У меня конфигурация с двумя подсетями. В этом примере я назову их 192.168.1.128/26 (128) и 192.168.1.64/26 (64). Подсеть 64 содержит все внутренние устройства, к которым у гостей не должно быть доступа. Подсеть 128 - это в основном подсеть беспроводного вещания.
Моя проблема в том, что у меня есть два типа пользователей, которые будут подключаться к этой (128) подсети. Во-первых, это гости, которые должны иметь доступ только к Интернету. Во-вторых, это сотрудники, которые должны иметь доступ к Интернету, а также к внутренним устройствам в подсети 64.
Я использую базовые маршрутизаторы Linksys, и я могу прекрасно управлять маршрутизацией между подсетями. У меня вопрос, как я могу ограничить пользователей, которые перенаправляются в подсеть 64, статическим списком «штатных» пользователей?
Обычно вы блокируете или разрешаете доступ с помощью правил брандмауэра (фильтрация пакетов). Если вы используете стандартную прошивку Linksys, я не уверен, возможно ли это, если вы используете dd-wrt или что-то еще, вы можете сделать это с помощью правил iptables.
Поскольку это ваша гостевая беспроводная сеть, вероятно, было бы очень неразумно идентифицировать служебные системы по назначенному IP-адресу или MAC-адресу, что в значительной степени исключает выполнение какого-либо контроля доступа с помощью правил брандмауэра.
Что вам, вероятно, нужно сделать, так это подумать о настройке VPN на беспроводных клиентах вашего персонала, что позволит персоналу установить VPN в доверенной сети.
Другой вариант - просто настроить дополнительный SSID / подсеть только для учетных записей сотрудников и использовать другой уровень беспроводной аутентификации. У вас может не быть шифрования / аутентификации на гостевом SSID. В SSID вашего персонала вы должны использовать WPA2 с надежным предварительным общим ключом или, в идеале, одну из корпоративных аутентификаций, доступных под WPA.