------+ LAN +-------+--------+
<-----------+ Some secret <------------> Router with |
| network stuff | 172.x.x.x | OpenWRT |
| | | |
+-----------------+ +---+---------+--+
| |
Config | |LAN
192.168.1.x| |172.x.x.x
| |
| |
v v
Сеть 172.xxx является основной сетью (например, компания, гостиница и т.д.). Сеть 192.168.1.x предназначена только для конфигурации и привязана к одному порту локальной сети. Вы должны подключить ПК к этому порту для настройки маршрутизатора (по соображениям безопасности). Сеть 10.0.0.x является гостевой WLAN.
Обычно это не большая проблема для настройки в качестве GUEST WLAN, но в этом случае это является чем-то особенным, потому что:
- Основная сеть физически размещена на порте WAN, но этот порт перенастроен для работы в качестве порта LAN. Основная сеть и клиентская локальная сеть должны взаимодействовать, как будто нет маршрутизатора. Маршрутизатор действует как тупой переключатель.
- Гостевой WLAN должен иметь доступ к Интернету и другим гостям, но не к основной сети и конфигурации.
- Устройства GUEST WLAN и клиентские локальные сети должны взаимодействовать друг с другом.
Что я сделал / достиг до сих пор: первые два пункта сделаны. Поэтому я настроил порт WAN для работы в качестве порта LAN. В меню переключателей я создал три VLANS. Один для портов локальной сети клиента, один для основного порта локальной сети и один для порта конфигурации LAN.
VLANS для клиента и основной локальной сети соединены с интерфейсом
Гостевой WLAN настроен как обычная сеть WIFI.
Конфигурационная сеть LAN является отдельным интерфейсом, использующим только конфигурационную сеть VLAN.
Для связи с Интернетом я добавил правило брандмауэра, чтобы сеть LAN находилась в группе WAN (потому что это коммутатор и одновременно является источником Интернета), а интерфейс GUEST / CONFIG перенаправляется в WAN.
** Некоторые конфигурационные файлы:**
/ И т.д. / конфигурация / беспроводная
config 'wifi-device' 'wl0'
option 'type' 'broadcom'
option 'channel' 'auto'
option 'txpower' '18'
option 'hwmode' '11bg'
config 'wifi-iface'
option 'device' 'wl0'
option 'mode' 'ap'
option 'ssid' 'GRZUTS01'
option 'encryption' 'psk+psk2'
option 'key' '********'
/ И т.д. / конфигурации / сети
config 'switch' 'eth0'
option 'enable' '1'
config 'switch_vlan' 'eth0_0'
option 'device' 'eth0'
option 'vlan' '0'
option 'ports' '1 2 3 5'
config 'switch_vlan' 'eth0_1'
option 'device' 'eth0'
option 'vlan' '1'
option 'ports' '4 5'
config 'interface' 'loopback'
option 'ifname' 'lo'
option 'proto' 'static'
option 'ipaddr' '127.0.0.1'
option 'netmask' '255.0.0.0'
config 'switch_vlan'
option 'device' 'eth0'
option 'vlan' '2'
option 'ports' '0 5'
config 'interface' 'Config'
option 'proto' 'static'
option 'ifname' 'eth0.2'
option 'ipaddr' '192.168.1.1'
option 'netmask' '255.255.255.0'
config 'interface' 'Company'
option 'type' 'bridge'
option 'proto' 'dhcp'
option 'ifname' 'eth0.0 eth0.1'
config 'interface' 'Public'
option 'proto' 'static'
option 'ifname' 'wl0'
option 'ipaddr' '10.0.0.1'
option 'netmask' '255.255.255.0'
/ И т.д. / конфигурации / DHCP
config 'dnsmasq'
option 'domainneeded' '1'
option 'boguspriv' '1'
option 'localise_queries' '1'
option 'rebind_protection' '1'
option 'rebind_localhost' '1'
option 'local' '/lan/'
option 'domain' 'lan'
option 'expandhosts' '1'
option 'readethers' '1'
option 'leasefile' '/tmp/dhcp.leases'
option 'resolvfile' '/tmp/resolv.conf.auto'
config 'dhcp' 'lan'
option 'interface' 'lan'
option 'ignore' '1'
config 'dhcp' 'wan'
option 'interface' 'wan'
option 'ignore' '1'
config 'dhcp'
option 'start' '100'
option 'limit' '150'
option 'interface' 'Public'
option 'leasetime' '72h'
config 'dhcp'
option 'start' '100'
option 'interface' 'Config'
option 'limit' '10'
option 'leasetime' '2h'
/ И т.д. / конфигурации / брандмауэр
config 'defaults'
option 'syn_flood' '1'
option 'input' 'ACCEPT'
option 'output' 'ACCEPT'
option 'forward' 'REJECT'
option 'drop_invalid' '1'
config 'include'
option 'path' '/etc/firewall.user'
config 'zone'
option 'forward' 'REJECT'
option 'output' 'ACCEPT'
option 'name' 'GUEST'
option 'input' 'REJECT'
option 'network' 'Public'
config 'zone'
option 'forward' 'REJECT'
option 'output' 'ACCEPT'
option 'name' 'WAN'
option 'input' 'REJECT'
option 'masq' '1'
option 'mtu_fix' '1'
option 'network' 'Company'
config 'forwarding'
option 'dest' 'WAN'
option 'src' 'GUEST'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Guest DNS'
option 'src' 'GUEST'
option 'proto' 'tcpudp'
option 'dest_port' '53'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Guest DHCP'
option 'src' 'GUEST'
option 'proto' 'tcpudp'
option 'dest_port' '67-68'
config 'zone'
option 'forward' 'REJECT'
option 'output' 'ACCEPT'
option 'name' 'CONFIG'
option 'network' 'Config'
option 'input' 'ACCEPT'
config 'forwarding'
option 'dest' 'WAN'
option 'src' 'CONFIG'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Config DNS'
option 'src' 'CONFIG'
option 'proto' 'tcpudp'
option 'dest_port' '53'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Config DHCP'
option 'src' 'CONFIG'
option 'proto' 'tcpudp'
option 'dest_port' '67-68'
Теперь мой вопрос:
Как я могу изменить настройки, чтобы клиенты WLAN могли получить доступ к клиентам LAN + клиенты LAN могли получить доступ к клиентам WLAN, НО главный порт LAN не имеет доступа к клиентам WLAN?