AP Isolation nefunguje
Zdravím,
mám tu problém se zabezpečení sítě, vedle v hospodě mám wifi router připojenej LAN-LAN k hlavní routeru v druhé budově a nechci, aby se na něho připojený stroje nedostali k počítačům u nás - připojených do hlavního routeru a switchů. Zapnul jsem AP isolation s tím, že by to mělo zablokovat přístup z wifi k počítačům s místní IP (10.0.0.x). Když jsem v místní síti viděl stroje připojený v hospodě, zdálo se mi to divný a vyzkoušel s noťasem se dostat do počítačů z té otevřené wifi a bez problémů!
Tak prosím poraďte jak to mám vyřešit, proč AP isolation nefunguje? Sdílení souborů mám sice zabezpečené ještě heslem, ale chci mít jistotu.
Předem díky
Tak jsem si konečně na to našel čas, do routeru jsem nahrál DD-WRT, ale potřebuji poradit jak to nastavit, ať přes firewally nebo vlan. V rozhraní to opravdu není nebo to nedokážu. Navíc jsem zjistil, že do LAN routeru je ještě připojenej jeden počítač. Prosím mě prosím zkuste vést, co mám udělat.
Pro jistotu připojuji schéma zapojení
A chces oddelit iba tych wifi klientov na wifi routri hej? DHCP server mas iba na hlavnom routri?
Aby si mohol pouzit vlany, tak okrem dd-wrt na routroch by to chcelo pouzit aj manazovatelny switch.
No právě, ten switch nemáme a nechce se mi shánět další krabičky :D Teď mám DHCP natom hlavním a všechno ostatní bere adresy z něj. A ano, chci oddělit pouze klienty na wifi.
aha. v tom případě zapomeň na to spodní schéma. Bohužel se to ale trošku zkomplikuje, protože budeš muset udělat 2 věci:
1. wifi přehodit do další VLAN
2. na tuto VLAN nasadit DHCP server
3. tuto VLAN odroutovat do LAN
4. nastavit firewallová pravidla: forwarding povolit pouze pro IP adresu hlavního routeru, ostatní LAN IP adresy zakázat.
Dobře, zkusím to, snad to zvládnu.
V první řadě to máš blbě.
Je třeba to zapojit takto:
Následně port routeru ke kterému je připojen ten druhý router nastavíš na VLAN2, zbytek portů + wifi na VLAN1. WAN port hlavního routeru samozřejmě bude trunking port, tedy bude členem obou VLANek. Díky tomu, že máš druhou VLAN s dalším routerem, je to jednodušší, nemusíš si hrát s druhým DHCP serverem pro další VLAN a jednoduše nastavíš IP adresu WAN portu napevno. Za tím routerem nezapomeň změnit síť, aby fungovalo směrování.
To je ten problém, hlavní router a zařízení na ten switch i wifi router jsou každý v jiné budově a mezi nimi vede 1 kabel a další tam nedostanu. Kdybych to mohl zapojit jak píšeš, tak bych to tady neřešil.
Tak vyřešeno
Nakonec jsem použil řešení od nl12345 - wifi router jsem zapojil WAN portem, zapnul DHCP na 192.168.1.x a ve firewallu přidal pravidlo "-iptables -I FORWARD -d 10.0.0.1/24 -j DROP", takže se nic připojené na wifi routeru nedostane do sítě 10.0.0.x (adresy přidělované hlavním routerem). Myslel jsem, že nepůjde internet, protože se nepůjde připojit ani na hlavní routeru, ale zdá se že to není problém.
Díky moc vám všem za pomoc
v tom případě ale drátoví klienti na wifi routeru jsou odříznutí taky...
a proč by nešel? přece cílová adresa pro internet v hlavičce paketu nemůže být z LAN "hlavního" routeru a DNS dotazy zpracovává forwarder, který ale běží na wifi routeru, a tedy se jej forward tabulka a její pravidla netýká.
To nevadí, drátově je tam připojen 1 počítač v hospodě kde se jenom přijimají sázky a potřebuje jenom net.
nl12345 napsal, že musím zablokovat všechny IP kromě hlavnho routeru, tak jsem pochopil, že by nešel ani internet. Zdálo se mi to divný, ale já nejsem žádnej odborník, nikdy jsem nezjišťoval jak přesně sítě fungují, odhadoval jsem to pouze z toho jak se chovají.
To s tym hlavnym routrom som si neuvedomil, ze nepotrebuje byt vo vynimke, ale som tad tym ani moc nerozmyslal. Zas zadanie bolo, ze sa nemaju vidiet navzajom pocitace, takze to moje riesenie splnovalo
Pre to co potrebujes bola vytvorena funkcia SIET PRE HOSTI.
Ten kto sa pripoji k wifi siet pre hosti nema pristup k zariadeniam v sieti a prijma iba jedine internet.
Tuto funkciu ponukaju napriklad routeri TP LINK.
Myslíš, že to od toho roku 2012 ještě nevyřešil? Zvláště když to je označené jako Vyřešeno.