Quiero conectar un enrutador inalámbrico a mi red de trabajo, pero quiero que todos los clientes inalámbricos conectados al enrutador aparezcan como una sola dirección IP a los administradores de la red de "hombres de negro". Entonces, creo que el enrutador deberá adquirir una dirección IP del servidor DHCP de la oficina usando el nombre de host (y quizás la dirección MAC) de una computadora que ya existe.
El enrutador es un Belkin N1 Vision, BTW.
Creo que lo que debo hacer es hacer que el enrutador realice NAT para los clientes inalámbricos, asignándoles direcciones IP en su propia subred privada con su propio servidor DHCP, pero no puedo averiguar cómo hacer que el enrutador obtenga el suyo. Dirección IP del servidor DHCP de la oficina.
Los tipos de conexión WAN que tiene en su página de configuración son: "PPPoE", "PPPoA", "IP dinámica / fija (1483 en puente)", "IP estática (IPoA)", "Sólo módem (deshabilitar la conexión compartida a Internet)". ¿Cuál tendría que elegir?
Además, ¿qué puerto del enrutador debo conectar al zócalo LAN de la oficina?
fuente
Respuestas:
Tienes el enrutador equivocado.
El suyo tiene un puerto WAN DSL y desea uno con un puerto WAN Ethernet.
De su lista de tipos de Conexión WAN se desprende claramente que su enrutador tiene un módem DSL incorporado como su puerto WAN, y necesita algo que tenga un puerto WAN Ethernet para conectarse a la LAN de su oficina.
Sí, conectas el puerto WAN del enrutador a la LAN de tu oficina. En este contexto, solo piense en el puerto WAN como el puerto de "conexión de internet ascendente". En su caso, la LAN de su oficina es la forma en que su enrutador obtiene su conexión a Internet ascendente, así que conecte el puerto ascendente (WAN) de su enrutador a la LAN de su oficina.
Si tuviera un enrutador con un puerto WAN de Ethernet, tendría una opción para DHCP, y probablemente todo funcionaría. Es probable que los administradores de la red no estén restringiendo las concesiones de DHCP a direcciones MAC conocidas o identificaciones de cliente DHCP personalizadas, pero si lo están, muchos enrutadores inalámbricos tienen la capacidad de realizar la "clonación de direcciones MAC", por lo que el enrutador usa la dirección MAC de su máquina que La red ya lo permite.
fuente
No sé cómo me siento al ayudar con esto, pero aquí va ...
Número uno: asume que estás siendo atrapado. Ni siquiera trates de ser astuto, solo te hará quedar mal. Yo esperaría que la TI bajara el día que lo conecte. Es probable que esté preocupada por la introducción de riesgos de seguridad en la red, y con razón. Los puntos de acceso inalámbricos son un dolor para asegurar.
Si planea usar el Belkin N1 Vision para su WAP, su función de configuración protegida de WiFi es vulnerable a ataques, y muy fácilmente resquebrajado por cualquier persona con alfabetización, un teclado e interés. Desactiva esa característica. Desafortunadamente, muchos enrutadores son vulnerables incluso después de apagar la función.
Tampoco desea dar acceso a toda la red a través de WiFi. No puedo imaginar que sus dispositivos móviles necesiten mucho acceso, y espero que no esté intentando acceder al servidor de correo electrónico desde sus dispositivos móviles. Tan agradable y tentador como sería tener un correo electrónico de trabajo en tu teléfono, mantén el acceso externo si lo tienes. No es necesario abrir vulnerabilidades en el servidor de correo electrónico.
No soy un profesional de seguridad en absoluto , pero me imagino estableciendo una regla de firewall que bloquea todo el tráfico que no sea HTTP (puerto 80) podría apacigua la inminente frustración de ti. Si tiene acceso a algún sitio de intranet (algo en la red interna que se ejecuta en un navegador web. ¿Alguien usa un 'programa' en la oficina que se ejecuta en Internet Explorer?), Entonces esta regla no será suficiente. Tendría que encontrar una regla de firewall para bloquear todo el tráfico que no sea el puerto 80 y no esté dirigido a Internet.
