Wifi Guest na AP
Dobry den,
nejsem specialista sitar, ale taky nejsem uplna lama. Resim ted na nekolika mistech stejny problem. Od ISP mam router, ktery mi resi DHCP a NAT. Nicmene je umisten mimo obytne casti, pro mam pak v mistnostech umisteny WIFI AP, na kterych ikdyz zapnu moznost wifi guesta, tak guest se dostane vsude do LAN protoze pres router od IPS nakonec muze vsude. Kdyz nastavim wifi guesta na routeru na pude tak to sice funguje jak ma, ale nikdo si k te wifi nepripoji protoze ji mimo dosah. Zkousel jsem i ty AP prepnout do rezimu routeru a vytvaret jakoby podsite, ale stejne jsem pak vsude prolezl. Nevite nekdo prosim jak to vyresit.
Dekuji LD
Lan vytvor na tom mieste tam kde máš aj guest, potom to bude oddeľovať ten konkrétny router/ap. Prípadne použiť nejaké oddelené ip rozsahy a pravidlá. Proste treha sa odraziť od toho čo ponúka ten bližší router (v tvojom prípade asi to AP, neviem ako to máš nastavené).
jakou lan ip ma router? jakou ip jsi nastavil tajnemu ap?
a pozadavek je, ze wifista nema z ap videt na lan kramy, nebo maji byt na wifi ruzne vlany?
anebo je to uvnitr bytu a jde jen o zbytecnou komplikaci?
Hlavni router ma klasicky 192.168.1.1 na 255.255.255.0. AP s wifi ma 192.168.1.30. Topologie vypada tak, ze z hlavniho routeru vede kabel do 24port switche do ktereho jsou zapojena vsechna zarizeni vcetne tech AP.
ok. a ten ap má oddělovat hosty připojené na sebe? je tam více ap a ti všichni nemají brouzdat v lokální lan - chápu to dobře?
v routeru je na to funkce ap isolation, ale u fyzicky samostatného ap to asi nepude.
spíš by to vedlo na využití vlan, pak už záleží co je to za router a za ap. v této chvíli by spíš chrochtali blahem nastavovači mikrotiků.
ale možná to celé chápu špatně.
Vize je takova, ze navsteva co prijde a pripoji se na “guest wifi” na tom 1.30 AP bude mit pristup pouze ven na net a ne jinam v LAN. Nevim jestli by pomohlo kdybych APčko prepnul do router mode a nastavil mu treba 10.0.0 sit….??
já si myslím že ap mode stále tajného typu ap to nedá, že opravdu potřebuje router s wan vstupem. a tam je to klasická "síť pro hosty", kterou už má ve fw kdekdo.
že si přidělám pro návštěvy nat navíc - no bože. pokud jim funguje google a jízdní řád, co více potřebují.
Ja jsem AP zkozsel prepnout do rezimu router, kdy jsem hrho “privodni” eth kabel strcil do jeho wan portu, jenomze stejne ten guest mohl lezt vsude protoze ta jeho “wan” byla defakto cela lan… Muzete prosim rozvest myslenku s NATem??
nemůžu a možná ani jiné lidi takový výslech nebaví.
dokud bude typ druhého ap tajný, těžko radit něco rozumného, co to umí za režimy.
tady už jen spekuluju, ale bez informací je to těžké. to má ten tajný 2.zařízení stejný rozsah adres na vstupu wan i na výstupech lan?
edit: ale to je blbost. laik, který se takto ptá, sám neumí nastavit statické ip a spoléhá jen na přidělené dhcp.
mohl by aspoň vědět,
- ze kterého routeru dostane přidělenou funkční adresu a dostane se na net.
- a kde nemá rozumné nastavení a internet není.
a nad tím nenastavením konkrétního hardware bádat.
edit: zbytečné spekulace. proč je zakázané přečíst si typ toho ap a napsat ho sem?
Nic neni zakazane....nevim jak jste na to prisel...??? Resim to na dvou lokacich, doma a kancl. V obouch pripadech jsou AP asus rt-ac68u. Router je v jednom pripade RT-AC55u a v druhem pripade Microtic. DHCPko bezi na routerech a APcka maji nastavenou statickou ip z rozsahu daneho dhcpka.
Dokonca ani vo firmenom prostredí namusí vadiť, že guest vidí stroje v iných sieťach. Mali sme to tak isto v prostredí s 5000 počítačmi. Videli sme servery, tlačiarne vo všetkých pobočkách dvoch štátoch a nikdy nebol problém, pretože tie veci sú zaheslované a nikto sa tam ani omylom nedostane. Všetky tie siete boli monitorované a všetky prístupy a to aj tie náhodné boli zaznamenávané.
Toto je silne nestadardne riesenie vo firemnom prostredi, ostatne od toho su vlany a pouzivaju sa ako standard vo takomto segmente.
