Bloquer le routeur secondaire de mon réseau

1

J'ai un routeur / modem principal et je souhaite partager Internet avec certaines pièces louées de ma maison afin de réduire la facture Internet et de tirer certains bénéfices de l'utilisation d'Internet. Je suis le propriétaire et loue des chambres.

[Home Gateway]--[My Network]--[Switch]--- Renter Port 1
                                     |--- Renter Port 2 (And so on)

Si l'un d'eux ajoute un routeur supplémentaire comme celui-ci:

[Home Gateway]--[My Network]--[Switch]--- Renter Port 1
                                     |--- Renter Route/Access Point

Mon réseau devient si lent et parfois je ne peux pas du tout me connecter à Internet. Ils partagent la connexion payée par une chambre avec plusieurs. Comment puis-je bloquer l'accès Internet de ce routeur sans fil ainsi que de ces PC se connectant à ce routeur dans mon réseau). Je connais très peu le réseautage, mais j’espère que vous pourrez me donner de bonnes idées et je vais essayer de le comprendre.

Matt
la source
1
Pouvez-vous ajouter un diagramme ou expliquer un peu plus clair? Comment PC3 partage-t-il Internet avec PC4 / 5/6? De toute façon, on dirait que vous utilisez une seule connexion Internet, si tel est le cas, peu importe la configuration que vous utilisez, à moins que vous ne limitiez ou n'utilisiez la qualité de service. Es-tu?
Jonno
1
Pour ce faire, vous aurez besoin d’un routeur haut de gamme (SonicWall, Cisco Business Series, Watchguard, etc.) ou d’avoir un routeur SOHO haut de gamme avec un réseau wifi d’invité vous permettant de limiter la bande passante (Asus haut de gamme). un). Tous les locataires utilisent ensuite le réseau Wi-Fi pour les clients et, si vous disposez d'un Internet de 20 Mbps, limitez le nombre d'invités à 5 ou 10. Si vous avez besoin d'une connexion filaire, un routeur haut de gamme est nécessaire.
acejavelin
1
Veuillez vérifier le contrat que vous avez avec votre FAI; il est fort probable que vous ayez un accès Internet résidentiel et il existe une clause interdisant le partage que vous essayez de faire Internet d'affaires avec un contrat qui le permet n'est souvent pas beaucoup plus, et a généralement un meilleur support.
Anti-weakpasswords

Réponses:

2

Vous bénéficierez d'un professionnel. Voici une conception possible, ce qui peut expliquer pourquoi je dis cela. Quelqu'un qui a déjà fait cela auparavant serait mieux informé sur les mesures à prendre, que ce soit par nécessité ou par budget.

Implémenter AQM sur un routeur (qui est en amont de tout dispositifs)

Cela évite les retards pendant l'utilisation, à savoir bufferbloat. C'est un problème répandu et persistant, il peut causer une dégradation importante et même complète, comme vous le décrivez. Les réseaux à locataire unique s'en sortent: si je crée mon propre réseau trop en retard par rapport à ce que je fais, je peux alors annuler le téléchargement en arrière-plan qui a provoqué cela, ou trouver un moyen de le limiter.

Il est très facile de vérifier le décalage de vos expériences réseau sous charge: http://www.dslreports.com/speedtest

Une cible commune pour un retard accru sous charge est de 100 ms (0,1 s). L’état de la technique permet en moyenne facilement 50 ms sur des lignes DSL lentes. Donc, 100 ms n'est pas parfait, mais il est largement toléré pour la navigation sur le Web, et exercer un contrôle quelconque sur bufferbloat devrait vous permettre de devancer la concurrence :).

Évidemment, le fait que ce soit un problème persistant signifie que vous ne pouvez pas faire confiance à une case à cocher indiquant que l'AQM fonctionne correctement (nous l'avons vu dans la pratique). Ou très probablement, le marketing ne le décrit pas comme AQM en premier lieu.

