Come impostare al meglio il WiFi pubblico senza dare accesso al resto della mia rete?

Naviga le tue risposte
12

Per riferimento, questo è solo per la mia rete domestica. Ad ogni modo, ho alcuni dei miei vicini che mi chiedono di condividere il mio internet con loro. Mi piacerebbe davvero eliminare questa porzione di "ecco la password" anche se rendi la mia rete pubblicamente accessibile.

Ora i miei problemi:

  1. Non voglio che prendano tutta la mia larghezza di banda
  2. Non voglio che siano in grado di accedere ai computer cablati sulla mia rete domestica
  3. Voglio evitare il doppio NAT se possibile

La mia configurazione è piuttosto semplice al momento. Ho un router wireless su cui ho disattivato DHCP e che ho effettivamente trasformato in un bridge cablato senza fili. Il mio router attuale è un computer con OpenBSD (4.7 ma in fase di aggiornamento a breve) con pf. Il mio modem DSL è collegato al mio router in modalità bridge su PPPoE

Non ho un sacco di conoscenze di rete, ma voglio saperne di più e immagino che questo dovrebbe essere un buon progetto di apprendimento.

Quale sarebbe il modo migliore per farlo?

    
posta Earlz 24.08.2011 - 22:21
fonte

3 risposte

3

So come farlo .. Solo non so come farlo con pf.

  1. Dimentica la parte wireless, ciò che vogliamo fare è rendere due LAN isolate tra loro. È quindi possibile aggiungere il punto di accesso wireless a quello della LAN.
  2. Ovviamente, per 2 LAN, avrai bisogno di 3 porte Ethernet sulla tua scatola OpenBSD.
  3. Vedi quanto segue per i tipi di regole che devi fare. link

Ora, non so pf .. ma, in pratica, devi ...-

  1. Inoltra tutto da LAN1 e LAN2 a WAN utilizzando NAT.
  2. Firewall openbsd da LAN2 e lasciarlo aperto per LAN1.
  3. Apri varie porte per dhcp e dns.
risposta data 24.08.2011 - 22:45
fonte
2

Il modo "semplice" è un NIC in più nel tuo router OpenBSD e un secondo AP, che è probabilmente $ 50 di spesa. Ma se non vuoi spendere soldi, o lo stai facendo per imparare più di qualsiasi altra cosa allora ...

DD-WRT supporta VLAN (LAN virtuali) e VWLAN (LAN wireless virtuali) e può avere DHCP separato sulle diverse VLAN. Per impostare il DHCP sulle LAN V (W) e le regole ipfilter per il traffico consentito tra le VLAN e la WAN (o tra le diverse VLAN) è necessario utilizzare i "comandi di avvio" anziché eseguire tutto tramite l'interfaccia Web di amministrazione. . Vedi per es. link , link .

DD-WRT supporta anche il trunking VLAN 802.1q, che consente il traffico da più VLAN per condividere una singola porta / cavo / NIC Ethernet, anche se il supporto dipende dal chipset / scheda / dispositivo specifico: vedere il collegamento precedente . OpenWRT avrà caratteristiche simili. La maggior parte dei router consumer / SOHO non espone tali funzionalità al loro firmware di serie, naturalmente.

Suppongo che tu voglia mantenere OpenBSD come router gateway. Non conosco OpenBSD ma quasi certamente supporta VLAN e trunking VLAN 802.1q. Quindi puoi utilizzare DD-WRT / OpenWRT sul tuo AP / bridge wireless e configurare una VWLAN per il wifi "guest", collegato a una VLAN corrispondente, oltre alla normale WLAN bridged alla normale VLAN, con tag 802.1q su " Porta LAN / WAN "(che è in entrambe le VLAN) che collega l'AP al router OpenBSD. Configura OpenBSD con le stesse VLAN / tag e imposta le regole pf secondo necessità.

Ciascuna VLAN si troverà in una sottorete diversa (ad es. 192.168.1.0/24 e 192.168.2.0/24) ma ciascuna sarà solo single-NATed per la WAN. Avrai bisogno di configurare il DHCP sulla sottorete di ciascuna VLAN, presumibilmente su OpenBSD (o potresti usare l'AP per fornire DHCP per la sottorete "guest", immagino).

Solo un SMoC (semplice questione di configurazione) ...

Con entrambe le soluzioni, ti servirà anche un po 'di QoS / throttling, probabilmente sul tuo box OpenBSD. (È possibile eseguire il throttling sul DD-WRT WAP - DD-WRT ha alcune funzionalità QoS - ma non conoscerebbe il traffico cablato sulla rete interna, quindi sarebbe limitato nell'ambito della QoS / priorità del traffico che potrebbe far rispettare.)

    
risposta data 25.08.2011 - 15:00
fonte
0

Molti nuovi router / AP Wi-Fi SOHO possono gestire facilmente i requisiti 2 e amp; 3, con l'uso di una rete "Ospite". Tuttavia, il requisito 1 richiederà probabilmente un firmware personalizzato sul router / AP e / o software specializzato su qualcosa posto come proxy / firewall sulla rete.

Per risolvere in modo appropriato tutti i requisiti, dovresti avere due AP distinti (uno per Guest, uno per "Internal"), con un firewall in grado di gestire la limitazione della larghezza di banda posizionata tra l'AP guest e il resto di la rete.

    
risposta data 25.08.2011 - 05:02
fonte

Leggi altre domande sui tag

Cos'è un attacco Poison Dart? Codifica del traffico HTTP locale utilizzando un certificato autofirmato