É possível adicionar um HotSpot WiFi a uma LAN já estabelecida, manter os dois separados e não modificar o roteador principal?

A maioria dos roteadores já suporta uma rede Wi-Fi 'guest' que é isolada da rede principal e também dos clientes conectados isolados uns dos outros.

Certamente, um roteador de extremidade superior projetado para uso comercial terá essa capacidade.

Você pode 'duplicar o NAT' instalando um segundo roteador Wi-Fi com sua porta upstream conectada à rede da sua empresa no local onde seus convidados precisam de acesso Wi-Fi. Configurado corretamente, que oferece um alto grau de isolamento entre os convidados e a rede da sua empresa.

Sim, você pode adicionar um ponto de acesso de ponto de acesso a uma LAN estabelecida sem nenhuma alteração na rede existente.

Provavelmente, você pode usar apenas uma lista de controle de acesso e rotas manuais nos pontos de acesso sem fio. Tudo o que você realmente precisa fazer é configurar as regras para que os pacotes só possam passar pelo gateway e pela Internet. Sim, as vlans são a opção mais segura, mas há maneiras de não usá-las se o seu hardware não as suporta ou se você não tiver o conhecimento necessário para configurá-las. Também parece que sua rede é pequena o suficiente para que você realmente não precise de vlans. Você pode configurá-lo de uma forma bastante plug and play, se é isso que você quer.

Alguns pontos gerais ao configurar o PA

• Use uma sub-rede diferente do restante da rede para a rede sem fio pública. Isso realmente não importa, porque provavelmente será NAT de qualquer maneira, mas isso tornará as coisas menos confusas.

• O próprio AP pode se comunicar com o gateway na mesma sub-rede. Certifique-se de que ele possa se comunicar apenas com o gateway com uma ACL na interface Ethernet.

• ative o isolamento do cliente nos pontos de acesso para que os clientes sem fio não possam se comunicar uns com os outros.

• use as ACLs para controlar o tráfego entre suas redes públicas e privadas. Bloqueie tudo que não vai para a internet. Bloqueie também qualquer coisa que não venha da Internet do lado da LAN.

• use rotas manuais para enviar tráfego diretamente para o gateway da Internet. Dependendo do layout da sua rede, claro.

Você pode tentar configurar o ponto de acesso sem fio para usar uma VPN no escritório e rotear todas as conexões pela VPN. Isso deve produzir um resultado semelhante à configuração de uma VLAN, mas pode ser mais fácil de configurar. Não é exatamente um uso tradicional de VPN (manter em vez de fora), mas acho que faria o que você precisa. Eu, no entanto, acho que a VLAN seria a melhor maneira de fazer isso.

Ir com VLANs seria a melhor prática na minha opinião. Eu não sei os detalhes da sua rede, mas com apenas uma sub-rede, adicionando VLANs e configurando algumas portas em seu switch (desde que você tenha um switch gerenciado que suporte VLAN) para usar essa VLAN, não é um procedimento invasivo. A única outra maneira que eu posso pensar sem os detalhes da sua rede, é adicionar uma sub-rede em seu roteador, roteando diretamente esse tráfego para, por exemplo, uma segunda porta wan. A VPN também seria uma opção válida, mas você teria um ponto de acesso capaz de manipular uma VPN.

Obrigado a todos por suas contribuições! Aqui está o que acabei fazendo, por favor, deixe-me saber se algum de vocês notar algo fora do comum:

Por favor, deixe-me saber se vocês notam algo que é simplesmente errado ou fora do comum:

Obteve um WRT54GL V1.1 e redefiniu para suas configurações padrão (30-30-30). A seguir estão os passos que tomei para fazer o meu funcionar com o DD-WRT.

Este WRT54GL tem 5 portas na parte traseira, uma vez chamadas Internet e outras quatro numeradas 1, 2, 3, & 4. Conecte a porta de Internet a um cabo que está conectado à sua LAN existente e conecte um cabo da sua área de trabalho / laptop à porta 1 do WRT54GL. Energize tudo e deixe o Desktop / Laptop obter seu endereço IP do WRT54GL.

Web Navegue até 192.168.1.1 na área de trabalho / laptop.

Você deve ser solicitado a definir seu nome de usuário e senha - faça isso agora.

Faça o login no roteador.