Le "nom de marque" pas cher à surveiller est l'open source fq_codel. Si un produit est certain de l'implémenter, il sait probablement ce qu'il fait. Ce n'est pas exclusif. quiconque construit un routeur Linux bon marché peut l'activer. Il existe des routeurs OpenWrt, qui peuvent être configurés à l'aide d'une interface graphique, et Ubiquiti (fournisseur commercial intermédiaire aux États-Unis uniquement). Si vous pouvez acheter un routeur avec OpenWrt pré-installé, l'interface graphique n'est pas aussi mauvais, et il y a un bon howto AQM sur le wiki. Gargoyle a son propre AQM bizarre; Ils sont open source et sont toujours en activité. J'espère qu'ils n'ont pas totalement bousillé le code. Je pense qu’il existe au moins un autre bon fournisseur si vous savez ce que vous recherchez.

codel n'est pas aussi bon, mais peut être légèrement plus largement disponible. OpenBSD le supporte et PFSense a une interface graphique qui le supporte.

Il est donc possible d'acheter un boîtier de l'ordre de 150 USD, avec une interface graphique prenant en charge la configuration d'AQM. Le matériel aura une vitesse maximale à laquelle il peut exécuter ceci; Je suppose que vous avez moins de 50 Mbps pour que ce ne soit pas un problème. Il peut également prendre en charge 11n wifi (la dernière version 11ac n’est pas compatible avec les sources ouvertes), ce qui est utile (voir condition suivante).

Cher & amp; équipement de marque professionnelle (produits professionnels de Cisco et équivalents) affirmant que l’AQM convient, mais je pense que l’équipement de Cisco nécessite la configuration d’un expert. C'est une compétence assez spécifique. Je pense que cela limiterait également le nombre de personnes pouvant entretenir / soutenir le réseau au fil du temps.

En gros, je n'ai aucune expérience personnelle avec un équipement de classe affaires doté d'une interface graphique permettant de configurer AQM. Je sais que ça va exister. Je ne peux pas décrire comment le distinguer des routeurs bon marché, tels que ceux de Linux bon marché, qui ont bâclé leur implémentation AQM.

La limitation du débit pourrait faire partie de la solution. (Débloquer les connexions Internet implique actuellement de limiter le tarif à un montant déterminé). Cependant, je ne crois pas que le simple fait de limiter les taux résoudra votre cas. Aussi, vous semblez avoir trois locataires ou plus. Si vous divisez votre tarif Internet par quatre, le tarif résultant sera beaucoup plus bas que nécessaire lorsque je souhaite télécharger un fichier volumineux. personne d'autre n'utilise internet. Ceci est particulièrement visible pour le taux de téléchargement, car dans la plupart des cas, il est déjà terriblement bas.

Une fois que vous avez implémenté AQM, si Si vous utilisez un service nécessitant une quantité spécifique de bande passante, il serait raisonnable d’envisager de vous le réserver (C'est-à-dire, limiter le nombre total de réseaux invités à la réserve totale). En pratique, il s’agit de la vidéo ou de la vidéo HD.

Idéalement, vous autoriseriez les invités à utiliser cette bande passante lorsque votre réseau est inactif. C'est parfaitement possible, par exemple sous Linux htb faire la queue, mais c’est une compétence professionnelle. Je ne m'attendrais pas à ce que cette fonctionnalité soit disponible dans les interfaces graphiques.

Malheureusement, je dirais qu'il n'est pas possible de mettre en œuvre cette réserve avec uniquement l'interface graphique OpenWrt; il faut deux boîtes en guirlande. Vous ne pouvez pas définir une limite de débit unique couvrant plusieurs réseaux. Mais si tous les réseaux invités sont regroupés derrière une seconde boîte, cela pourrait facilement fonctionner. Je peux fortement recommander le fq_codel d'OpenWrt. L’espoir serait que l’utilisation de fq_codel résout pratiquement tous les problèmes liés à la charge et évite les pannes complètes en prenant un meilleur contrôle du réseau (voir ci-dessous).

Voyez si vous pouvez fournir un bon réseau sans fil,

Au moins pour un grand nombre de chambres. Tout le monde veut le sans fil. Tout le monde veut utiliser ces fréquences radio autorisées qui sont rares. Lorsque vous avez plusieurs réseaux sans fil dans un petit espace, ils peuvent souvent s’interférer et se dégrader.

Vous êtes maintenant responsable de l'isolation du réseau sans fil du locataire, car ils ne peuvent pas utiliser leur propre routeur pour assurer l'isolation :(.

Isoler les réseaux

C'est une bonne idée, cela introduit simplement un autre ensemble de contraintes. Notez qu'un autre nom pour un réseau Ethernet est un domaine d'échec. Isoler les réseaux signifie que lorsque le locataire 1 connecte de manière inappropriée le port LAN d’un routeur (au lieu du port WAN) au port LAN de leur mur ... ou branche un commutateur doté d’un câble reliant un port à un autre ... ils ne font pas tomber le réseau pour tout le monde dans la maison!