También necesitarás usar WPA2 para asegurar la conexión. Ni siquiera se moleste con WEP, es inútil contra alguien con medio cerebro, un CD de Backtrack y la computadora portátil de su hermano mayor. Utilice la contraseña más absurdamente larga y complicada posible. ¿Piensa 63 (o 64? No estoy seguro) de caracteres totalmente aleatorios incluyendo caracteres especiales, números y letras mayúsculas y minúsculas. Tal vez usa un generador . Ahora bien, escriba la contraseña en su mente o escríbala una vez y entrégaselo al tipo que se va a enfrentar a este desastre y que lo mantenga a salvo.
Si haces algo menos que esto, los Hombres de Negro tienen todo el derecho de neururalizarte. Incluso podrían estar enojados de todos modos, no sé cuán paranoica es la seguridad de su empresa. El objetivo aquí es no ser la fuente de una violación masiva de seguridad. Probablemente no lo configurarían de forma segura, pero tienen la autoridad para tomar esa decisión. Tu no.
Ahora para centrarse en no arruinar la red en sí ... Creo que NAT debería protegerlo de los conflictos de direcciones IP, pero no lo voy a decir con seguridad. Intente elegir un rango que la TI nunca usaría de todos modos, en caso de que su enrutador se salte y se apague el NAT sin ninguna razón (he visto que los enrutadores domésticos empeoran). Pruebe algo en el rango 172.16.0.0 - 172.31.255.255 . Personalmente, nunca me he encontrado con una red privada de clase B antes, pero podría suceder.
En cuanto a la configuración, el manual es tu mejor amigo. Pruebe el modo dinámico y vea si puede conectarse, pero creo que esto podría deshabilitar NAT? La mayoría de estos protocolos están destinados a conectarse a un ISP. El verdadero problema es encontrar un modo que funcione con el enrutador pero que no desactive NAT. Alguien con más conocimiento podría aclarar esto, pero honestamente no creo que estén interesados en ayudar. Va a ser prueba y error.
Personalmente, me olvidaría del puerto WAN y simplemente lo conectaría al puerto LAN. Ponga a los clientes de su punto de acceso directamente en la red. Esto puede parecer contrario a la intuición para la seguridad, pero los clientes obtienen acceso de cualquier manera.
Lo que nos lleva al servidor DHCP. Si se trata de filtrar clientes por dirección MAC, su empresa está al menos algo preocupada por la seguridad. Deberá obtener el modo dinámico / DHCP para funcionar y usar una dirección MAC aceptada por el servidor. Recomiendo el NIC en la computadora del jefe de departamento. Cópielo al enrutador y conéctelo directamente a uno de los puertos LAN del enrutador. Si lo deja en la red como de costumbre, obtendrá un conflicto de dirección MAC.
Si algo de esto no tiene sentido, buscalo en Google. Si no puedes manejar eso, corres el riesgo de De Verdad jodiendo algo Un colega mío una vez hizo un error tipográfico al establecer una dirección IP estática y derribó el servidor SQL de la nómina. Era un fin de semana oscuro y oscuro. Esto podrías ser tú.
Probablemente, lo mejor que puede hacer es incomodar continuamente a sus empleados de TI para que lo hagan, y si después de unos días todavía está perdido, intente enchufar el enrutador de su casa y ver si activa alguna alarma en su intrusión Sistema de detección. Eso los pondrá a salvo, pero probablemente no muy felizmente. Si no activa ninguna alarma, intente abrir un detector de paquetes en la red y luego cree "accidentalmente" un conflicto de direcciones IP con tu propia PC en un intento de poner en marcha ... cualquier cosa que les llame la atención y los haga paga Atención a sus usuarios frustrados.
¿Has intentado llevarles café? He escrito programas para una taza de café ...
fuente