Como criar uma sub-rede separada para acesso sem fio?

A maneira de conseguir isso usando equipamentos de nível de consumidor está usando uma configuração Y de 3 roteadores

Aodefinirosdoisroteadoresusandoamesmasub-rede,masem"LANs" diferentes, é impossível que uma rede converse com a outra rede.

Pense desta maneira: você tem um computador na LAN A com um IP de 192.168.1.2 e um dos clientes sem fio na LAN B com um IP de 192.168.1.3 . Se na LAN B você solicitar 192.168.1.2 (um dos clientes sem fio tentando se conectar a um cliente com fio), ele acessará o roteador da LAN B, verá que é uma solicitação para a sub-rede 192.168.1.x e não encaminhará o pacote mais adiante acima da cadeia (poderia, mas não importaria, veja a seção inferior desta resposta). Ele também vê que não sabe de nenhum computador em 192.168.1.2 (o único computador que conhece é 192.168.1.3 ) e relata para o computador original "host de destino desconhecido". Se solicitarmos outro IP diferente de 192.168.1.x , ele usará o gateway e continuará na Internet para tentar resolver sua conexão IP.

Isto dá-lhe uma segurança completa na sua rede, dando-lhe duas LANs que são fisicamente impossíveis de falar umas com as outras, permitindo ainda que ambas se liguem à Internet.

Dependendo de como funciona o firmware do seu roteador sem fio, você poderá fazê-lo com dois roteadores movendo apenas a conexão da rede sem fio da porta LAN para a porta WAN. No entanto, você só pode fazer isso se o roteador sem fio NÃO encaminhar solicitações que ele não consiga resolver para o gateway da sua própria sub-rede (no meu exemplo anterior, o roteador sem fio deve NÃO verifique a porta WAN para 192.168.1.2 para a configuração de dois roteadores). A vantagem disso, se o seu roteador se comporta da maneira que você quer, não precisa comprar nenhum hardware adicional.

Na configuração de 3 roteadores Y, não importa se o roteador encaminha solicitações ou não, porque na rede Y não há 192.168.1.x computadores, somente os dois roteadores de interfaces WAN que são ambos 192.168.0.x .

Aqui está um novo diagrama que está mais próximo do seu diagrama original para ajudar a explicá-lo.

Suponho que o seu roteador sem fio seja de menos de US $ 100 e que você compraria em uma loja de departamentos.

Você realmente precisa de um roteador com 3 interfaces. Um PC rodando Linux com 3 placas de rede faz isso muito bem - uma NIC é a WAN, a outra NIC é conectada a seus hosts da LAN e a terceira é conectada ao roteador sem fio. Você pode então executar um DHCP na caixa do Linux ouvindo e distribuindo IPs na interface LAN e WLAN.

Você precisa de um pouco da configuração iptables para garantir que os hosts da WLAN não possam se comunicar com os hosts da LAN (é relativamente simples, já que estão em sub-redes separadas).

Você também pode colocar os hosts LAN por trás de seu próprio roteador e configurar quaisquer configurações de firewall SPI no roteador sem fio e com fio para eliminar tráfego da outra sub-rede. Observe que, nessa situação, você precisará de um servidor DHCP separado em execução em cada sub-rede, pois o tráfego de difusão não é encaminhado pelos roteadores.

Você também pode, se o roteador sem fio oferecer suporte, informar que bloqueia todo o tráfego de saída originado por trás dele para a sub-rede na qual sua LAN com fio está ligada.