L’hypothèse pour le futur est que les utilisateurs disposent d’une imprimante compatible sans fil et d’un périphérique similaire à un ordinateur portable. vraiment n'aime pas les fils non plus. Dans ce cas, vous ne pouvez pas utiliser la fonction "d'isolation sans fil" de style café (nommée d'après "isolation de port" câblée) pour isoler chaque périphérique les uns des autres :(.

Désormais, chaque locataire devrait utiliser un mot de passe sans fil différent.

La solution la moins contraignante consiste probablement à supprimer complètement les ports réseau câblés; les gens peuvent toujours acheter des adaptateurs USB sans fil bon marché pour leurs ordinateurs. (Techniquement, cela répond à votre question: il n'y aurait nulle part où brancher un routeur :) Le problème des ports câblés est que leur isolement nécessite un commutateur géré. Ceux-ci sont beaucoup plus coûteux que les commutateurs non gérés. OpenWRT peut fonctionner comme un commutateur câblé géré si le matériel le supporte (support VLAN); Cependant, les périphériques OpenWRT auront tendance à ne disposer que de 4 ports LAN.

OpenWRT a quelques instructions pour isoler les réseaux sans fil - en tant que unique réseau pour les invités. ... C'est peut-être un coin que vous finirez par couper en pratique, ce n'est franchement pas bon pour la sécurité de votre locataire, mais c'est très similaire à la situation de votre réseau actuel. Sinon, vous devrez expérimenter ou faire venir quelqu'un un peu d'expérience avec l'isolation des réseaux. La configuration est dans l'interface graphique, ce n'est pas aussi moche et j'aime bien les instructions, c'est juste que c'est considéré comme un réseau d'entreprise, pas comme un réseau domestique.

Vous devrez inspecter la maison pour savoir si plus d'un point d'accès sans fil est requis. L'ajout de points d'accès secondaires est faisable bien que cela augmente la complexité. La seule contrainte est que vous devrez déterminer si vous souhaitez une solution intégrée dans laquelle les AP sont gérés par un contrôleur central. Ubiqiti en serait un exemple.

La complexité de plusieurs points d’accès est liée à l’isolation. Je recommanderais d'utiliser des VLAN Ethernet de couche 2 pour multiplexer plusieurs réseaux sans fil sur un fil, puis toutes les règles de pare-feu IP de couche 3, le serveur DHCP, etc. peuvent se trouver sur un routeur central. je pense vous pouvez utiliser un commutateur non géré pour augmenter le nombre de ports disponibles pour les points d'accès sans fil (ou, si vous n'avez besoin que de 4 ports, le matériel, par exemple pour OpenWrt, n'aura pas besoin de prendre en charge spécifiquement les VLAN, uniquement le logiciel).

Les personnes sélectionnées au hasard préfèreront le sans fil. Clairement au moins un de vos locataires l'utilise. La question se pose de savoir si vos locataires sont habitués au réseau câblé. Un exemple classique serait un "disque dur réseau". En fin de compte, ils devront peut-être payer le prix d’utilisateurs plus inhabituels.

