¿Cómo crear una subred separada para acceso inalámbrico?

12

Necesito configurar mi enrutador inalámbrico para que todos los dispositivos inalámbricos estén en una subred diferente (192.168. 2 .1).

Los dispositivos inalámbricos deberían poder acceder a Internet, pero idealmente no a las estaciones de trabajo en la LAN.

Aquí está mi red:

ingrese la descripción de la imagen aquí

Todas las sugerencias son bienvenidas!

Austin '' Peligro '' Poderes
fuente
¿Cuáles son las marcas / modelos del enrutador de puerta de enlace predeterminado y el interruptor central? Esto puede ser sencillo siempre que ambos admitan VLAN.
Paul
Se necesita un poco más de información sobre lo que está ejecutando actualmente. ¿Es esta una red doméstica (supongo que no) o una red de negocios / trabajo? ¿Qué modelo de controlador / enrutador inalámbrico tiene? etc.
Josh
En realidad es una organización sin fines de lucro. No tengo los modelos de enrutadores conmigo en este momento, pero todo es equipo de grado residencial. No creo que las VLAN sean una opción esta vez.
Austin '' Peligro '' Powers

Respuestas:

9

La forma de lograr esto usando equipos de calidad para el consumidor es usar una configuración Y de 3 enrutadores

ingrese la descripción de la imagen aquí

Al configurar los dos enrutadores utilizando la misma subred pero en diferentes "LAN", es imposible que una red se comunique con la otra.

Piénselo de esta manera: tiene una computadora en LAN A con una IP de 192.168.1.2y uno de los clientes inalámbricos en LAN B con una IP de 192.168.1.3. Si en LAN B solicita 192.168.1.2(uno de los clientes inalámbricos que intenta conectarse a un cliente con cable) va al enrutador de LAN B, ve que es una solicitud para la 192.168.1.xsubred y no reenvía el paquete más arriba en la cadena (podría pero no importaría, vea la sección inferior de esta respuesta). También ve que no conoce ninguna computadora en 192.168.1.2(La única computadora que conoce es 192.168.1.3) e informa a la computadora original "host de destino desconocido". Si solicitamos cualquier otra IP que 192.168.1.xno sea, usará la puerta de enlace y continuaremos a Internet para tratar de resolver su conexión IP.

Esto le brinda una seguridad completa en su red, proporcionándole dos LAN que son físicamente imposibles de hablar entre sí y al mismo tiempo permiten que ambas se conecten a Internet.


Dependiendo de cómo funcione el firmware de su enrutador inalámbrico, puede hacerlo con dos enrutadores simplemente moviendo la conexión inalámbrica de su puerto LAN a su puerto WAN. Sin embargo, solo puede hacer esto si el enrutador inalámbrico NO reenvía solicitudes que no puede resolver en la puerta de enlace para su propia subred (por lo tanto, en mi ejemplo anterior, el enrutador inalámbrico NO debe verificar el puerto WAN para 192.168.1.2 para la configuración de dos enrutadores ) Lo bueno de esto es que si su enrutador se comporta de la manera deseada, no necesita comprar ningún hardware adicional.

En la configuración Y de 3 enrutadores, no importa si el enrutador reenvía solicitudes o no porque en la LAN Y no hay 192.168.1.xcomputadoras, solo las dos interfaces WAN de los enrutadores que son ambas 192.168.0.x.


Aquí hay un nuevo diagrama que está más cerca de su diagrama original para ayudar a explicarlo. ingrese la descripción de la imagen aquí

Scott Chamberlain
fuente
Entonces, solo para verificar, ¿no habría conexión física entre los 2 enrutadores en la parte inferior del diagrama? ¿Y esos 2 enrutadores (192.168.1.101 y 192.168.1.102) están conectados al enrutador de la puerta de enlace mediante sus puertos WAN?
Austin '' Peligro '' Powers
@Dan Correcto, en el diagrama anterior, el azul claro son los puertos WAN y el naranja son los puertos LAN. Sin embargo, una corrección sobre lo que dijo, tenía la IP de los puertos WAN incorrecta. Todas las computadoras más allá del segundo conjunto de enrutadores (en ambas redes) tienen IP en el rango 192.168.1.x, pero todas las máquinas en la red Y (y en esta configuración solo deberían ser el lado LAN del enrutador de Internet y los dos sub enrutadores (WAN) tendrán IP en el rango 192.168.0.x.
Scott Chamberlain
@Dan Agregó un nuevo diagrama para estar más cerca del original para ayudar a explicar.
Scott Chamberlain
1
También puede hacerlo en enrutadores de nivel de consumidor si está utilizando un firmware personalizado más potente (dd-wrt, tomato, ect.) Que le permite escribir directamente en el iptablescomando del sistema Linux subyacente .
Scott Chamberlain
1
@ toffee.beanns No, no puede. El objetivo de esta configuración es evitar que las computadoras portátiles invitadas en el wifi accedan a cualquier cosa que no esté en el wifi.
Scott Chamberlain
3

Supongo que su enrutador inalámbrico cuesta menos de $ 100 que compraría en una tienda por departamentos.

Realmente necesitas un enrutador con 3 interfaces. Una PC con Linux con 3 tarjetas de red lo hace muy bien: una NIC es la WAN, la otra NIC está conectada a sus hosts LAN y la tercera a la que está conectado su enrutador inalámbrico. Luego puede ejecutar un DHCP en la caja de Linux escuchando y dando IP en la interfaz LAN y WLAN.

Tendrá un poco de iptablesconfiguración para asegurarse de que los hosts WLAN no puedan comunicarse con los hosts LAN (relativamente simple ya que están en subredes separadas).

También puede colocar los hosts LAN detrás de su propio enrutador y configurar cualquier configuración de firewall SPI en el enrutador inalámbrico y con cable para eliminar el tráfico de la otra subred. Tenga en cuenta que en esta situación necesitará un servidor DHCP separado que se ejecute en cada subred, ya que los enrutadores no reenvían el tráfico de difusión.

También podría, si el enrutador inalámbrico lo admite, decirle que bloquee todo el tráfico saliente que se origina detrás de él a la subred en la que se encuentra su LAN cableada.

LawrenceC
fuente