No veď vlany sa používali, ale na konkrétnej vlane viselo niekoľko spolupracujúcich úsekov, ktoré medzi sebou úzko spolupracovali, takže oprávnení užívatelia mali k príslušným veciam prístup. Ani ja ako admin som nemal prístup všade. Adminov bolo u nás hodne, každý pre určitú oblasť.
Na oddelovanie sietí sa používa router a nie AP, ktorý sa dá chápať ako switch. Nemusí to NAT-ovať.
Ja to AP muzu prepnout do rezimu Router ale to moc nevim jestli si pomuzu, kdyz nad nim je zvytek LAN.
Router oddelí a ochráni tvoju sieť a nie tie iné siete do ktorých prolézaš. Ak chceš chrániť aj tie iné siete, alebo iných užívateľov, tak každému nainštaluj router pred ten router od ISP, alebo sa dohodni s ISP nech každému nastaví iný rozsah siete na tom hlavnom routri.
Riesit sa to urcite da a to mnohymi sposobmi, ale nema zmysel sa tym zaoberat kym tazatel nenakresli sucasnu mapu siete, neda tam nazvy routrov a nenapise rozshay, co ktory zabezpecuje a pod.
Zasílám mapu sítě s popisem, v případě dalších dotazů jsem k dispozici...
https://www.uschovna.cz/zasilka/KUFF8FXX226J9FBF-44E
Toto je v mé malé kancelářičce, doma je situace obdobná, ale router je Microtik.
Děkuji
Blbe je, ze mas krabicky, ktore neviem co zvladaju...ako poznam Asus tak asi nic moc.
Spravil by som teda guest siet na tych Asusoch a pridelil im iny rozsah.
Kedze switch predpokladam je nemanazovatelny a nie som si isty, ci AP zvladaju vlany, pri inom rozsahu dosiahnes aspon to, ze sa nebudu po sieti sirit broadcasty medzi tvojou lan a guest sietou a tak bude lan pre hosti "neviditelna".
Teoreticky je mozne, ze Asus vie blokovat u seba packety medzi LAN a guest...ak by ano tak by sa "neviditelnost" mohla zmenit aj na neviditelnost.
Na MT alebo UBNT by som to slo spravit lahko...len tieto SOHO krabicky maju dost obmedzene moznosti nastavenia.
Myslím, že najprv je potrebné vedieť aký typ neviditeľnosti sa má dosiahnuť. Súčasné operačné systémy používajú rôzne protokoly na to aby na seba videli, prípadne videli na media servery.
Blokovať to treba v nastavení firewallu špeciálne vo firevalle pre guesta a táto vec je len na lepších routroch ako napr. Mikrotik kde sa dajú špecifikovať vlastné pravidlá pre firewall.
Ak je to myslené vážne doporučil by som tazatelovi všade osadiť Mikrotiky a naštudovať ako sa tvoria firewall pravidlá.
Ja si myslim, ze mu ide len o viditelnost cez smb/cifs, takze ak zvoli 2 rozsahy nebudu hostia vidiet jeho lan.
Samozrejme keby to mal cele na niecom rozumnom (rozumej MT) tak si nastavi co potrebuje a nema s nicim problem.
Ok, mozno s wifi prenosom;o).
OT:
Kupil som Archera C6, zajtra mi pride idem ho testnut oproti ac2, ac3. Podpora MT chce odo mna suppout pocas prenosu a idu hladat chybu v nastaveni AP, co je slepa cesta, takze zvolim metodu pokus omyl. Premyslam este nad Tenda AC23, co je u mna pseudoznacka, ale cenovo sa blizi AC2, takze uvidime ako si poradi pri testoch.
Ked si tu kedysi vykrikoval ake ma MT problemy pre 5GHz spochybnoval som to, pretoze som ho nikdy nehnal na maxima...mne rychlosti cez 100Mb stacili, ale evidentne si mal pravdu. Takze dodatocne ti to uznavam;o).
Verím, že existujú aj jednoduchšie hračky ako Mikrotik, ktoré majú guesta už prednastaveného tak ako požaduje tazateľ, akurát nemám znalosť ktoré to presne sú.
Tak oni toho guesta umi ty asusy, problem je v tom, ze na APcku to nefunguje, protoze nad nim je stale cela LAN. A na routeru kde by to fungovalo to zase nema smysl, protoze ten je pozicne mimo mistnosti kde je wifi potreba.
Stále môžeš presunúť ten hlavný router na lepšie miesto (maximálne bude nutné potiahnuť ešte jeden kábel).
Alebo to potom celé vymeniť za ucelené riešenia, ako napríklad to ubiquiti. A budeš mať ľubovoľnú wifi na ľubovoľnom ap. Centrálne spravované.
Dik za uznanie. Inak videnie okolitých počítačov sa na Linuxe už hodne dávno rieši cez mDNS. Windows pozná niečo podobné pod názvom Zero configuration.