Ich habe ein paar mit dem Internet verbundene Geräte, von denen ich nicht sicher bin, die ich aber trotzdem verwenden möchte (ein Smart-TV und einige handelsübliche Geräte für die Hausautomation). Ich möchte sie nicht im selben Netzwerk wie meine Computer haben.
Meine derzeitige Lösung besteht darin, mein Kabelmodem an einen Switch anzuschließen und zwei WLAN-Router an den Switch anzuschließen. Meine Computer verbinden sich mit dem ersten Router, alles andere verbindet sich mit dem zweiten Router.
Reicht das aus, um meine Computer vollständig von allem anderen zu trennen?
Gibt es auch eine einfachere Lösung mit einem einzigen Router, der das Gleiche bewirkt? Ich habe die folgenden Router, beide mit DD-WRT :
Netgear WNDR3700-v3
Linksys WRT54G-v3
Alle Geräte (sicher und unsicher) stellen eine drahtlose Verbindung her, mit Ausnahme eines einzelnen Computers im sicheren Netzwerk.
Antworten:
Ja, Ihre Lösung ist auch in Ordnung, erhöht jedoch einen Switching-Hop und den Konfigurationsaufwand. Sie können dies mit einem Router erreichen, indem Sie die folgenden Schritte ausführen:
Hoffe das hilft!
quelle
Es ist durchaus möglich, aber ich möchte zuerst ein paar Dinge ansprechen.
Es ist interessant, dass beide Router über einen Internetzugang verfügen, wenn Ihr Kabelmodem nur ein Modem zu sein scheint. Tut Ihr ISP NAT? Wenn nicht, würde ich empfehlen, den Switch herauszunehmen (ist es wirklich ein Switch oder der Switch ist NAT-fähig?) Und einen Ihrer DD-WRT-Router als Gateway zu platzieren. Ihre aktuelle Konfiguration (ohne zu wissen, mit welchem Port die Router verbunden waren) weist möglicherweise IP-Adressenkonflikte auf oder es kommt gelegentlich zu zufälligen und sporiadischen Verbindungsverlusten im einen oder anderen Netzwerk.
Ja, aber es wird ein bisschen Konfigurationsarbeit und einige Tests erfordern. Ich selbst verwende ein ähnliches Setup, um ein Gastnetzwerk zu trennen. Die unten beschriebene Methode umfasst keine VLANs.
DD-WRT unterstützt (unter anderem) das Erstellen mehrerer SSIDs auf demselben AP. Das Einzige, was Sie tun müssen, ist, eine andere Bridge zu erstellen, sie einem anderen Subnetz zuzuweisen und sie dann vom Rest des Hauptnetzwerks abzuschirmen.
Es ist schon eine Weile her, dass ich es das letzte Mal so gemacht habe, aber es sollte irgendwo so weitergehen (seien Sie bereit, die Konnektivität zu verlieren):
Network Configuration
zuBridged
,AP Isolation
wie Sie möchtenbr1
?br1
auf Hinzufügen und dann auf Schnittstelle zuweisenwl.01
oder auf den Schnittstellennamen [^ virtif], speichern und anwendenKlicken Sie unter Mehrere DHCP-Server auf Hinzufügen und weisen Sie ihn zu
br1
Gehen Sie zu Administration => Commands und fügen Sie diese ein (möglicherweise müssen Sie die Namen der Benutzeroberfläche anpassen) [^ note2]
iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -j REJECT
und klicken Sie auf Save Firewall
Sie sollten bereit sein, denke ich
Weitere Informationen finden Sie unter http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/
Eine Einschränkung hierfür ist, dass dieses Setup nur für den Gateway-Router / AP wirksam ist. Wenn Sie dasselbe Setup für den anderen Router verwenden möchten, müssen Sie VLANs verwenden. Das Setup ist ähnlich, aber etwas komplizierter. Der Unterschied besteht darin, dass Sie ein neues VLAN konfigurieren und mit der IoT-SSID verbinden und möglicherweise einige Routing-Regeln ausführen müssen.
[^ virtif]: Das erste ist normalerweise die physikalische Schnittstelle und wird oft als wl0 bezeichnet. Ihre virtuellen Schnittstellen (bis zu drei, wenn ich mich nicht irre) werden mit wl0.1, wl0.2 usw. beschriftet.
[^ brname]: Dies ist der Schnittstellenname, den DD-WRT der Bridge-Schnittstelle gibt.
