Configuración de un punto de acceso WLAN detrás de un proxy

0

Actualmente tengo una red doméstica que no utiliza ninguna WLAN. Desde el exterior, hay un módem DSL, un puente / proxy que se conecta al módem DSL y un grupo de estaciones de trabajo que acceden a Internet a través del proxy (o entre sí en la red interna, por ejemplo, para servidores de archivos).

Ahora, a veces WLAN sería útil. Sin embargo, estoy muy contento con mi proxy (sin almacenamiento en caché) y en lugar de poner un enrutador WLAN frente al proxy, y tener el proxy para acceder a Internet a través del enrutador, todavía me gustaría hacer que cada máquina use el proxy, incluyendo cualquier cliente WLAN. Si entiendo el derecho de terminología, lo que necesito es un punto de acceso WLAN (requisito # 1).

Esto, por supuesto, sería un riesgo de seguridad si alguien irrumpiera en la WLAN, ya que esta persona tendría acceso a mi red doméstica interna. Por lo tanto, el requisito # 2 está utilizando un tipo moderno de encriptación WLAN como WPA2.

Para hacer que esta configuración sea más fácil para los huéspedes, me imagino que debo configurar el punto de acceso WLAN para que actúe como un servidor DHCP, ofreciendo direcciones IP en, por ejemplo, el rango 192.168.2.0/255.255.255.0, puente enrutamiento el tráfico a la red doméstica existente (192.168.1.0/255.255.255.0), y acceder al proxy en 192.168.1.1:8080. Idealmente, un invitado ni siquiera tendría que decirle al navegador que use un proxy, porque el punto de acceso actúa como un enrutador interno y se encarga de reenviar cualquier tráfico al proxy, pero esto sería opcional. Alternativamente, se podría ofrecer dinámicamente un rango de direcciones IP en la subred 192.168.1.0/255.255.255.0 (DHCP), mientras que las direcciones estáticas permanecen como están, y el punto de acceso actúa como un simple interruptor en una subred.

¿Tiene sentido esto y es una manera razonable de ampliar mi red doméstica existente para WLAN?

Solo para referencia, algunos enlaces a problemas relacionados que me gustaría mantener; no es idéntico a mi problema, pero es una buena fuente de lectura adicional:

Linux box que actúa como punto de acceso inalámbrico para compartir la conexión a internet.

¿Puedo configurar un EeePc como un punto de acceso WLAN?

¿Configurando LAN remota de acceso remoto detrás de múltiples enrutadores?

¿Puede una máquina Linux actuar como un cliente inalámbrico y un punto de acceso simultáneamente usando una única interfaz WLAN física?

¿Es posible conectar un enrutador inalámbrico a otro punto de acceso?

wireless-networking proxy zebonaut
fuente

Respuestas:

1

Sí, esto tiene sentido y es, en general, una forma razonable de configurar su red. Algunas observaciones -

  1. Busque un enrutador WLAN que funcione con DD-WRT (o OpenWRT). Para tener cualquier posibilidad realista de hacer proxying transparente sin hardware caro necesitará algo como DD-Wrt o openwrt, y presumiblemente alguna configuración interesante Con iptables y tproxyd o equivalente.

  2. ¿Está tu proxy realmente haciendo tanto por ti? Sé que hace 15 años, un proxy. hizo una gran diferencia, pero creo que, en general, causarán más Los problemas se solucionan y, dependiendo del tipo de contenido, pueden hacer que las cosas más lento en algunos casos, y proporciona muy poco ahorro de ancho de banda (especialmente si se almacena en un disco duro lento y debido al almacenamiento en caché integrado en los navegadores)

  3. WPA2 debería ser bastante estándar en la mayoría de los nuevos equipos de consumo.

  4. Dejaría el direccionamiento DHCP al enrutador. Creo que esto es más apropiado, Sin embargo, técnicamente puede hacerlo en el servidor proxy. Supongo que de su publicación. sabe que generalmente solo ejecuta 1 servidor DHCP por segmento de red.

  5. Técnicamente, no puede salvar el tráfico entre 192.168.1.0/24 y 192.168.2.24 - necesitarías enrutarlo Un enrutador decente podría hacer esto, y cortafuegos. Alternativamente (y menos seguro), puede configurar todo en el mismo Subred - esta sería una configuración de usuario doméstico típica. (Podrías extender el Máscara de red a 255.255.128.0 para cubrir un rango mayor si eso es realmente necesario, pero aún necesitará una forma de manejar DHCP, ya que todo saldrá en 1 subred - por lo que esto podría resultar engorroso (por ejemplo, asignar dinámicamente direcciones IP estáticas) basado en MAC)

  6. No está claro en su publicación si lo sabe, pero un punto de acceso WLAN actúa como un conmutador / concentrador (piense en los clientes wifi como dispositivos adicionales en el mismo segmento de red). Para hacer la separación necesitas un router. [En realidad la mayoría Los switches capaces de funcionar * WRT tienen 5 puertos cada uno que pueden ser individualmente controlado, p. ej., como un enrutador, y por lo general están unidos entre sí en el software para hacer que se comporten como un interruptor, pero * WRT puede cambiar este comportamiento, aunque hacerlo puede ser no trivial.

davidgo
fuente
Entiendo que la terminología correcta es importante, así que reemplacé "bridge" con "router". Además, dado que el AP es un interruptor, parece mejor dejar todo en la subred 192.168.1.0/24, cableado y wlan (- & gt; edited to question). Creo que mi proxy http (sin almacenamiento en caché) puede ser una mejor opción en comparación con un enrutador NAT en términos de seguridad, pero estoy considerando usar IP Masquerading / NAT en lugar de mi proxy Squid en el futuro.
zebonaut