Estou tentando atualizar minha rede doméstica, o que envolve a atualização para gigabit e 802.11n e a adição de vários APs. Mas também gostaria de atualizar a segurança. Atualmente eu tenho WPA (1) pessoal com uma senha porque eu tenho alguns dispositivos que não podem lidar com WPA2 ou até mesmo AES. Eu gostaria de dividir a rede entre um segmento WPA2-Enterprise (com RADIUS) e um segmento inseguro que é limitado e restrito por taxa e requer um usuário "seguro" para gerar um código. Os dispositivos legados seriam colocados na lista de permissões e movidos para essa rede, onde eles teriam permissão para fazer solicitações específicas do dispositivo (assim, o spoofing de MAC não funcionaria)
Eu não estou preocupado com essas coisas. O que me preocupa é apresentar os dois SSIDs do mesmo dispositivo e segregar os domínios de broadcast. Eu sei que preciso de uma VLAN para fazer isso, mas os switches gerenciados não estão no orçamento.
Então aqui está a pergunta - eu quero manter as duas WLANs separadas. Eu posso configurar os APs para marcar cada SSID com uma VLAN diferente, mas sem switches que lidam explicitamente com VLANs, posso separar os domínios de broadcast? Se não, o que aconteceria - a rede funcionaria como se os dois SSIDs estivessem conectados ao mesmo segmento ou não funcionassem? Se isso não funcionar, existe alguma maneira de "tunelar" o tráfego de um dos SSIDs para meu servidor / roteador Linux para obter o mesmo efeito?
Mais informações -
Ainda estou para comprar os APs, mas estava planejando comprar um que pudesse executar DD-WRT, OpenWrt ou similar (baseado em Linux). Eles seriam conectados através de switches gigabit não gerenciados; infelizmente eu não tenho home runs para um armário de fiação (o que tornaria isso fácil!) como esta foi uma instalação de "retrofit" em uma casa antiga. Meu servidor pode lidar com VLANs, e os switches devem passar os pacotes marcados, mas não fará nenhuma discriminação com base em seu conteúdo (certo?)
Existem alguns roteadores que farão o que você quiser.
Eles são capazes de criar VLANs e vários SSIDs. AFAIK, o roteador Billion 7800N que eu uso, pode fazer isso muito bem.
Você pode fazer isso com um dos melhores repetidores / extensores Wi-Fi, como os da Edimax. O repetidor EW-7416APN Edimax que eu uso pode certamente fazê-lo, embora possa atribuir apenas cada SSID a um ID de VLAN, ele não pode realmente criar / configurar a própria VLAN, só tem uma única porta Ethernet.
Parece que a melhor maneira de fazer isso é configurar uma VPN (OpenVPN ou PPTP deve funcionar) e uma ponte entre o AP virtual e o roteador. Isso isola o tráfego "não seguro" e faz com que ele apareça em uma nova interface no roteador / servidor, onde posso rotear como desejo e definir regras de firewall de acordo.
Parece que uma VLAN não funciona aqui sem um switch gerenciado. Meus switches são "compatíveis com VLAN", pois passarão por quadros marcados não modificados, mas não marcam nem particionam. Pelo que entendi, isso é necessário para a capacidade de segregar adequadamente as duas LANs em um link físico.
Este é o tutorial que estou usando: link
Estou testando isso agora com o meu AP existente. Se funcionar, comprarei novos e experimentarei com uma configuração multi-AP. Eu não tenho 100% de certeza de como a VPN funcionará de vários APs, mas acho que todos eles aparecerão sob o mesmo iface no servidor. No pior caso, posso apenas ligar as interfaces virtuais no servidor. Isso permitirá que eu faça o RADIUS pelo endereço MAC na interface "não segura" e prepararei um pequeno aplicativo da Web para um usuário da rede segura para "autenticar" temporariamente um convidado. Vai ser bem legal.