Eu tenho um roteador que tem OpenWRT (WRT54GL) e uma configuração especial para atuar como dispositivo "ocultar clientes WLAN da rede principal". A configuração atual é a seguinte:
^
|
|WLAN
|10.0.0.x
|
|
|
Internet +-----------------+ LAN +-------+--------+
<-----------+ Some secret <------------> Router with |
| network stuff | 172.x.x.x | OpenWRT |
| | | |
+-----------------+ +---+---------+--+
| |
Config | |LAN
192.168.1.x| |172.x.x.x
| |
| |
v v
A rede 172.x.x.x é uma rede principal (por exemplo, empresa, hotel, etc.). A rede 192.168.1.x é apenas para configuração e é mapeada para uma porta LAN. Você tem que conectar o PC nesta porta para configurar o roteador (razões de segurança). A rede 10.0.0.x é uma WLAN de CONVIDADO.
Normalmente, não é um grande problema configurar como WLAN do GUEST, mas, neste caso, é algo especial porque:
O que eu fiz / alcancei até agora: Os dois primeiros pontos estão concluídos. Portanto, configurei a porta WAN para atuar como uma porta LAN. No menu de opções, criei três VLANs. Uma para as portas LAN do cliente, uma para a porta LAN principal e outra para a porta LAN de configuração.
As VLANs para o cliente e a LAN principal são conectadas à interface
A WLAN convidada é configurada como uma rede WIFI normal.
A configuração LAN é uma interface separada usando apenas a configuração VLAN.
Para se comunicar com a internet, adicionei uma regra de firewall para que a rede LAN esteja no grupo WAN (porque é um switch e também é a fonte da Internet ao mesmo tempo) e a interface GUEST / CONFIG é encaminhada para WAN.
** Alguns arquivos de configuração: **
/ etc / config / wireless
config 'wifi-device' 'wl0'
option 'type' 'broadcom'
option 'channel' 'auto'
option 'txpower' '18'
option 'hwmode' '11bg'
config 'wifi-iface'
option 'device' 'wl0'
option 'mode' 'ap'
option 'ssid' 'GRZUTS01'
option 'encryption' 'psk+psk2'
option 'key' '********'
/ etc / config / network
config 'switch' 'eth0'
option 'enable' '1'
config 'switch_vlan' 'eth0_0'
option 'device' 'eth0'
option 'vlan' '0'
option 'ports' '1 2 3 5'
config 'switch_vlan' 'eth0_1'
option 'device' 'eth0'
option 'vlan' '1'
option 'ports' '4 5'
config 'interface' 'loopback'
option 'ifname' 'lo'
option 'proto' 'static'
option 'ipaddr' '127.0.0.1'
option 'netmask' '255.0.0.0'
config 'switch_vlan'
option 'device' 'eth0'
option 'vlan' '2'
option 'ports' '0 5'
config 'interface' 'Config'
option 'proto' 'static'
option 'ifname' 'eth0.2'
option 'ipaddr' '192.168.1.1'
option 'netmask' '255.255.255.0'
config 'interface' 'Company'
option 'type' 'bridge'
option 'proto' 'dhcp'
option 'ifname' 'eth0.0 eth0.1'
config 'interface' 'Public'
option 'proto' 'static'
option 'ifname' 'wl0'
option 'ipaddr' '10.0.0.1'
option 'netmask' '255.255.255.0'
/ etc / config / dhcp
config 'dnsmasq'
option 'domainneeded' '1'
option 'boguspriv' '1'
option 'localise_queries' '1'
option 'rebind_protection' '1'
option 'rebind_localhost' '1'
option 'local' '/lan/'
option 'domain' 'lan'
option 'expandhosts' '1'
option 'readethers' '1'
option 'leasefile' '/tmp/dhcp.leases'
option 'resolvfile' '/tmp/resolv.conf.auto'
config 'dhcp' 'lan'
option 'interface' 'lan'
option 'ignore' '1'
config 'dhcp' 'wan'
option 'interface' 'wan'
option 'ignore' '1'
config 'dhcp'
option 'start' '100'
option 'limit' '150'
option 'interface' 'Public'
option 'leasetime' '72h'
config 'dhcp'
option 'start' '100'
option 'interface' 'Config'
option 'limit' '10'
option 'leasetime' '2h'
/ etc / config / firewall
config 'defaults'
option 'syn_flood' '1'
option 'input' 'ACCEPT'
option 'output' 'ACCEPT'
option 'forward' 'REJECT'
option 'drop_invalid' '1'
config 'include'
option 'path' '/etc/firewall.user'
config 'zone'
option 'forward' 'REJECT'
option 'output' 'ACCEPT'
option 'name' 'GUEST'
option 'input' 'REJECT'
option 'network' 'Public'
config 'zone'
option 'forward' 'REJECT'
option 'output' 'ACCEPT'
option 'name' 'WAN'
option 'input' 'REJECT'
option 'masq' '1'
option 'mtu_fix' '1'
option 'network' 'Company'
config 'forwarding'
option 'dest' 'WAN'
option 'src' 'GUEST'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Guest DNS'
option 'src' 'GUEST'
option 'proto' 'tcpudp'
option 'dest_port' '53'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Guest DHCP'
option 'src' 'GUEST'
option 'proto' 'tcpudp'
option 'dest_port' '67-68'
config 'zone'
option 'forward' 'REJECT'
option 'output' 'ACCEPT'
option 'name' 'CONFIG'
option 'network' 'Config'
option 'input' 'ACCEPT'
config 'forwarding'
option 'dest' 'WAN'
option 'src' 'CONFIG'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Config DNS'
option 'src' 'CONFIG'
option 'proto' 'tcpudp'
option 'dest_port' '53'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Config DHCP'
option 'src' 'CONFIG'
option 'proto' 'tcpudp'
option 'dest_port' '67-68'
Agora, minha pergunta:
Como posso alterar a configuração para que os clientes da WLAN possam acessar os clientes da LAN + os clientes da LAN possam acessar os clientes da WLAN MAS a porta da LAN está impedida de acessar os clientes da WLAN?