4

Я хочу настроить гостевую сеть Wi-Fi, отдельную от сети, которую использует моя семья, чтобы гости могли иметь доступ к Интернету, но не к моей домашней сети.

Обратите внимание, что маршрутизатор DSL от интернет-провайдера действительно глуп и не дает мне никаких параметров конфигурации. У него жестко закодированный SSID и пароль WPA. Этот маршрутизатор содержит (неизвестные) учетные данные DSL, поэтому он должен находиться между сетевой розеткой и коммутатором; Я не могу заменить его, но могу подключить дополнительный маршрутизатор, если захочу.

У меня есть запасной маршрутизатор Linksys WRT54G, который я могу настроить, но это не модель, которая поддерживает пользовательские прошивки, такие как Tomato, поэтому мне приходится обходиться обычными настройками. Я мог бы подключить этот Linksys либо к маршрутизатору ISP напрямую, либо к коммутатору, но я думаю, что это не будет иметь никакого значения.

Как я могу настроить сеть так, чтобы этот Linksys только получал доступ к Интернету, но не видел домашнюю сеть (ни LAN, ни WLAN)?

Я мог бы либо раздать учетные данные интернет-провайдера и использовать Linksys для настройки семейной сети.
Или я мог бы использовать интернет-провайдера для себя и настроить Linksys в качестве гостевой сети.
Не уверен, какой путь лучше.

Linksys в настоящее время не подключен

Имеет ли смысл настроить его, как описано выше, чтобы Linksys действовал как своего рода «односторонний фильтр», который не позволяет маршрутизатору ISP видеть остальную часть сети, но сеть имеет доступ к Интернету? Чтобы добиться этого, было бы правильно подключить сетевой кабель от порта LAN маршрутизатора ISP к порту WAN Linksys?

1 ответ1

6

Подключите порт WAN маршрутизатора Linksys к порту LAN на маршрутизаторе, поставляемом поставщиком услуг Интернета. Используйте предоставленную WLAN маршрутизатора Linksys для собственного использования и предоставьте гостям учетные данные для WLAN, поставляемого поставщиком услуг Интернета.

Это ставит ваши собственные системы за дополнительный уровень NAT по сравнению с гостевой сетью, что означает, что ваши собственные хосты становятся гостями такими же, как обычная домашняя сеть для Интернета. Это также использует тот факт, что практически любой такой маршрутизатор будет считать сторону WAN "ненадежной". Гости могут получить доступ к маршрутизатору Linksys (они наверняка смогут узнать, что он там есть), но не к чему-то, что находится за ним, при условии, что им не удастся проникнуть через непосредственное изменение своих локальных таблиц маршрутизации. (Я сомневаюсь, что это поможет им, так как они должны поразить брандмауэр Linksys, если они попытаются, но трудно быть на 100% уверенным.)

Основным недостатком этого подхода будет то, что вы выдаете учетные данные, которые вы не можете изменить самостоятельно. Другим потенциальным недостатком является именно то, что он ставит себя за два уровня NAT, что может вызвать проблемы с любыми сервисами, которые полагаются на возможность подключения обратно к исходному хосту (одноранговый обмен файлами возникает на ум в качестве одной из возможностей),

В итоге вы получите нечто похожее на это:

                             +------------+
                             |  Internet  |
                             +------------+
                                    ^
                                    |
        +---------+          +------+-----+
        | Linksys +--------->| ISP router |
        +---------+          +------------+
              ^                     ^
              |                     |
        +-----+---------+    +------+--------+
        | Your network  |    | Guest network |
        |---------------|    |---------------|
        | Your host 1   |    | Guest host 1  |
        | Your host 2   |    | Guest host 2  |
        +---------------+    +---------------+

Лучшим вариантом , вероятно, было бы заменить Linksys чем-то, поддерживающим несколько независимых локальных WLAN, подключить его к маршрутизатору, поставляемому провайдером (если это возможно, настройку маршрутизатора, предоставленного провайдером, для режима моста) и использовать только тот, который используется для локального доступа (ваш собственные и гостевые), назначив одну из своих сетей для собственного пользования, а другую для гостевого. Это, вероятно, довольно распространенная функция в оборудовании для малого и среднего бизнеса, но не так часто встречается в потребительском оборудовании. Например, Cisco RV220W позволяет настроить до четырех независимых беспроводных сетей, каждая из которых имеет свой собственный SSID, параметры безопасности, включая параметры шифрования и ключа, а также параметры изоляции сегмента сети. Таким образом, вы можете настроить все так, чтобы в одной WLAN вы могли получить доступ ко всему, но если вы подключаетесь к другой, вы можете проходить только в WAN, и, в частности, гостевой WLAN не может получить доступ к резидентной WLAN, поскольку маршрутизатор или точка доступа блокирует такую связь. Я сомневаюсь, что это пуленепробиваемое доказательство , но если ваша модель угроз не включает в себя целевые атаки со стороны правительственных учреждений, я думаю, что с такой установкой было бы довольно безопасно (и если это ваша модель угроз, вам, вероятно, не следовало бы спрашивать здесь в первую очередь). ..).

Вы бы получили что-то вроде этого:

                             +------------+
                             |  Internet  |
                             +------------+
                                    ^
                                    |
                             +------+-----+
                             | ISP router |
                             +------------+
                                    ^
                                    |
                             +------+-----+
                  +--------->| Your router|<----------+
                  |          +------------+           |
                  |                                   |
          +-------+-------+                   +-------+-------+
          | Your network  |                   | Guest network |
          |---------------|                   |---------------+
          | Your host 1   |                   | Guest host 1  |
          | Your host 2   |                   | Guest host 2  |
          +---------------+                   +---------------+

На каждой диаграмме стрелка, указывающая на другой блок, означает "использует сервисы" указанного блока. (Так, например, "ISP router" использует услуги "Интернет".)

Я сделал что-то очень похожее на последний случай сам с двумя WLAN на отдельных VLAN. Я не помню, как маршрутизатор обрабатывает проводные сетевые соединения, но я вполне уверен, что они также могут быть назначены выбранным VLAN (и такая функция, безусловно, кажется разумной для такого продукта), что означает, что вы можете комбинировать определенные проводные порты с данной беспроводной сетью для вашей жилой сети и запуска гостевой сети в VLAN отдельно от той, которую вы используете. Если вы решите пойти по этому пути, и возможность комбинировать и разделять трафик как в проводных, так и в беспроводных сетях является важным фактором для вас, вам, вероятно, следует обратиться к производителям некоторых продуктов, которые вы рассматриваете, и конкретно спросить об этой возможности.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .