Я не уверен в наилучшем способе решения этой проблемы, хотя, возможно, существует несколько решений (включая некоторые действительно простые решения «не беспокойтесь об этом»).
В моей локальной сети полностью разнесены WiFi и проводные подсети на разных сетевых картах. (Скажем, WiFi = 10.10.0.0/16, проводной = 10.20.0.0/16). Правила брандмауэра на маршрутизаторе предотвращают передачу всего трафика, поступающего на интерфейс wifi, в локальную сеть или на любой из IP-адресов маршрутизатора, поэтому клиенты WiFi могут получить доступ к глобальной сети и ничего больше.
Но подсеть WiFi также включает в себя один IP-адрес для систем управления точки доступа (webui, ssh). Я хочу полностью отделить это от менее доверенной стороны WiFi, поместив трафик клиента WiFi, скажем, в VLAN 6, и трафик к / от управляющего IP в VLAN7. И я хочу, чтобы VLAN7 был доступен из локальной сети (в идеале - через IP-адрес локальной сети, аналогичный коммутаторам локальной сети и инфраструктурным службам, как видно из локальной сети), а не доступный из VLAN6.
Я использую либо pfsense, либо его close fork, opnsense, они имеют почти идентичные возможности в этих областях.
Я могу себе представить, что я настрою VLAN, определю виртуальный IP-адрес в локальной сети и соединю виртуальный IP-адрес с IP-адресом управления WiFi, используя NAT 1:1 на одном или другом интерфейсе. А затем я добавлю правила фильтрации на интерфейсах VLAN, чтобы в VLAN 7 были разрешены только пакеты из локальной сети на IP-адрес управления AP. (Эта последняя часть меня устраивает, помощь не нужна)
Но я очень неясен в отношении специфики VLAN/NAT на маршрутизаторе. Как бы я на самом деле это сделал? (Как в фактических шагах)