У меня есть установка, в которой мой Cisco ASA находится на одном предприятии, обеспечивая доступ в Интернет для двух зданий. Два здания географически разделены беспроводным мостом протяженностью около 10 миль. Все компьютеры и оборудование в локальной сети находятся в одной подсети (она довольно мала), и у нас есть точки доступа Wi-Fi в обоих местах, обеспечивающие проводной и беспроводной доступ к локальной сети.
Учитывая все BYOD (Ipods, SmartPhones и т. Д.), Поступающие в офис, а также посещающие представители и т. Д., Мы хотели бы также предоставить небезопасный, независимый от устройства (устройства не могут видеть или общаться друг с другом). ) и независимой от локальной сети (устройства не могут видеть или использовать что-либо в локальной сети) HotSpot, который любой может использовать для своих Устройств, который дает им доступ ТОЛЬКО к Интернету без необходимости ввода пароля. Я понимаю, что это могло бы быть возможно на объекте с моей Cisco, если бы я испортил его и создал VLAN и т. Д., Но тогда мне нужно было бы передать его через свой мост, и я не думаю, что это было бы возможно без серьезной реконфигурации из всего. Хотелось бы иметь какое-то волшебное решение, которое может как бы копироваться в моей локальной сети без необходимости делать очень много, если какие-либо изменения в текущей настройке.
Большинство маршрутизаторов уже поддерживают «гостевую» сеть Wi-Fi, которая изолирована как от основной сети, так и подключенных клиентов друг от друга.
Безусловно, такая возможность будет у маршрутизатора более высокого уровня, предназначенного для коммерческого использования.
Вы можете «удвоить NAT», установив второй Wi-Fi-маршрутизатор с восходящим портом, подключенным к сети вашей компании, в том месте, где вашим гостям нужен доступ к Wi-Fi. Настроен правильно, что обеспечивает высокую степень изоляции между гостями и сетью вашей компании.
Да, вы можете добавить точку доступа к существующей локальной сети без каких-либо изменений в существующей сети.
Вам, вероятно, удастся уйти просто список контроля доступа и ручные маршруты на беспроводных точках доступа. Все, что вам действительно нужно сделать, это настроить правила, чтобы пакеты могли проходить только через ваш шлюз и выходить в Интернет. Да, vlan - это наиболее безопасный вариант, но есть способы не использовать их, если ваше оборудование не поддерживает их или у вас нет опыта для их настройки. Также похоже, что ваша сеть достаточно мала, и вам не нужны виртуальные локальные сети. Вы можете настроить это в режиме «подключи и работай», если это то, что вам нужно.
Некоторые общие моменты при настройке AP
Используйте подсеть, отличную от остальной сети, для общедоступной беспроводной сети. На самом деле это не имеет значения, потому что он, скорее всего, в любом случае будет NAT, но это сделает ситуацию менее запутанной.
Сама точка доступа может связываться со шлюзом в той же подсети. Убедитесь, что он может связываться со шлюзом только с ACL на интерфейсе Ethernet.
Включите изоляцию клиентов на AP, чтобы беспроводные клиенты не могли общаться друг с другом.
используйте ACL для управления трафиком между общедоступными и частными сетями. Заблокируйте все, не выходя прямо в Интернет. Также заблокируйте все, что не идет напрямую из Интернета на стороне LAN.
используйте ручные маршруты для отправки трафика непосредственно на интернет-шлюз. Конечно, в зависимости от схемы вашей сети.
Возможно, вы сможете попробовать настроить точку беспроводного доступа для использования VPN в офисе и маршрутизировать все соединения через VPN. Это должно привести к тому же результату, что и настройка VLAN, но может быть проще настроить. Не совсем традиционное использование VPN (оставление, а не выход), но я думаю, что он сделает то, что вам нужно. Однако я бы подумал, что VLAN - лучший способ решить эту проблему.
На мой взгляд, лучше всего было бы использовать VLAN. Я не знаю особенностей вашей сети, но только с одной подсетью, добавлением VLAN и настройкой нескольких портов на вашем коммутаторе (при условии, что у вас есть управляемый коммутатор, поддерживающий VLAN) для использования этой VLAN, это не агрессивная процедура. Единственный другой способ, о котором я могу думать без деталей вашей сети, - это добавить подсеть на вашем маршрутизаторе, напрямую направляя этот трафик, например, на второй порт WAN. VPN также будет приемлемым вариантом, но у вас будет точка доступа, способная обрабатывать VPN.
Спасибо всем за ваш вклад! Вот что я в итоге сделал, дайте мне знать, если кто-нибудь из вас заметит что-нибудь необычное или необычное:
Пожалуйста, дайте мне знать, если вы, ребята, заметите что-нибудь просто неправильное или необычное:
Получил WRT54GL V1.1 и сбросил его до настроек по умолчанию (30-30-30). Ниже приведены шаги, которые я предпринял, чтобы начать работу с DD-WRT.
Этот WRT54GL имеет 5 портов на задней панели, которые раньше назывались Интернетом, и четыре других, пронумерованных 1, 2, 3 и 4. Подключите Интернет-порт к кабелю, который подключен к вашей существующей локальной сети, и подключите кабель от настольного компьютера / ноутбука к порту. 1 из WRT54GL. Включите все и позвольте настольному / портативному компьютеру получить свой IP-адрес от WRT54GL.
