J'ai quelques appareils connectés à Internet pour lesquels je ne crois pas en la sécurité, mais que j'aimerais quand même utiliser (une télévision intelligente et certains appareils d'automatisation domestiques disponibles dans le commerce). Je ne les veux pas sur le même réseau que mes ordinateurs.
Ma solution actuelle consiste à brancher mon modem câble à un commutateur et à connecter deux routeurs sans fil au commutateur. Mes ordinateurs se connectent au premier routeur, tout le reste se connecte au second routeur.
Est-ce suffisant pour séparer complètement mes ordinateurs de tout le reste?
En outre, existe-t-il une solution plus simple utilisant un seul routeur qui ferait effectivement la même chose? J'ai les routeurs suivants, tous deux avec DD-WRT :
Netgear WNDR3700-v3
Linksys WRT54G-v3
Tous les périphériques (sécurisés et non sécurisés) se connectent sans fil, à l'exception d'un seul ordinateur sur le réseau sécurisé.
Réponses:
Oui, votre solution est également acceptable, mais augmente d'un saut de commutation et de la surcharge de configuration. Vous pouvez y parvenir avec un seul routeur en procédant comme suit:
J'espère que cela t'aides!
la source
C'est tout à fait possible, mais j'aimerais d'abord aborder quelques points.
Il est intéressant que les deux routeurs aient un accès Internet quand votre modem câble semble être juste un modem. Est-ce que votre FAI fait NAT? Sinon, je vous recommande de retirer le commutateur (s'agit-il vraiment d'un commutateur ou est-il capable de NAT?) Et de placer l'un de vos routeurs DD-WRT en guise de passerelle. Votre configuration actuelle telle quelle (sans savoir sur quel port les routeurs ont été câblés) peut soit avoir des conflits d’adresses IP, soit subir occasionnellement des pertes de connectivité aléatoires et sporadiques sur l’un ou l’autre réseau.
Oui, mais il faudra un peu de travail de configuration et quelques tests. J'utilise moi-même une configuration similaire pour séparer un réseau invité. La méthode que je vais décrire ci-dessous n'implique pas de VLAN.
DD-WRT (entre autres) prend en charge la création de plusieurs SSID sur le même AP. La seule chose à faire est de créer un autre pont, de l'affecter à un autre sous-réseau, puis de le désactiver du reste du réseau principal.
Cela fait un moment que je ne l'ai pas fait pour la dernière fois, mais cela devrait aller quelque part comme ça (préparez-vous à perdre la connectivité):
Network Configuration
àBridged
, activez-leAP Isolation
à votre guisebr1
- être ?br1
à Interfacewl.01
ou le nom de son interface [^ virtif], enregistrez et appliquezSous Plusieurs serveurs DHCP, cliquez sur Ajouter et attribuez-le à
br1
Allez dans Administration => Commandes et collez-les (vous devrez peut-être ajuster les noms d'interface) [^ note2]
iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -j REJECT
Et cliquez sur Save Firewall
Vous devriez être tous ensemble, je pense
Pour plus de détails, vous pouvez consulter http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/
Une mise en garde à cet égard est que cette configuration est efficace uniquement pour le routeur / AP de passerelle. Si vous voulez que la même configuration fonctionne pour l'autre routeur, vous devrez utiliser des VLAN. La configuration est similaire, mais elle est un peu plus complexe. La différence ici est que vous devrez configurer et relier un nouveau VLAN au SSID IoT et peut-être appliquer des règles de routage.
[^ virtif]: Le premier est généralement l'interface physique et souvent appelé wl0. Vos interfaces virtuelles (jusqu'à trois si je ne me trompe pas) seront appelées wl0.1, wl0.2, etc.
[^ brname]: Ce sera le nom d'interface que DD-WRT donnera à l'interface de pont.
[^ ipaddr]: Supposons que votre réseau principal est le 172.16.1.0/24, donnez
br1
l'adresse 172.16.2.0/24.[^ nDS]: Si vous avez une Nintendo DS, vous devrez utiliser WEP. Vous pouvez également créer un autre SSID uniquement pour le NDS et le ponter
br1
par commodité.[^ note1]: À ce stade, après avoir appliqué les paramètres, tout ce qui se connecte au SSID IoT est désormais attribué à un autre sous-réseau. Cependant, les deux sous-réseaux peuvent toujours communiquer l'un avec l'autre.
[^ note2]: Ce bit pourrait nécessiter du travail.
la source
En supposant que votre connexion du routeur 1 au commutateur utilise le
WAN
port du routeur et que vous ne partagez pas les réseaux WAN et LAN dans OpenWRT (ce qui signifie que vous n'avez pas modifié les paramètres par défaut ni effectué le câblage de la même manière que lorsque vous êtes connecté directement au modem), vous êtes surtout bien.Bien entendu, vos périphériques sur le routeur 2 peuvent envoyer du trafic à n'importe qui, ce qui peut être un problème en soi (statistiques d'utilisation, images de caméra, son via des microphones, informations sur le WLAN, les récepteurs GPS, etc. en fonction des périphériques).
Vous pouvez configurer vos ports séparément et acheminer le mauvais trafic séparément du bon trafic. Votre mot clé serait
DMZ
, il y a beaucoup de tutoriels disponibles.Si vous voulez avoir plus de complexité, vous pouvez également activer les VLAN, ce qui vous permet de placer des périphériques supplémentaires compatibles VLAN derrière le routeur et de connecter les deux types de périphériques, ce qui vous permet de créer votre maison entière comme si chaque périphérique était branché directement un port de l’un des deux routeurs, même si vous n’avez qu’un seul routeur et 5 commutateurs derrière lui en guirlande ... mais ne le faites que si vous devez le faire, car le risque d’erreur est important et l’avantage dépend de votre câblage ( quasiment aucune lors de l’utilisation de la topologie en étoile, idéal pour la topologie en anneau).
la source
Certains routeurs Wi-Fi grand public ont un "Mode Invité", à savoir un réseau séparé du réseau normal.
Vous pouvez restreindre vos périphériques non approuvés à l' AP "Invité" .
Ce n’est pas que chaque routeur doté de cette fonctionnalité est particulièrement sécurisé.
Bien que l'article Avertissement: «Mode invité» sur de nombreux routeurs Wi-Fi n'est pas sécurisé parle de l'insécurité, le principal défaut dont ils discutent est la confidentialité. Si vous ne vous souciez pas de savoir si votre téléviseur compatible avec le réseau appelle chez vous pour dire au fabricant ce que vous regardez, alors peu importe si les voisins le regardent.
la source
La plupart des routeurs WiFi domestiques vous permettent de configurer un "réseau invité". Ce réseau local sans fil est autorisé à se connecter à Internet, mais pas aux périphériques situés sur les réseaux locaux câblés ou sans fil principaux. Vous pouvez donc mettre les périphériques IoT sur le réseau sans compromettre vos ordinateurs.
la source
Créer un réseau distinct devrait être le meilleur moyen de garder les périphériques non sécurisés à l'écart de votre réseau local sécurisé afin d'empêcher les utilisateurs / périphériques malveillants d'accéder aux fichiers partagés ou aux périphériques en réseau. Pour ce faire, vous devez activer le réseau GUEST. Utiliser les fonctionnalités Netgar WNDR3700v3 avec des mots de passe forts et différents.
Désactiver l'UPnP
Désactiver l'accès à distance à vos routeurs via le WIFI
De même, ne connectez pas les périphériques non sécurisés sauf si vous en avez besoin.
la source