Comment créer un sous-réseau séparé pour l'accès sans fil?

12

Je dois configurer mon routeur sans fil pour que tous les appareils sans fil se trouvent sur un sous-réseau différent (192.168. 2 .1).

Les appareils sans fil devraient pouvoir accéder à Internet, mais idéalement pas aux postes de travail sur le LAN.

Voici mon réseau:

entrez la description de l'image ici

Toutes les suggestions sont les bienvenues!

Pouvoirs «dangereux» d'Austin
la source
Quels sont la marque / les modèles du routeur de passerelle par défaut et du commutateur principal? Cela peut être simple à condition qu'ils prennent tous les deux en charge les VLAN.
Paul
Un peu plus d'informations sur ce que vous exécutez actuellement sont nécessaires. S'agit-il d'un réseau domestique (je suppose que non) ou d'un réseau professionnel / professionnel? Quel modèle de contrôleur / routeur sans fil possédez-vous? etc.
Josh
Il s'agit en fait d'une organisation à but non lucratif. Je n'ai pas les modèles de routeurs avec moi en ce moment, mais ce sont tous des équipements de qualité résidentielle. Je ne pense pas que les VLAN soient une option cette fois.
Austin '' Danger '' donne

Réponses:

9

La façon d'accomplir cela en utilisant un équipement de qualité grand public utilise une configuration en Y à 3 routeurs

entrez la description de l'image ici

En configurant les deux routeurs en utilisant le même sous-réseau mais sur des "LAN" différents, il est impossible pour un réseau de parler à l'autre réseau.

Pensez-y de cette façon: vous avez un ordinateur sur le LAN A avec une IP de 192.168.1.2et un des clients sans fil sur le LAN B avec une IP de 192.168.1.3. Si sur le LAN B vous demandez 192.168.1.2(l'un des clients sans fil essayant de se connecter à un client câblé), il va au routeur du LAN B, voit qu'il s'agit d'une demande pour le 192.168.1.xsous - réseau et ne transfère pas le paquet plus loin dans la chaîne (cela pourrait mais cela n'aurait pas d'importance, voir la partie inférieure de cette réponse). Il voit également qu'il ne connaît aucun ordinateur sur 192.168.1.2(Le seul ordinateur qu'il connaisse est 192.168.1.3) et signale à l'ordinateur d'origine "l'hôte de destination inconnu". Si nous demandons une autre adresse IP autre que 192.168.1.xcelle-ci, elle utilisera la passerelle et continuera sur Internet pour essayer de résoudre votre connexion IP.

Cela vous donne une sécurité complète sur votre réseau, vous donnant deux LAN qui sont physiquement impossibles à se parler tout en permettant aux deux de se connecter à Internet.


Selon le fonctionnement du micrologiciel de votre routeur sans fil, vous pouvez le faire avec deux routeurs en déplaçant simplement la connexion du sans fil de son port LAN vers son port WAN. Cependant, vous ne pouvez le faire que si le routeur sans fil NE transfère PAS les demandes qu'il ne peut pas résoudre vers la passerelle pour son propre sous-réseau (donc dans mon exemple précédent, le routeur sans fil ne doit PAS vérifier le port WAN pour 192.168.1.2 pour la configuration à deux routeurs ). L'avantage de cela si votre routeur se comporte comme vous le souhaitez, vous n'avez pas besoin d'acheter de matériel supplémentaire.

Dans la configuration Y à 3 routeurs, peu importe si le routeur transmet les demandes ou non car sur le réseau local Y il n'y a pas d' 192.168.1.xordinateurs, seuls les deux routeurs sont des interfaces WAN qui sont les deux 192.168.0.x.


Voici un nouveau diagramme plus proche de votre diagramme d'origine pour vous aider à l'expliquer. entrez la description de l'image ici

Scott Chamberlain
la source
Donc, juste pour vérifier - il n'y aurait pas de connexion physique entre les 2 routeurs en bas du diagramme? Et ces 2 routeurs (192.168.1.101 et 192.168.1.102) sont connectés au routeur passerelle par leurs ports WAN?
Austin '' Danger '' se propulse
@Dan Correct, dans le schéma ci-dessus, le bleu clair correspond aux ports WAN et l'orange aux ports LAN. Cependant, une correction à propos de ce que vous avez dit, vous avez mal l'adresse IP des ports WAN. Tous les ordinateurs au-delà du 2e ensemble de routeurs (sur les deux réseaux) ont des IP dans la plage 192.168.1.x, mais toutes les machines du réseau Y (et dans cette configuration, il ne devrait s'agir que du côté LAN du routeur Internet et les deux sous-routeurs côté WAN) auront des IP dans la plage 192.168.0.x.
Scott Chamberlain
@Dan Ajout d'un nouveau diagramme pour être plus proche de celui d'origine pour aider à expliquer.
Scott Chamberlain
1
Vous pouvez également le faire dans des routeurs grand public si vous utilisez un micrologiciel personnalisé plus puissant (dd-wrt, tomato, etc.) qui vous permet d'écrire directement dans la iptablescommande du système Linux sous-jacent .
Scott Chamberlain
1
@ toffee.beanns Non, cela ne peut pas. L'intérêt de cette configuration est d'empêcher les ordinateurs portables invités sur le wifi d'accéder à tout ce qui n'est pas sur le wifi.
Scott Chamberlain
3

Je suppose que votre routeur sans fil est inférieur à 100 $ que vous achèteriez dans un grand magasin.

Vous avez vraiment besoin d'un routeur avec 3 interfaces. Un PC exécutant Linux avec 3 cartes réseau le fait très bien - une carte réseau est le WAN, l'autre carte réseau est connectée à vos hôtes LAN et la troisième à laquelle votre routeur sans fil est branché. Vous pouvez ensuite exécuter un DHCP sur la boîte Linux en écoutant et en donnant des IP sur l'interface LAN et WLAN.

Vous êtes dans un peu de iptablesconfiguration afin de vous assurer que les hôtes WLAN ne peuvent pas parler aux hôtes LAN (relativement simple car ils sont sur des sous-réseaux séparés).

Vous pouvez également placer les hôtes LAN derrière leur propre routeur et configurer tous les paramètres du pare-feu SPI sur le routeur sans fil et câblé pour supprimer le trafic de l'autre sous-réseau. Notez que dans cette situation, vous aurez besoin d'un serveur DHCP distinct exécuté sur chaque sous-réseau car le trafic de diffusion n'est pas transmis par les routeurs.

Vous pouvez également, si le routeur sans fil le prend en charge, lui dire de bloquer tout le trafic sortant provenant de derrière lui vers le sous-réseau sur lequel se trouve votre réseau local câblé.

LawrenceC
la source