Modo Wi-Fi convidado em um roteador secundário

Navegue suas respostas
6

Estou tentando configurar um roteador como um ponto de acesso WiFi secundário, que fornece acesso à Internet, mas impede o acesso à rede local.

O roteador suporta ambos, mas não consigo fazer isso funcionar.

Minha configuração é a seguinte:

  • roteador principal + Modem emitido pelo meu provedor, localizado na adega (com capacidade WiFi, mas sem recepção fora da adega)
  • vários PCs conectados por cabo LAN ao roteador principal
  • roteador secundário (NetGear WGR614v10) conectado pelo cabo LAN ao roteador principal. O roteador NetGear deve servir como um ponto de acesso sem fio, mas os clientes sem fio não devem ver as máquinas na rede local. Para isso, o roteador NetGear suporta o "modo visitante", que faz exatamente isso: permite que os clientes WiFi acessem a Internet, mas não outras máquinas locais.

Eu tentei várias configurações:

  • NetGear conectado pela porta WAN à rede local.
    Internet funciona dessa maneira, mas as máquinas wifi podem acessar outras máquinas locais. Isso é lógico: a rede local está no lado WAN do roteador netgear, portanto, da perspectiva do roteador, eles pertencem à internet, não à LAN
  • NetGear conectado pela porta LAN. DHCP desativado no NetGear.
    A Internet funciona se eu também permitir acesso à rede local, mas não funciona com o modo visitante.
    Isso é lógico: o gateway para a Internet tem um endereço local e os clientes de Wi-Fi não têm permissão para acessar endereços locais.
  • NetGear conectado a portas WAN LAN e .
    Não funciona também, eu acho que porque o servidor DHCP ainda é o roteador principal, então ele irá enviar a rota errada para os clientes wifi. Pode funcionar se os clientes de Wi-Fi tivessem configurações de IP fixas, mas isso não é uma opção obrigatória para os convidados.
  • NetGear conectado a LAN e portas WAN e DHCP reativado; Usando os dois roteadores como servidores DHCP com intervalos IP não sobrepostos na mesma sub-rede. Também não funciona, e não tenho ideia do que está acontecendo.

Basicamente, eu principalmente entendo porque as duas primeiras configurações não funcionam.
Mas não tenho ideia de qual seria a configuração correta, para algo que parece ser uma característica básica de praticamente qualquer roteador moderno.

Minhas respostas a algumas das perguntas abaixo, já que havia muitas para comentários:

Did you try connecting the WAN of NetGear to a LAN on the other router and then disabling DHCP on NetGear and enabling "Guest mode"?

Acho que, se eu fizer isso, não haverá mais nenhum servidor DHCP na rede Wi-Fi. O roteador netGear não faz a ponte entre as solicitações DHCP entre LAN e WAN, portanto, as máquinas convidadas não funcionariam a menos que seu IP fosse configurado manualmente

The solution would be to reverse the routers, connect the WAN port of the NetGear to the modem, and connect the other router's WAN to a LAN on the NetGear. [...] Plug the both routers into the modem (if possible - if you don't have enough ports, but a switch in between).

Infelizmente, o primeiro roteador é o modem. Eu não posso trocar esse porque ele é configurado pelo provedor.

Suggestion

You could try having one subnet with two DHCP servers, serving a different range.

Eu tentei isso, a conectividade básica funciona, mas estou um pouco preocupado com o que aconteceria se novos computadores fossem conectados à rede. Pelo que entendi, eles escolherão aleatoriamente um dos dois servidores DHCP para obter uma concessão. O grande assassino, no entanto, é que assim que eu habilito o modo visitante, ele pára de funcionar novamente.

    
por HugoRune 06.05.2013 / 17:24

3 respostas

1

Eu consegui que funcionasse com um pequeno truque, usando máscaras de sub-rede não padrão:

A LAN interna do roteador principal está definida para:

  • IP do roteador: 192.168.1.252
  • Máscara: 255.255.255.0
    (IPs tão válidos nesta sub-rede estão no intervalo 192.168.1.0-192.168.1.255)

O roteador secundário está conectado por meio de sua porta WAN ao primário.
Sua configuração de LAN interna está definida para:

  • IP do roteador (roteador secundário): 192.168.1.1
  • Máscara: 255.255.255. 128 (== .10000000b)
    (IPs tão válidos nesta sub-rede estão no intervalo 192.168.1.0-192.168.1.127)

A configuração da sua WAN está definida para:

  • Gateway: 192.168.1.252 (o roteador principal)
  • IP do roteador: 192.168.1.249 (o IP externo do roteador secundário)
  • Máscara: 255.255.255. 248 (== .11111100b)
    (IPs tão válidos nesta sub-rede estão no intervalo 192.168.1.248-192.169.1.255)
    (isso foi necessário porque a WAN e a LAN podem não ter sub-redes sobrepostas

Dessa forma, o roteador secundário pode acessar o roteador principal e os clientes conectados ao roteador secundário também podem acessar o roteador principal e, por meio dele, a Internet.

Mas os clientes no roteador secundário não podem acessar nenhum cliente na sub-rede do roteador principal com IPs entre 192.168.1.0 e 192.168.1.128. Esse intervalo de IP não é encaminhado pelo roteador secundário, já que é também a sub-rede local do secundário.