Clique na guia Configuração Tipo de conexão WAN Alterar para IP estático (defina para um endereço disponível na sua LAN) 192.168.2.56 255.255.255.0 192.168.2.253 208.67.222.222 208.67.220.220 Desativar STP Clique em Salvar e, em seguida, Aplicar

Configurações opcionais Nome do roteador: openWIFI Nome do host: openWIFI Nome de Domínio: “seu nome de domínio” padrão de descanso Clique em Salvar e, em seguida, Aplicar

Configuração de rede Endereço local: 10.0.0.1 (esta sub-rede deve ser diferente da sua) Máscara de sub-rede: 255.255.255.0 Gateway: 0.0.0.0 DNS local: 0.0.0.0 Clique em Salvar e, em seguida, Aplicar

Desconecte o seu computador do roteador (cabo de rede), aguarde alguns segundos e conecte-o novamente. Isso permitirá que o computador mude para a sub-rede que você acabou de configurar acima, para que você possa continuar com a configuração.

Abra o backup do navegador da Web e navegue até o endereço que você acabou de definir. Para este documento, ele seria 10.0.0.1.

Faça login novamente.

SetUp TAB Configurações de servidor de endereço de rede DHCP Tipo DHCP: servidor DHCP Servidor DHCP: Ativar Início: 10.0.0.100 Max: 20 (eu fico assim tão baixo quanto posso) Padrões de Repouso Clique em Salvar e, em seguida, Aplicar

WireLess TAB SSID sem fio: openWIFI padrão de descanso Clique em Salvar e, em seguida, Aplicar

Configurações avançadas (sob a guia sem fio) Isolamento de AP: Ativar padrão de descanso Clique em Salvar e, em seguida, Aplicar

Lista de serviços Habilitar SSHd padrão de descanso Clique em Salvar e, em seguida, Aplicar

TAB de Administração Gestão Ativar gerenciamento de SSH padrão de descanso Clique em Salvar e depois em Aplicar. Clique em Reiniciar Router

Neste momento, você deve ter um ponto de acesso operacional openWIFI, mas ele NÃO é seguro por nenhum meio. Qualquer pessoa com algum senso de rede pode entrar em sua LAN privada, bem como na Internet. Então, precisamos bloquear alguns.

Faça o login novamente na interface da web TAB de Administração Comandos Coloque o seguinte na janela de comandos (esta é a carne e a batata):

iptables -I FORWARD -d 192.168.2.0/24 -j DROP iptables -t nat -A PREROUTING -i br0 -p udp --dport 53 -j DNAT - para $ (nvram obter lan_ipaddr) iptables -t nat -A PREROUTING -i br0 -p tcp --dportar 53 -j DNAT - para $ (nvram get lan_ipaddr) iptables -I FORWARD -p tcp -s 10.0.0.0/24 -m connlimit --connlimit-acima de 50 -j DROP iptables -I FORWARD -p! tcp -s 10.0.0.0/24 -m connlimit --connlimit-above 25 -j DROP

O que isso faz (ou pelo menos eu li dos incríveis colegas do link ) onde encontrei esses comandos são os seguintes:

Linha 1 - Bloqueia o acesso do roteador para a sub-rede privada Linha 2 & 3 - Bloqueia os usuários no openWIFI de modificar as configurações de DNS Linha 4 & 5 - Impedir que os usuários em openWIFI consumam a largura de banda.

Clique em Salvar Firewall TAB de Administração Clique em Reiniciar Router

Deve ser bem bloqueado e estar pronto para ser implantado, mas também gosto de desativar a interface web do lado openWIFI. Isso também testará a configuração do ssh.

Feche o navegador da web e se o seu no Windows colocar o putty em ssh no endereço IP do roteador. (Como você ainda deve estar conectado com o cabo, você ainda está no lado openWIFI do roteador - assim, com o putty ou o console - execute os seguintes comandos):

ssh [email protected] O login deve fornecer um prompt

root @ openWIFI: ~ # nvram conjunto httpd_enable = 0 root @ openWIFI: ~ # nvram set http_enable = 0 root @ openWIFI: ~ # nvram commit root @ openWIFI: ~ # reboot

Se você precisar ativar a interface da Web novamente, apenas ssh para ela novamente, defina tudo como 1 e reinicialize novamente.

E deveria ser isso. Agora, devemos ter um simples WiFi Hotspot na instalação que não permite o acesso à nossa LAN privada, mas usaremos a LAN estabelecida existente.