Segurança de rede Wi-Fi pública e privada quando privada é upstream de pública

3

Aviso: tenho certeza de que a terminologia que estou usando está errada, por favor, informe quais termos são mais adequados / corretos.

Eu tenho duas perguntas, ambas sobre a mesma situação, logo abaixo.

Antecedentes

A visão mais simplificada da minha rede é a seguinte: -

Modem (fibra óptica) - > OfficeRouter - > PublicRouter

Ou seja, o cabo LAN do modem vai para o slot WAN no OfficeRouter, e o PublicRouter está conectado a um dos slots LAN no OfficeRouter.

Tanto o OfficeRouter quanto o PublicRouter transmitem seus próprios SSIDs, chamados privatessid e publicssid . Além disso, até uma dúzia de PCs são conectados ao OfficeRouter via LAN (através de switches).

Limitações

As restrições de posicionamento físico significam que não consigo alterar a ordem relativa dos meus roteadores.

Configuração de rede atual

Cada roteador executa seu próprio serviço DHCP, portanto, todos os clientes conectados ao OfficeRouter (via privatessid ou LAN) obtêm algo em 192.168.0. * e todos os clientes que se conectam via PublicRouter obtêm algo em 192.168.1. *

Pergunta de segurança

Como posso 'mascarar' ou impedir o acesso a máquinas conectadas ao OfficeRouter de máquinas conectadas ao PublicRouter? Um dos subprodutos do meu arranjo físico infeliz de roteadores é que todas as máquinas de escritório são diretamente acessíveis por qualquer pessoa conectada a publicssid .

Pergunta sobre redes

É possível manipular mais de 255 conexões para publicssid ? Eu só tenho que mudar a máscara de sub-rede para que isso funcione, ou há algo que estou perdendo. Os roteadores em questão são bastante básicos, existem considerações práticas para lidar com muitas conexões ao mesmo tempo?

    
por Ng Oon-Ee 21.11.2016 / 07:43

1 resposta

1

Isso é quase impossível de fazer em um roteador de consumidor - você está, na verdade, deixando sua rede do Office insegura permitindo que o acesso de convidados a atravesse - e, pior, você provavelmente está usando NAT, o que causará mais confusão e problemas de rastreamento pior.

Se você puder usar o OpenWRT ou outra variante do Linux, poderá configurar VLANs separadas para duas das Interfaces no roteador do seu escritório para o seu Office e para o roteador convidado. Você precisaria configurar cada um separadamente e usar o firewall para controlar o roteamento entre os dispositivos. Você precisaria usar VLANs para garantir que o tráfego seja sempre roteado através do roteador (ou usar EBTables que seria ainda mais confuso). Isso não é algo que você pode fazer através da interface web e requer muito trabalho na linha de comando ( mas é factível, eu fiz algo muito parecido)

    
por 09.06.2017 / 09:21