¿Cómo crear una subred separada para acceso inalámbrico?

Necesito configurar mi enrutador inalámbrico para que todos los dispositivos inalámbricos estén en una subred diferente (192.168. 2 .1).

Los dispositivos inalámbricos deberían poder acceder a Internet, pero idealmente no a las estaciones de trabajo en la LAN.

Aquí está mi red:

Todas las sugerencias son bienvenidas!

La forma de lograr esto usando equipos de calidad para el consumidor es usar una configuración Y de 3 enrutadores

Al configurar los dos enrutadores utilizando la misma subred pero en diferentes "LAN", es imposible que una red se comunique con la otra.

Piénselo de esta manera: tiene una computadora en LAN A con una IP de 192.168.1.2y uno de los clientes inalámbricos en LAN B con una IP de 192.168.1.3. Si en LAN B solicita 192.168.1.2(uno de los clientes inalámbricos que intenta conectarse a un cliente con cable) va al enrutador de LAN B, ve que es una solicitud para la 192.168.1.xsubred y no reenvía el paquete más arriba en la cadena (podría pero no importaría, vea la sección inferior de esta respuesta). También ve que no conoce ninguna computadora en 192.168.1.2(La única computadora que conoce es 192.168.1.3) e informa a la computadora original "host de destino desconocido". Si solicitamos cualquier otra IP que 192.168.1.xno sea, usará la puerta de enlace y continuaremos a Internet para tratar de resolver su conexión IP.

Esto le brinda una seguridad completa en su red, proporcionándole dos LAN que son físicamente imposibles de hablar entre sí y al mismo tiempo permiten que ambas se conecten a Internet.

Dependiendo de cómo funcione el firmware de su enrutador inalámbrico, puede hacerlo con dos enrutadores simplemente moviendo la conexión inalámbrica de su puerto LAN a su puerto WAN. Sin embargo, solo puede hacer esto si el enrutador inalámbrico NO reenvía solicitudes que no puede resolver en la puerta de enlace para su propia subred (por lo tanto, en mi ejemplo anterior, el enrutador inalámbrico NO debe verificar el puerto WAN para 192.168.1.2 para la configuración de dos enrutadores ) Lo bueno de esto es que si su enrutador se comporta de la manera deseada, no necesita comprar ningún hardware adicional.

En la configuración Y de 3 enrutadores, no importa si el enrutador reenvía solicitudes o no porque en la LAN Y no hay 192.168.1.xcomputadoras, solo las dos interfaces WAN de los enrutadores que son ambas 192.168.0.x.

Aquí hay un nuevo diagrama que está más cerca de su diagrama original para ayudar a explicarlo.

Supongo que su enrutador inalámbrico cuesta menos de $ 100 que compraría en una tienda por departamentos.

Realmente necesitas un enrutador con 3 interfaces. Una PC con Linux con 3 tarjetas de red lo hace muy bien: una NIC es la WAN, la otra NIC está conectada a sus hosts LAN y la tercera a la que está conectado su enrutador inalámbrico. Luego puede ejecutar un DHCP en la caja de Linux escuchando y dando IP en la interfaz LAN y WLAN.

Tendrá un poco de iptablesconfiguración para asegurarse de que los hosts WLAN no puedan comunicarse con los hosts LAN (relativamente simple ya que están en subredes separadas).

También puede colocar los hosts LAN detrás de su propio enrutador y configurar cualquier configuración de firewall SPI en el enrutador inalámbrico y con cable para eliminar el tráfico de la otra subred. Tenga en cuenta que en esta situación necesitará un servidor DHCP separado que se ejecute en cada subred, ya que los enrutadores no reenvían el tráfico de difusión.

También podría, si el enrutador inalámbrico lo admite, decirle que bloquee todo el tráfico saliente que se origina detrás de él a la subred en la que se encuentra su LAN cableada.