sourcejedi
la source
1
Les points d'accès wifi Ubiquiti Unifi sont relativement peu coûteux et prennent en charge jusqu'à 4 SSID par radio (les meilleurs ont une radio 2,4 Ghz et une 5Ghz), chaque SSID peut se trouver sur son propre VLAN et vous pouvez ajouter des AP presque en toute transparence. Il existe assez peu de commutateurs contrôlés par le Web, relativement peu coûteux, avec une capacité VLAN; Personnellement, je voulais aussi un 802.3af POE pour un placard particulier, et donc utiliser un Netgear GS110TP - alimentation POE limitée et des VLAN fonctionnels. Je dirais que vous devez fournir des ports filaires à côté des ports de télévision par câble dans les chambres de vos locataires; obtenir de la vidéo en streaming sur le réseau wifi aidera énormément.
Anti-weakpasswords
Merci! Si les gens parviennent à utiliser 5Ghz, je pense qu’en gros, le diamètre de l’interférence est divisé par 2 + fournit au moins 4 canaux sans chevauchement au lieu de 3. (Wiki suggère une portée intérieure de 35 m). Les nouveaux appareils 11ac augmenteront légèrement le nombre maximal de transferts de données par opération de transmission. Le marketing implique que vous puissiez insérer 40 Mbit / s = 8 x flux vidéo HD 5 Mbit / s dans un domaine d'interférence ...
sourcejedi
Cependant, Dave Taht, de la récente fabrique de buffles tampons, affirme que les points d’accès Linux se dégradent rapidement au-delà d’un flux, car ils ne planifient pas correctement les paquets dans les agrégats tx (les txops sont limités à environ 1000 / s en raison d’interférences dorsales). Donc, si vous partagez des points d'accès, je pense que c'est un bon point pour essayer de réduire la charge de la vidéo. À moins que le facteur limitant ne soit, par exemple, une ligne DSL 5Mbps.
sourcejedi
- pour les canaux 802.11 5Ghz, cela dépend vraiment de la bande passante utilisée. Voir la planification des canaux Revolution Wifi 802.11ac revolutionwifi.net/revolutionwifi/2013/03/… - Baissez votre puissance d'émission autant que possible :). Ensuite, ajustez bien sûr votre propre domaine réglementaire.
Anti-weakpasswords
Oui, référence utile. Si vous ne pouviez pas deviner mes hypothèses - il s'agissait de "liaison par canal à vis" :) "Dans les zones à forte densité, cela devrait être de 20 MHz ... zones urbaines avec de nombreux WLAN voisins, etc." Et comme je n’achète pas les clients (ou pas comme le ferait une entreprise), je suppose qu’il n’ya pas de support DFS / "indoor", ne pas vouloir retomber à 2.4Ghz. Mon seul point de données est d’obtenir un WNDR3800 et d’être surpris de ne disposer que de 4 canaux (20 MHz) sur 5Ghz :(.
sourcejedi
1

Si vous souhaitez utiliser votre connexion comme source de profit, vous devez investir pour la rendre viable en tant que telle. Les équipements résidentiels classiques ne suffiront pas et si vous avez une connexion plus lente, ils risquent de ne pas convenir à de nombreux utilisateurs.

La façon de faire cela serait:

  • Sécurité des ports: un commutateur géré vous permettra d’enregistrer un périphérique par port et aucun autre ne peut se connecter. Cela rendrait très difficile mais pas impossible pour un locataire de connecter autre chose que le PC que vous enregistrez
  • Utilisez un portail captif avec un serveur de connexion intégré afin que chaque locataire dispose de ses propres informations d'identification qu'il doit saisir

La connexion Wi-Fi régulière sur un routeur résidentiel ne fonctionnera pas car elle n'empêchera pas les locataires de partager le mot de passe entre eux.

Linef4ult
la source
1
Fortement d'accord avec votre premier para! Tu ne dis pas Pourquoi portail captif empêcherait le partage de mot de passe si? La sécurité des ports n'est pas une mauvaise idée, elle est censée aider à éviter les boucles de pont et elle devrait empêcher la mort du serveur DHCP / IP en raison du branchement d'un routeur. Je pense que la sécurité réelle est une omission de votre réponse; Je ne recommanderais pas d'avoir un ordinateur de propriétaire et un ordinateur de locataire sur le réseau sans pare-feu entre eux.
sourcejedi
@sourcejedi J'ai un peu limité la portée pour ne pas submerger le PO. En réalité, il devrait faire appel à un professionnel, mais dans une configuration aussi petite, les finances risquent de ne pas être là. Un portail captif devrait vous permettre de le limiter à une adresse IP par compte afin que son utilisation simultanée ne fonctionne pas, ce qui en pratique empêcherait probablement le partage.
Linef4ult
Logique. Ne fais pas ça, je veux utiliser mon téléphone à la maison :). OpenWrt (et d'autres que j'ai vus) affichera les noms d'hôte DHCP; au moins, il est possible de vérifier si c'est un abus total. Vous pouvez implémenter le hack 1 IP en limitant la taille de sous-réseau des réseaux individuels. (/ 31 est une taille valide pour IPv4, je suppose que OpenWrt l’accepte parce que Linux l’a accepté. La prochaine taille serait / 30 = 3 machines clientes) J'ai peut-être oublié de mentionner cela dans ma réponse, mais je m'amuse beaucoup avec OpenWrt :).
sourcejedi