Веб-просмотр до 192.168.1.1 с рабочего стола / ноутбука.
Вам будет предложено указать имя пользователя и пароль - сделайте это сейчас.
Войдите в роутер.
Нажмите вкладку «Настройка». Тип подключения Wan Изменить на статический IP-адрес (укажите доступный адрес в локальной сети) 192.168.2.56 255.255.255.0 192.168.2.253 208.67.222.222 208.67.220.220 STP Отключить Нажмите «Сохранить», затем «Применить»
Дополнительные настройки Имя маршрутизатора: openWIFI Имя хоста: openWIFI Имя домена: «ваше доменное имя» по умолчанию. Нажмите «Сохранить», затем «Применить».
Настройка сети Локальный адрес: 10.0.0.1 (эта подсеть должна отличаться от вашей) Маска подсети: 255.255.255.0 Шлюз: 0.0.0.0 Локальный DNS: 0.0.0.0 Нажмите «Сохранить», затем «Применить»
Отключите компьютер от маршрутизатора (сетевой кабель) и подождите несколько секунд, затем подключите его снова. Это позволит вашему компьютеру переключиться на подсеть, которую вы только что настроили выше, чтобы вы могли продолжить настройку.
Откройте резервную копию своего веб-браузера и перейдите по только что установленному адресу, для этого документа это будет 10.0.0.1.
Войдите снова.
ВКЛАДКА НАСТРОЙКИ Сетевой адрес Настройки сервера DHCP Тип DHCP: DHCP-сервер DHCP-сервер: Включить Старт: 10.0.0.100 Макс .: 20 (я держу этот минимум, насколько могу) Остальные настройки по умолчанию Нажмите «Сохранить», затем «Применить»
Вкладка WireLess Wireless SSID: openWIFI rest По умолчанию Нажмите «Сохранить», затем «Применить».
Дополнительные настройки (на вкладке «Беспроводная связь») Изоляция точки доступа: включить остальные по умолчанию. Нажмите «Сохранить», затем «Применить».
Вкладка «Службы» SSHd Включить отдых По умолчанию Нажмите «Сохранить», затем «Применить».
Администрирование Вкладка Управление Включить управление SSH Остальное По умолчанию Нажмите Сохранить, затем Применить Нажмите Перезагрузить маршрутизатор
Прямо сейчас у вас должна быть рабочая точка доступа openWIFI, но она НЕ безопасна ни в коем случае. Любой, кто имеет хоть какое-то отношение к сети, может попасть в вашу частную локальную сеть, а также в Интернет. Поэтому нам нужно кое-что заблокировать.
Снова войдите в веб-интерфейс Администрирование TAB Команды Поместите следующее в окно команд (это мясо и картофель):
iptables -I FORWARD -d 192.168.2.0/24 -j DROP iptables -t nat -A PREROUTING -i br0 -p udp --dport 53 -j DNAT --to $ (nvram get lan_ipaddr) iptables -t nat -A PREROUTING -i br0 -p tcp --dport 53 -j DNAT --to $ (nvram get lan_ipaddr) iptables -I FORWARD -p tcp -s 10.0.0.0/24 -m connlimit --connlimit-above 50 -j DROP iptables - Я ВПЕРЕД -p! tcp -s 10.0.0.0/24 -m connlimit --connlimit-above 25 -j DROP
Что они делают (по крайней мере, я читал от классных ребят из http://cavewall.jaguardesignstudio.com), где я обнаружил, что эти команды следующие:
Строка 1 - Блокирует доступ от маршрутизатора к частной подсети. Строка 2 и 3 - Блокирует пользователей openWIFI от изменения настроек DNS. Строка 4 и 5 - Не позволяет пользователям openWIFI ограничивать пропускную способность.
Нажмите вкладку «Сохранить администрирование брандмауэра». Нажмите «Перезагрузить маршрутизатор».
Должен быть довольно заблокирован и готов к развертыванию, но мне также нравится отключать веб-интерфейс со стороны openWIFI. Это также проверит настройку ssh.
Закройте веб-браузер и, если у вас Windows, подключите ssh к IP-адресу маршрутизатора. (Поскольку вы все еще должны быть подключены с помощью кабеля, вы все еще находитесь на стороне openWIFI маршрутизатора - поэтому с помощью шпатлевки или консоли выполните следующие команды):
ssh root@10.0.0.1 Войдите в систему, и вы увидите приглашение
root @ openWIFI: ~ # nvram set httpd_enable = 0 root @ openWIFI: ~ # nvram set http_enable = 0 root @ openWIFI: ~ # nvram commit root @ openWIFI: ~ # перезагрузка
Если вам нужно снова включить веб-интерфейс, просто снова подключитесь к нему по ssh, установите все на 1 и снова перезагрузитесь.
Так и должно быть. Теперь у нас должна быть простая точка доступа Wi-Fi на объекте, которая не разрешает доступ к нашей частной локальной сети, но будет использовать существующую установленную локальную сеть.