Как отделить wifi от локальной сети
Очень частой задачей является необходимость разграничить две Wi-Fi сети: офисную и сеть посетителей. Это актуально для магазинов, гостиниц, кафе, спортивных заведений и различных фирм. Суть одна и та же: нужно предоставить выход в интернет сотрудникам и клиентам, но так, чтобы гости не имели никакого доступа к корпоративной (внутренней) компьютерной сети.
В данной статье мы рассмотрим простейшую бюджетную схему организации такой сети. Так сказать, чтобы было дёшево и сердито. Итак, нам потребуется два wi-fi роутера. Подойдут самые бюджетные модели D-Link, TP-Link, ZyXEL и любые другие. Роутеры могут быть разных моделей и даже вовсе разных производителей.
Роутер №2. Второй роутер будет служить для корпоративной wi-fi сети. Он будет подключен своим портом WAN в LAN-порт первого роутера. Таким образом, интернет будет поступать на первый роутер и передаваться на второй. На втором роутере нам также нужно выбрать имя wi-fi (например, foodservice-work ) и задать для неё ключ безопасности. Этот ключ необходимо хранить в секрете и выдавать только сотрудникам предприятия, т.к. в эту подсеть будут подключены корпоративные компьютеры, серверы и принтеры. Мы рекомендуем скрыть вещание SSID для нее (соответствующая настройка в роутере называется disable SSID broadcast).
Схема должна выглядеть так, как показано на рисунке:
При таком варианте, сеть от второго роутера будет иметь доступ к интернету и, если потребуется, к сети первого роутера. А сеть первого роутера будет иметь доступ только к интернету.
Пример рекомендуемых настроек:
Настройки роутера №1:
WAN-port: согласно указаниям настройки интернет провайдера
LAN port:
IP 192.168.1.1
mask 255.255.255.0
DHCP server: enabled
Настройки роутера №2:
WAN-port: dynamic IP
LAN port:
IP 192.168.2.1
mask 255.255.255.0
DHCP server: enabled
Всем добрый день!
Подобные вопросы решать не приходилось, потому, порывшись в инете, все же хочу спросить совет.
Есть локальная сеть, инет по выделенному кабелю. На входе стоит tp-link tl-r470t+, затем свитч.
На некоторых ветках этой кабельной сети нужно дополнительно раздать wifi. WiFi обязательно должен быть полностью отделен от кабельной сети, т.е. попасть из wifi-ской сети в кабельную невозможно.
Какие купить маршрутизаторы для wifi, чтобы легко и быстро настроить раздачу wifi при полном отделении ее от локалки? Доводилось слышать, что далеко не на всех маршрутизаторах это можно сделать.
Мощность wifi не принципиальна. Бюджет ограничен.
Помощь в написании контрольных, курсовых и дипломных работ здесь
Раздать локалку провайдера через D-Link DWL-2100AP по wifi
Добрый день, Есть: - точка доступа D-Link DWL-2100AP - Локальная сеть провайдера - два ноута .
Создать локалку
Добрый вечер! Не могу создать сеть между 2 ноутами под Windows XP. Один обозначил значком в.
PFSense надо в локалку
Цель - запускать клиентов через OpenVPN c винды в локалку организации с WAN (статика белый).
В частности, есть несколько из серии asus вполне, вроде бы, вписывающихся.
Спасибо за статью. Разбираюсь. Кажется, у нас задача проще: там идет речь о двух вайфаевских сетях, а нам достаточно одной.
И можно еще несколько, возможно наивных, вопросов, чтобы разобраться.
1. Цитата из статьи:
"В самом простом варианте нам нужно организовать гостевой доступ в интернет, которой может раздаваться как роутером, так и недорогим аппаратным маршрутизатором."
Разве "маршрутизатор" не равен "роутер", но в английском варианте?
2. Цитата из статьи:
"Вот здесь и встает вопрос: как надежно разделить данные гостевой сети, . "
Разве маршрутизатор, поддерживающий гостевую сеть, не предоставляет достаточно простые механизмы такого разделения? Ну там, типа, разный диапазон адресов?
3. Некоторые маршрутизаторы поддерживают, так называемую, демилитаризованную зону.
Можно ли ее приспособить для указанных целей? Требуется ли для этого какая-то настройка компьютеров, которые будут работать в этой зоне?
Есть сеть завязанная на маршрутизаторе Tp-link tl-r600vpn, он является dhcp-сервером он же дает пользователям инет NAT. В локальной есть десктопные компы которые подключаются по витой паре, также есть лэптопы которые подключаются по wi-fi. Также есть клиенты фирмы которые тоже подключаются по wi-fi и соответственно видят всю сеть, но не должны (ГОСТЕВОЙ ДОСТУП НЕ ПРЕДЛАГАТЬ). В связи с этим появилась идея заменить работающий Tp-link tl-r600vpn, на cisco linksys ea6700wifi скрыть ssid у wifi и подключать по вай-фай те лэптопы которые являются сотрудниками. А как быть с клиентами фирмы? да еще чтобы они не видели локальную сеть? в инете нарыл, что можно подключить WAN-порт wi-fi роутера к LAN-порту маршрутизатора или свитча т.е. в моем случае tp-link tl-wr740n. подключить к linksys ea6700wifi, поменять шлюз на отличный от имеющейся сети включить dhcp-сервер. Будет ли такое работать?
