Гостевая точка доступа Wifi без доступа к родительской сети

Я пытаюсь создать гостевую wifi-сеть для моей существующей сети, но я не уверен, как защитить гостевую точку доступа wifi от родительской сети, когда точка доступа содержится в родительской сети.

Я попытался найти это, но я просто получаю результаты от потребительского оборудования, которое говорит "нажмите эту конфигурацию" и обычно предполагает, что главный маршрутизатор является самой точкой доступа wifi, что делает логическую сегрегацию намного проще.

              +----------+
              | Internet |
              +----+-----+
                   |
                   |
           +-------+------+
           | Linux Router |   10.0.0.0/24
+----------+              +--------------+
|          |   10.0.0.1   |              |
|          +-------+------+              |
|         Device A - 10.0.0.5            |
|                                        |
| Linux Guest Wifi Router - 10.0.0.200   |
|       +                                |
|       |                                |
+----------------------------------------+
        |
        |
        |   Guest Subnet 10.0.1.0/24
   +----+--------------------------+
   |                               |
   |  Guest Device X - 10.0.1.5    |
   |                               |
   +-------------------------------+

основной маршрутизатор является двойной NIC (ext/int) Linux box (Debian 7 с iptables) и ничего более. Гостевая точка доступа wifi будет рашпиль PI, который я заказываю, и я предполагаю, что необходимая конфигурация будет содержаться на гостевой коробке wifi.

но я не уверен, как настроить iptables (nftables?) на ПРР для обеспечения родительского сеть недоступна, кроме маршрута через интернет.

  • как "гостевое устройство X" попадает на Основной шлюз маршрутизатора (10.0.0.1) при отказе в доступе к устройству A (10.0.0.5).
  • как я узнаю, что главный маршрутизатор не собирается отправлять запрос на 10.0.0.5 обратно в подсеть 10.0.0.0 / 24? Должен ли я настроить iptables на главном маршрутизаторе для работы в тандеме с маршрутизатором Wi-Fi?

желаемые результаты от 10.0.1.5:

  • $ пинг 10.0.0.5 - пункт назначения недоступен / нет маршрута к хосту и т. д.
  • $ ping 8.8.8.8 - OK
  • $ ping 10.0.0.1- (при условии OK?)
  • $ ping 10.0.0.200-неизвестно?

Обсуждение альтернативного потенциального решения ниже:

  • одно предложение состояло в том, чтобы сделать 2-й IP на главном маршрутизаторе и иметь гостевой WiFi маршрут к этому IP. Поэтому я посмотрел документы и нашел этот:

это будет выглядеть так:

Internet
  |
Linux Router
(eth1 10.0.0.1) (eth1:1 10.0.1.1)
  |                  |
Reg Network        Guest Wifi Router (10.0.1.2)
    (DHCP)           |
                   Guest Device (10.0.?.?)

Так что я не уверен в некоторых вещах на данный момент

  1. как настроить таблицу маршрутизации основного маршрутизатора для предотвращения трафика от подсети 10.0.1.1 до 10.0.0.0/24? Или это правило iptables на главном маршрутизаторе на данный момент? Я не уверен, что вижу, как это отличается от гостевого WiFi маршрутизатора на 10.0.0.0 / 24, так как основной маршрутизатор все равно сможет маршрутизировать на другие устройства в этой сети?)
  2. Я предполагаю, что гостевой wifi маршрутизатор будет нужен DHCP-сервер для гостевых устройств. Но будут ли гостевые устройства использовать подсеть 10.0.1.0 / 24 с 10.0.1.1 в качестве шлюза или настроить другую подсеть 10.0.2.0 / 24 для гостевых устройств?
3
задан Doug
13.11.2022 3:47 Количество просмотров материала 2874
Распечатать страницу

1 ответ

резюме ситуации, чтобы проверить, правильно ли я понял:

гость АП подключается к основному роутеру в рамках частной локальной сети или WLAN. Кроме того, вы хотите гостевую сеть, которая отделена от частной сети, но по необходимости будет использовать частную сеть для доступа к главному маршрутизатору.

краткое описание возможного решения:

единственный способ сделать эту работу надежно, чтобы иметь главный маршрутизатор знать, что есть две сети, и разделить их должным образом с iptables правила. Таким образом, вы хотите, чтобы ваш основной маршрутизатор видел два сетевых интерфейса: один с 10.0.0.0/24 для частного сегмента и один с 10.0.0.1/24 для гостевого сегмента. Я предполагаю, что вы знаете, как настроить главный маршрутизатор с этим, учитывая комментарии.

это означает, что соединение от гостевого AP (RaspPi) до главного маршрутизатора должно использовать какой-то туннель. Самый простой вариант -VLAN, который "накладывается" (возможно, несколько) виртуальные локальные сети в частной локальной сети.

конкретно, добавьте как в RaspPi, так и в Debian виртуальный сетевой интерфейс с чем-то вроде

ip link add link eth0 name eth0.55 type vlan id 55.

(выберите тег VLAN), затем используйте и настройте eth0.55 как обычный сетевой интерфейс. После того, как он работает, вы можете адаптировать /etc/network/interfaces делать это автоматически.

редактировать

для брандмауэра, вам понадобится iptables правила, запрещающие интерфейсы eth0 и eth0.55 от разговаривают друг с другом, так что-то вроде

#!/bin/bash
PRIVIF=eth0
GUESTIF=eth0.55
iptables -P FORWARD ACCEPT
iptables -F FORWARD
iptables -A FORWARD -i $PRIVIF -o $GUESTIF -j DROP
iptables -A FORWAD -i $GUESTIF -o $PRIVIF -j DROP

(не проверено). Или сделать его еще безопаснее с политика по умолчанию Drop, и затем перечислить все переадресации вы разрешаете, сохраняя функциональность NAT в роутере (если есть что).

есть много онлайн-уроки о брандмауэрах и iptables, просто выберите тот, который вам нравится больше всего.

0
отвечен dirkt 2022-11-14 11:35

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя

Похожие вопросы про тегам:

iptables
linux
networking
router
wireless-networking
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх