Ponto de acesso Wi-Fi para convidados sem acesso à rede principal

Navegue suas respostas
1

Estou tentando projetar uma rede Wi-Fi de convidado para minha rede existente, mas não tenho certeza de como proteger o ponto de acesso Wi-Fi convidado da rede principal, quando o ponto de acesso estiver na rede pai.

Eu tentei pesquisar isso, mas estou apenas obtendo resultados do hardware do consumidor que diz "clique nesta configuração" e normalmente assume que o roteador principal é o próprio ponto de acesso wi-fi, tornando a segregação lógica muito mais fácil. 

              +----------+
              | Internet |
              +----+-----+
                   |
                   |
           +-------+------+
           | Linux Router |   10.0.0.0/24
+----------+              +--------------+
|          |   10.0.0.1   |              |
|          +-------+------+              |
|         Device A - 10.0.0.5            |
|                                        |
| Linux Guest Wifi Router - 10.0.0.200   |
|       +                                |
|       |                                |
+----------------------------------------+
        |
        |
        |   Guest Subnet 10.0.1.0/24
   +----+--------------------------+
   |                               |
   |  Guest Device X - 10.0.1.5    |
   |                               |
   +-------------------------------+

O roteador principal é uma caixa linux dual (ext / int) (Debian 7 com iptables) e nada mais. O ponto de acesso Wi-Fi convidado será um PI que estou pedindo, e estou assumindo que a configuração necessária estará contida na caixa de Wi-Fi convidado.

Mas não tenho certeza de como configurar o iptables (nftables?) no PI para garantir que a rede principal esteja inacessível, exceto para rotear pela Internet.

  • Como "Guest Device X" chega ao Main Router Gateway (10.0.0.1) ao ter acesso negado ao Dispositivo A (10.0.0.5).
  • Como sei que o roteador principal não enviará nenhuma solicitação para 10.0.0.5 de volta à sub-rede 10.0.0.0/24? Eu precisarei configurar o iptables no roteador principal para trabalhar em conjunto com o roteador wifi?

Resultados desejados de 10.0.1.5:

  • $ ping 10.0.0.5 - Destino inacessível / Nenhuma rota para hospedar etc.
  • $ ping 8.8.8.8 - OK
  • $ ping 10.0.0.1 - (supondo que está OK?)
  • $ ping 10.0.0.200 - Desconhecido?

Discussão sobre solução alternativa em potencial abaixo:

  • Uma sugestão era fazer um 2º IP no roteador principal e ter o roteador wifi do convidado para esse IP. Então eu procurei por documentos e achei isso:

Isso faria as coisas parecerem assim: 

Internet
  |
Linux Router
(eth1 10.0.0.1) (eth1:1 10.0.1.1)
  |                  |
Reg Network        Guest Wifi Router (10.0.1.2)
    (DHCP)           |
                   Guest Device (10.0.?.?)

Então, não tenho certeza sobre algumas coisas neste momento

  1. Como configuro a tabela de roteamento do roteador principal para impedir o tráfego da sub-rede 10.0.1.1 para 10.0.0.0/24? Ou esta é uma regra iptables no roteador principal neste momento? Não tenho certeza se estou vendo como isso é diferente de ter o roteador wifi convidado em 10.0.0.0/24, já que o roteador principal ainda seria capaz de rotear para outros dispositivos nessa rede?)
  2. Estou assumindo que o roteador Wi-Fi convidado precisaria de um servidor DHCP para os dispositivos convidados. Mas os dispositivos convidados usariam a sub-rede 10.0.1.0/24 com 10.0.1.1 como o gateway ou configurariam outra sub-rede 10.0.2.0/24 para dispositivos convidados?
por Doug 03.04.2018 / 04:40

1 resposta

0

Recapitulação da situação, para verificar se entendi corretamente:

O AP de convidado se conecta ao roteador principal como parte da LAN privada ou WLAN. Além disso, você deseja uma rede de convidado separada da rede privada, mas, por necessidade, usará a rede privada para alcançar o roteador principal.

Breve esboço da possível solução:

A única maneira de fazer isso funcionar com segurança é ter o roteador principal ciente de que há duas redes e separá-las corretamente com as regras iptables . Então você quer que seu roteador principal veja duas interfaces de rede, uma com 10.0.0.0/24 para o segmento privado e outra com 10.0.0.1/24 para o segmento guest. Eu suponho que você saiba como configurar o roteador principal com isso, considerando os comentários.

Isso significa que a conexão do AP convidado (RaspPi) ao roteador principal deve usar algum tipo de túnel. A variante mais fácil seria uma VLAN , que "sobrepõe" (possivelmente várias) LANs virtuais em sua LAN privada.

Concretamente, adicione ambos na caixa RaspPi e na Debian uma interface de rede virtual com algo como 

ip link add link eth0 name eth0.55 type vlan id 55.

(escolha uma tag de VLAN), use e configure o eth0.55 como uma interface de rede normal. Depois que ele funcionar, você poderá adaptar /etc/network/interfaces para que ele seja criado automaticamente.

Editar

Para o firewall, você precisará das regras iptables que impedem que as interfaces eth0 e eth0.55 fiquem conversando entre si, então algo como 

#!/bin/bash
PRIVIF=eth0
GUESTIF=eth0.55
iptables -P FORWARD ACCEPT
iptables -F FORWARD
iptables -A FORWARD -i $PRIVIF -o $GUESTIF -j DROP
iptables -A FORWAD -i $GUESTIF -o $PRIVIF -j DROP

(não testado). Ou torná-lo ainda mais seguro com uma diretiva de encaminhamento padrão de DROP e, em seguida, enumerar todo o encaminhamento permitido, preservando a funcionalidade NAT do roteador (se houver).

Há muitos tutoriais on-line sobre firewalls e iptables , escolha o que você mais gosta.

    
por 03.04.2018 / 15:18

Tags

Use mount para acessar uma pasta “proc” com meu usuário Batch w / ftp transfer