[^ ipaddr]: Angenommen, Ihr Hauptnetzwerk ist auf 172.16.1.0/24, geben Sie
br1
eine Adresse von 172.16.2.0/24 ein.[^ nDS]: Wenn Sie einen Nintendo DS haben, müssen Sie WEP verwenden. Alternativ können Sie auch eine andere SSID nur für das NDS erstellen und diese der Einfachheit halber überbrücken lassen
br1
.[^ note1]: Zu diesem Zeitpunkt wird nach dem Anwenden der Einstellungen alles, was mit der IoT-SSID verbunden ist, einem anderen Subnetz zugewiesen. Die beiden Subnetze können jedoch weiterhin miteinander kommunizieren.
[^ note2]: Dieses Bit benötigt möglicherweise etwas Arbeit.
quelle
Angenommen, Ihre Verbindung von Router 1 zum Switch verwendet den
WAN
Port des Routers und Sie teilen WAN und LAN nicht in OpenWRT (dh, Sie haben die Standardeinstellungen nicht geändert und die Verkabelung wie bei einer direkten Verbindung mit dem Modem durchgeführt). Dir geht es meistens gut.Natürlich können Ihre Geräte auf Router 2 Datenverkehr an jeden senden, was selbst ein Problem sein kann (Nutzungsstatistiken, Kamerabilder, Ton über Mikrofone, Informationen zu WLAN, GPS-Empfängern usw. je nach Gerät).
Sie können Ihre Ports separat konfigurieren und den schlechten Verkehr getrennt vom guten Verkehr weiterleiten. Ihr Schlüsselwort wäre
DMZ
, es gibt viele Tutorials zur Verfügung.Wenn Sie mehr Komplexität wünschen, können Sie auch VLANs aktivieren. Auf diese Weise können Sie zusätzliche VLAN-fähige Geräte hinter den Router stellen und beide Arten von Geräten damit verbinden, sodass Sie Ihr gesamtes Zuhause so fühlen, als ob jedes Gerät direkt angeschlossen wäre ein Port von einem der beiden Router, auch wenn Sie nur einen Router und 5 Switches dahinter haben ... aber tun Sie dies nur, wenn Sie müssen, da die Möglichkeit von Fehlern erheblich ist und der Nutzen von Ihrer Verkabelung abhängt ( fast keine bei Sterntopologie, ideal bei Ringtopologie).
quelle
Einige WLAN-Router der Consumer-Klasse verfügen über einen "Gastmodus", bei dem es sich um ein Netzwerk handelt, das vom normalen Netzwerk getrennt ist.
Sie können Ihre nicht vertrauenswürdigen Geräte auf den "Gast" -AP beschränken .
Nicht dass jeder Router mit dieser Funktion besonders sicher ist.
Obwohl der Artikel Warnung: "Gastmodus" auf vielen nicht sicheren Wi-Fi-Routern von Unsicherheit handelt, ist der Hauptfehler, den sie behandeln, die Privatsphäre. Wenn es Ihnen egal ist, ob Ihr netzwerkfähiges Fernsehgerät zu Hause anruft, um dem Hersteller mitzuteilen, was Sie gerade sehen, ist es dann wichtig, ob die Nachbarn dies tun.
quelle
Bei den meisten Heim-WLAN-Routern können Sie ein "Gastnetzwerk" konfigurieren. Dieses WLAN darf eine Verbindung zum Internet herstellen, es darf jedoch keine Verbindung zu Geräten im Haupt-LAN oder im WLAN herstellen. Sie können also die IoT-Geräte in ein Netzwerk einbinden, ohne dass sie Ihre Computer gefährden.
quelle
Die Einrichtung eines separaten Netzwerks sollte der beste Weg sein, um die unsicheren Geräte von Ihrem sicheren LAN fernzuhalten, damit böswillige Benutzer / Geräte nicht auf Ihre freigegebenen Dateien oder Netzwerkgeräte zugreifen können. Aktivieren Sie dazu das GUEST-Netzwerk, indem Sie die Netgar WNDR3700v3-Funktionen verwenden mit einem starken und verschiedenen Passwörtern.
Deaktivieren Sie den UPnP
Deaktivieren Sie den Fernzugriff über das WLAN auf Ihre Router
Schließen Sie auch keine unsicheren Geräte an, es sei denn, Sie müssen.
quelle