Assim, o modo de convidado não é mais necessário no roteador secundário, os clientes no secundário simplesmente não podem ver os clientes no principal, a menos que esses clientes tenham um IP maior que 192.168.1.128. Seria ainda melhor se eu pudesse bloquear todos os IPs inferiores a 248, mas não acho que isso seja possível com máscaras de sub-rede.

A ativação do modo convidado com o isolamento sem fio também impedirá que os computadores convidados se conectem a outras máquinas convidadas ou ao roteador secundário.

Nada impede que máquinas guest se conectem ao roteador principal, uma vez que essas solicitações ainda são encaminhadas pelo secundário, mas uma boa senha deve ser suficiente para esse caso.

    
por 07.05.2013 / 11:58
2

Se você considerar o lado LAN / WLAN do roteador principal (ou seja, o (s) segmento (s) de rede entre o roteador principal e o roteador secundário) como parte da "rede local", os dispositivos da rede convidada não devem ter acesso a, em seguida, um roteador secundário não pode fornecer acesso à Rede Guest somente para a Internet sem a cooperação do roteador principal.

O tráfego da Rede de Convidados para / da Internet deve cruzar o mesmo link entre os dois roteadores como tráfego de rede local. Mas, se você quiser separá-lo da rede local, ele precisará ser encapsulado ou marcado de alguma forma que o separe do tráfego da rede local. Mas se esse tráfego for segregado por meio de, digamos, marcação de VLAN ou algum tipo de tunelamento de camada superior, o roteador principal precisará saber como fazer a coisa certa com esse tráfego (isto é, decapsulá-lo e enviá-lo apenas à Internet, e não deixá-lo rota de volta para a LAN).

Não sei se algum equipamento Netgear tem suporte para esse tipo de funcionalidade "Guest Network Extension", em que o roteador principal atua como um dispositivo com VLAN ou ponto de extremidade de encapsulamento para que os roteadores secundários possam encaminhar o tráfego Segregated Guest Network para isso.

Eu sei que o Apple AirPort Extreme / Express / Time Capsules a partir do firmware 7.6.3 suporta isso. Se você tiver um AP da Apple como seu roteador principal (no modo NAT) e tiver a Rede de convidados habilitada, e outro AP da Apple como seu "roteador" secundário (na verdade, em modo bridge, não sendo realmente um "roteador") Com a Guest Network ativada, o AP secundário encaminhará o tráfego da Guest Network para o AP principal, mas a VLAN marcará o tráfego para que seja separado do tráfego da LAN local. O AP principal também assina a mesma VLAN e sabe encaminhar o tráfego dessa VLAN para a Internet, mas não de volta para a LAN local.

    
por 06.05.2013 / 21:20
2

NetGear conectado através da porta LAN. DHCP desativado no NetGear.

Isso pode funcionar, mas certifique-se de que ambos os roteadores tenham as mesmas configurações do servidor DHCP antes de desativá-lo no NetGear.

Acho que o NetGear pode ficar confuso sobre o que é o gateway para a rede. Talvez se pudermos consertar isso, permitiria o tráfego para a internet novamente.

Você tentou conectar a WAN do NetGear a uma LAN no outro roteador e, em seguida, desabilitou o DHCP no NetGear e ativou o "Modo Convidado"?

Não conecte as portas WAN e LAN do NetGear ao outro roteador

Você terá dois servidores DHCP na mesma rede, isso não é bom

Mesmo que você desative o DHCP em um roteador, ainda não faz sentido conectar LAN e WAN.

Sugestão

Você pode tentar ter uma sub-rede com dois servidores DHCP, atendendo a um intervalo diferente.

  • Conecte a WAN do NetGear à LAN de outro roteador.
  • IP de outro roteador: 192.168.1.1
  • IP do NetGear: 192.168.1.2
  • Intervalo do servidor DHCP de outro roteador: 192.168.1.51 a 192.168.1.150
  • Intervalo de servidores DHCP do NetGear: 192.168.1.151 a 192.168.250
  • Gateway padrão do NetGear: 192.168.1.1
  • Ativar "modo convidado" no NetGear

Não tenho 100% de certeza de que isso funcionará, mas definitivamente vale a pena tentar!

A configuração da rede parece boa na teoria, e o "Modo Convidado" também pode funcionar dessa maneira.

Minha solução, satisfação garantida

A solução seria inverter os roteadores, conectar a porta WAN do NetGear ao modem e conectar a WAN do outro roteador a uma LAN no NetGear.

Desta forma, todos os seus computadores terão acesso à Internet e o Guest-Wifi não poderá acessar nenhuma outra rede interna.

Você nem precisa ativar o "modo convidado" no NetGear, o firewall do segundo roteador bloqueará esse tráfego.

Minha outra solução

Conecte os dois roteadores ao modem (se possível - se você não tiver portas suficientes, mas um switch entre elas).

Os firewalls de ambos os roteadores bloqueariam todo o tráfego entre as duas redes.

No entanto, isso dependerá da configuração do seu modem, se isso funcionará ou não.

    
por 06.05.2013 / 21:38

Tags

Posso adicionar espaço não alocado a uma partição existente? A caixa de diálogo "Deseja salvar esta senha" desaparece rápido demais