Я надеюсь создать набор виртуальных сетей в рамках одной широкой сети Wi-Fi для достижения следующих целей:
Для этого я планирую использовать набор коммерческих точек доступа (вероятно, Ubiquiti), настроенных на использование изоляции гостя. Каждый AP будет напрямую подключен к маршрутизатору Linux, который будет маркировать трафик VLAN на основе устройства, а затем пересылать трафик обратно через AP для имитации частной сети. Чтобы дать пользователям возможность создавать «частные» сети, они смогут выбрать (с использованием начального перенаправления при аутентификации) подключиться либо к общедоступной, либо войти в свою собственную сеть.
У меня есть опыт работы с Linux, iptables и маршрутизацией на начальном уровне. Из того, что я прочитал до сих пор, кажется, что это возможно.
Я спрашиваю, кажется ли это возможным и имеет ли смысл? Если это так, я вполне счастлив начать возиться и учиться, пока он не заработает (или откажитесь от этого и просто предложите бесплатный Wi-Fi, не пытаясь сделать вышеперечисленное). Меня больше всего беспокоит то, что я собрал идею, основанную на неправильном понимании сетевых технологий.
Предостережения: я понимаю, что существует риск для конфиденциальности, поскольку использование WPA2 PSK позволит всем пользователям отслеживать трафик друг друга. Это будет предупреждено в TOS и лично, чтобы гарантировать, что если пользователям потребуется лучшая конфиденциальность, они смогут запустить свой собственный беспроводной маршрутизатор.
Спасибо за любой вклад / мнения по вышеизложенному!
Да, это довольно распространено при использовании беспроводных киосков, а также офисных компьютеров на одной и той же «фабрике» Wi-Fi.
Вам нужно будет использовать AP, который поддерживает теги VLAN для своих беспроводных интерфейсов и привязку аутентифицированных пользователей и / или отдельные SSID к данной VLAN. Помидор может это сделать. Некоторые коммерческие точки доступа могут это сделать.
Re. проблема WPA2 PSK: в hostapd можно настроить PSK для каждого MAC-адреса.
У вас может быть установка, в которой PSK по умолчанию был установлен для новых пользователей, и ваш портал аутентификации генерирует новый PSK при регистрации (однако может потребоваться перезагрузка или даже перезапуск hostapd и / или повторная аутентификация ваших клиентов).
То, как пользователи позже будут подключаться к другим устройствам к «своей» сети, немного сложнее, если только вы не захотите, чтобы пользователи регистрировали MAC-адрес своего устройства (хотя один из методов может заключаться в том, чтобы ваш портал аутентификации предлагал два варианта: create new network, и join my network with new device).