Упрощенная схема для наглядности
- Вопрос задан более трёх лет назад
- 2061 просмотр
Оценить 5 комментариев
ldv: Я хочу все мобилки сотрудников в купе с клиентами фирмы подключать к другому wi-fi, а основной wi-fi использовать только для ноутов сотрудников
Шлюз по-умолчанию будет ввести в сеть 192.168.1.0/24 , а NAT на TP-LINK TL-WR740n будет маскировать весь трафик с сети 192.168.0.0/24 в адрес 192.168.1.100/150 , т.е. ничего скрыть таким образом не получится и разграничить firewall'ом на любом устройстве тоже.
Чтобы такой фокус сработал, физическая его часть должна выглядеть примерно так:
в таком варианте гости, подключенные к TP-LINK, не будут иметь маршрут в сеть сотрудников, а NAT на Linksys позволит сотрудникам видеть гостевую сеть, но не наоборот.
Оборудование Mikrotik поддерживает возможность создания гостевой беспроводной сети, подключившись к которой пользователь будет изолирован от локальной сети — он получит доступ только к Интернет. Настройку выполним в несколько этапов.
Прежде чем начать, необходимо, чтобы была выполнена базовая настройка роутера.
Создание гостевой сети
Переходим к настройке WiFi интерфейсов:
Переходим на вкладку Security Profiles - кликаем по плюсу для создания нового профиля - задаем имя для профиля и настраиваем безопасность:
* в данном примере будет создан профиль с названием profile_wifi_guest; разрешаем только WPA2; задаем ключ безопасности (пароль для подключения к WiFi).
На вкладке WiFi Interfaces создаем новый виртуальный интерфейс (Virtual):
На вкладке General задаем имя для нашей гостевой беспроводной сети:
Переходим на вкладку Wireless - задаем SSID - выбираем реальный беспроводной интерфейс (Master Interface) и профиль безопасности, который мы создали ранее:
Настройка IP-адресации
Приступим к настройке гостевой подсети. Мы назначим WiFi интерфейсу отдельный IP-адрес и зададим настройки для DHCP.
Переходим в раздел IP:
. и Pool:
На вкладке Pools создаем новый диапазон адресов:
* в данном примере мы создали список адресов 172.16.10.2-172.16.10.254. Это диапазон для гостевых клиентов — при подключении компьютер будет получать один адрес из данного списка.
Переходим в раздел IP - DHCP Server:
На вкладке DHCP создаем новую настройку:
* где Name — имя для настройки; Interface — сетевой интерфейс, на котором будет работать данная настройка DHCP; Address Pool — выбираем созданный нами пул адресов.
Теперь переходим на вкладку Networks и создаем новую подсеть, которая соответствует нашему пулу:
* где 172.16.10.0/24 — подсеть для клиентов гостевой WiFi; 172.16.10.1 — шлюз (это будет наш Mikrotik); 77.88.8.8 и 8.8.8.8 — публичные DNS от Яндекса и Google.
Осталось назначить IP для самого микротика. Переходим в IP - Addresses:
Создаем новый адрес:
* мы создадим новый IP адрес 172.16.10.1, который будет назначен роутеру гостевому интерфейсу.
Блокируем доступ к локальной сети
Гостевая сеть настроена, но пока, ее клиенты могут получить доступ к ресурсам основной сети. Для запрета настроим правила брандмауэра.
Переходим в IP - Firewall:
На вкладке Filter Rules создаем новое правило:
* мы должны создать правило в Chain forward; запрещающее запросы из локальной сети (192.168.88.0/24) в гостевую (172.16.10.0/24). В вашем случае это могут быть другие подсети.
. а на вкладке Action мы должны выбрать drop:
Теперь создаем еще одно аналогичное правило, только запрещающее запросы из гостевой сети в локальную:
Перенесем созданные правила повыше:
Если в гостевой сети нет Интернета
- Устройство, подключенное к WiFi получает IP-адрес автоматически, а не вручную.
- Корректно заданы настройки для сервера DHCP — адрес шлюза, DNS, назначен правильный интерфейс, на котором будет раздача адресов.
- Нет специально созданных правил Firewall, которые запрещают весь трафик.
- Убедиться, что микротик, в принципе, раздает Интернет.
Ограничение и лимиты
Рассмотрим некоторые ограничения, которые можно наложить на гостевую сеть.
Скорость
Чтобы уменьшить пропускную способность нашей гостевой WiFi, переходим в раздел Queues:
На вкладке Simple Queues добавляем новую очередь и на вкладке General задаем имя для настройки и выбираем интерфейс, для которого вводим ограничения, также задаем лимиты на скорость:
- Name — имя нашего скоростного ограничения.
- Target — для чего задается ограничение. Можно выбрать конкретный интерфейс или ввести адрес подсети (например, 172.16.10.0/24).
- Max Limit — максимальная скорость передачи данных.
- Burst Limit — скорость в режиме turbo.
- Burst Threshold — скорость, при превышении которой активируется режим ограничения.
- Burst Time — время в секундах для расчета средней скорости.
Нажимаем OK для завершения настройки.
Время (расписание работы WiFi)
Для включения и выключения гостевой сети мы воспользуемся встроенным планировщиком и командами:
/interface wireless set [ find name="Guest WiFi" ] disabled=yes
/interface wireless set [ find name="Guest WiFi" ] disabled=no
* где Guest WiFi — имя нашей беспроводной сети; disabled=yes — выключаем WiFi-интерфейс; disabled=no — включает.
Читайте также: