Гостевой режим wifi на вторичном роутере

Question

Я пытаюсь настроить маршрутизатор как вторичную точку доступа WiFi, которая обеспечивает доступ к Интернету, но запрещает доступ к локальной сети.

Маршрутизатор поддерживает оба, но я не могу заставить его работать.

Моя установка выглядит следующим образом:

• Основной Маршрутизатор + Модем, выданный моим провайдером, расположенный в подвале (с поддержкой WiFi, но за пределами подвала нет приема)
• различные ПК, подключенные кабелем локальной сети к основному маршрутизатору
• дополнительный маршрутизатор (NetGear WGR614v10), подключенный кабелем локальной сети к основному маршрутизатору. Маршрутизатор NetGear должен служить точкой беспроводного доступа, но беспроводные клиенты не должны видеть машины в локальной сети. Для этого маршрутизатор NetGear поддерживает "гостевой режим", который делает именно это: он позволяет клиентам WiFi получать доступ к Интернету, но не к другим локальным компьютерам.

Я пробовал различные конфигурации:

• NetGear подключен через WAN-порт к локальной сети.
  Интернет работает таким образом, но машины Wi-Fi могут получить доступ к другим локальным машинам.
  Это логично: локальная сеть находится на стороне WAN маршрутизатора netgear, поэтому с точки зрения маршрутизатора они принадлежат Интернету, а не локальной сети.
• NetGear подключен через порт LAN. DHCP отключен в NetGear.
  Интернет работает, если я также разрешаю доступ к локальной сети, но не работает с гостевым режимом.
  Это логично: шлюз в Интернет имеет локальный адрес, и клиентам Wi-Fi не разрешен доступ к локальным адресам.
• NetGear подключен через порты LAN и WAN.
  Также не работает, я думаю, потому что DHCP-сервер по-прежнему является основным маршрутизатором, поэтому он будет отправлять неверный маршрут клиентам Wi-Fi. Это могло бы работать, если бы у клиентов Wi-Fi были фиксированные настройки IP, но это не обязательная опция для гостей.
• NetGear подключен через порты LAN и WAN, и DHCP повторно включен; использование обоих маршрутизаторов в качестве серверов DHCP с неперекрывающимися диапазонами IP в одной подсети.
  Не работает, и я понятия не имею, что происходит больше.

В основном я понимаю, почему первые две конфигурации не работают.
Но я понятия не имею, какой может быть правильная конфигурация для чего-то, что кажется основной функцией практически любого современного маршрутизатора.

---

Мои ответы на некоторые из приведенных ниже вопросов, поскольку их было слишком много для комментариев:

Вы пытались подключить WAN NetGear к локальной сети на другом маршрутизаторе, а затем отключить DHCP в NetGear и включить "Гостевой режим"?

Я думаю, что если я сделаю это, в сети Wi-Fi не останется DHCP-сервер. Маршрутизатор netGear не соединяет запросы DHCP между LAN и WAN, поэтому гостевые машины не будут работать, если их IP не настроен вручную

Решение состоит в том, чтобы изменить направление маршрутизаторов, подключить порт WAN NetGear к модему и подключить WAN другого маршрутизатора к локальной сети на NetGear. [...] Подключите оба маршрутизатора к модему (если это возможно - если у вас недостаточно портов, но имеется коммутатор между ними).

К сожалению, первым маршрутизатором является модем. Я не могу обменять это, так как это настроено провайдером.

Предложение

Вы можете попробовать создать одну подсеть с двумя DHCP-серверами, обслуживающими другой диапазон.

Я попробовал это, базовые возможности подключения работают, но я немного обеспокоен тем, что произойдет, если новые компьютеры будут подключены к сети. Насколько я понимаю, они случайным образом выберут один из двух DHCP-серверов для получения аренды. Однако основной причиной является то, что как только я включаю гостевой режим, он снова перестает работать.

Answer 1

Если вы считаете, что сторона LAN/WLAN первичного маршрутизатора (то есть сегменты сети между первичным маршрутизатором и вторичным маршрутизатором) является частью "локальной сети", к которой устройства гостевой сети не должны иметь доступ тогда вторичный маршрутизатор не может обеспечить доступ Гостевой сети только к Интернету без взаимодействия с первичным маршрутизатором.

Трафик гостевой сети в / из Интернета должен пересекать ту же связь между двумя маршрутизаторами, что и трафик локальной сети. Но если вы хотите, чтобы он был отделен от локальной сети, он должен быть туннелирован или помечен каким-либо образом, чтобы отделить его от трафика локальной сети. Но если этот трафик разделен, скажем, с помощью тегов VLAN или какого-либо туннелирования более высокого уровня, первичный маршрутизатор должен знать, как правильно делать этот трафик (то есть декапсулировать его и отправлять только в Интернет, и не дайте ему вернуться обратно в ЛВС).

Я не знаю, имеет ли какое-либо оборудование Netgear такую функциональность "Расширение гостевой сети", когда основной маршрутизатор действует как устройство с поддержкой VLAN или конечная точка туннеля, так что вторичные маршрутизаторы могут пересылать отдельный трафик гостевой сети.

Я знаю, что Apple AirPort Extreme/Express/Time Capsules начиная с версии 7.6.3 поддерживает это. Если у вас есть Apple AP в качестве основного маршрутизатора (в режиме NAT) и включена гостевая сеть, и другая Apple AP в качестве вторичного "маршрутизатора" (фактически в режиме моста, на самом деле не "маршрутизатор"), также с включенной гостевой сетью, вторичная точка доступа будет перенаправлять трафик гостевой сети к основной точке доступа, но VLAN будет помечать его так, чтобы он был отделен от трафика локальной сети. Основная точка доступа также подписывается на ту же VLAN и знает, что нужно перенаправлять трафик из этой VLAN в Интернет, но не обратно в локальную локальную сеть.

Answer 2

NetGear подключен через порт LAN. DHCP отключен в NetGear.

Это может работать, но убедитесь, что оба маршрутизатора имеют одинаковые настройки DHCP-сервера, прежде чем отключить его в NetGear.

Я думаю, что NetGear может быть смущен тем, что является шлюзом для сети. Может быть, если мы сможем это исправить, это позволит снова подключиться к интернету.

Вы пытались подключить WAN NetGear к локальной сети на другом маршрутизаторе, а затем отключить DHCP в NetGear и включить "Гостевой режим"?

Не подключайте порты WAN и LAN NetGear к другому маршрутизатору.

У вас будет два DHCP-сервера в одной сети, это не хорошо

Даже если вы отключите DHCP на одном маршрутизаторе, все равно не имеет смысла подключать как LAN, так и WAN.

Предложение

Вы можете попробовать создать одну подсеть с двумя DHCP-серверами, обслуживающими другой диапазон.

• Подключите WAN NetGear к локальной сети другого маршрутизатора.
• IP другого роутера: 192.168.1.1
• IP NetGear: 192.168.1.2
• Диапазон DHCP-сервера другого маршрутизатора: от 192.168.1.51 до 192.168.1.150
• Диапазон DHCP-серверов NetGear: от 192.168.1.151 до 192.168.250
• Стандартный шлюз NetGear: 192.168.1.1
• Включить "Гостевой режим" в NetGear

Я не уверен на 100%, что это сработает, но это определенно стоит попробовать!

Конфигурация сети в теории звучит хорошо, и "Гостевой режим" также может работать таким образом.

Мое решение, удовлетворение гарантировано

Решение состоит в том, чтобы изменить направление маршрутизаторов, подключить порт WAN NetGear к модему и подключить WAN другого маршрутизатора к локальной сети на NetGear.

Таким образом, все ваши компьютеры будут иметь Интернет, и Guest-Wifi не сможет получить доступ к любой другой внутренней сети.

Вам даже не нужно включать "Гостевой режим" в NetGear, брандмауэр второго маршрутизатора будет блокировать этот трафик.

Мое другое решение

Подключите оба маршрутизатора к модему (если это возможно - если у вас недостаточно портов, но имеется коммутатор между ними).

Брандмауэры обоих маршрутизаторов будут блокировать весь трафик между двумя сетями.

Однако это будет зависеть от конфигурации вашего модема, будет ли это работать или нет.

Answer 3

Я заставил его работать с небольшим фокусом, используя нестандартные маски подсетей:

Внутренняя локальная сеть основного маршрутизатора настроена на:

• IP-адрес маршрутизатора: 192.168.1.252
• Маска: 255.255.255.0
  (поэтому действительные IP-адреса в этой подсети находятся в диапазоне 192.168.1.0-192.168.1.255)

Вторичный маршрутизатор подключен через WAN-порт к первичному.
Внутренняя конфигурация локальной сети настроена на:

• IP-адрес маршрутизатора (дополнительный маршрутизатор): 192.168.1.1
• Маска: 255.255.255. 128 (== .10000000b)
  (поэтому действительные IP-адреса в этой подсети находятся в диапазоне 192.168.1.0-192.168.1.127)

Конфигурация WAN настроена на:

• Шлюз: 192.168.1.252 (основной маршрутизатор)
• IP-адрес маршрутизатора: 192.168.1.249 (внешний IP-адрес вторичного маршрутизатора)
• Маска: 255.255.255. 248 (== .11111100b)
  (поэтому действительные IP-адреса в этой подсети находятся в диапазоне 192.168.1.248-192.169.1.255)
  (это было необходимо, поскольку WAN и LAN могут не иметь перекрывающихся подсетей

Таким образом, вторичный маршрутизатор может получить доступ к первичному маршрутизатору, а клиенты, подключенные к вторичному маршрутизатору, могут также получить доступ к первичному маршрутизатору и через него к Интернету.

Но клиенты на вторичном маршрутизаторе не могут получить доступ ни к каким клиентам в подсети первичного маршрутизатора с IP-адресами между 192.168.1.0 и 192.168.1.128. Этот диапазон IP-адресов не передается вторичным маршрутизатором, поскольку он также является локальной подсетью вторичного маршрутизатора.

Таким образом, гостевой режим больше не требуется на вторичном маршрутизаторе, клиенты на вторичном сервере просто не могут видеть клиентов на первичном, если IP-адрес этих клиентов не превышает 192.168.1.128.
Было бы еще лучше, если бы я мог заблокировать все IP-адреса ниже 248, но я не думаю, что это возможно с масками подсети.

Включение гостевого режима с беспроводной изоляцией дополнительно предотвращает подключение гостевых машин к другим гостевым машинам или вторичному маршрутизатору.

Ничто не мешает гостевым машинам подключиться к первичному маршрутизатору, поскольку эти запросы все еще пересылаются вторичным, но для этого случая достаточно хорошего пароля.