Ich habe einen Router mit OpenWRT (WRT54GL) und einer speziellen Konfiguration, um WLAN-Clients vor dem Hauptnetzwerk zu verbergen. Das tatsächliche Setup sieht wie folgt aus:

                                                   ^
                                                   |
                                                   |WLAN
                                                   |10.0.0.x
                                                   |
                                                   |
                                                   |
Internet    +-----------------+   LAN      +-------+--------+
<-----------+ Some secret     <------------>  Router with   |
            | network stuff   |  172.x.x.x |  OpenWRT       |
            |                 |            |                |
            +-----------------+            +---+---------+--+
                                               |         |
                                    Config     |         |LAN
                                    192.168.1.x|         |172.x.x.x
                                               |         |
                                               |         |
                                               v         v

Das 172.xxx-Netzwerk ist ein Hauptnetzwerk (z. B. Firma, Hotel usw.). Das Netzwerk 192.168.1.x dient nur zur Konfiguration und ist einem LAN-Port zugeordnet. Sie müssen den PC an diesen Port anschließen, um den Router zu konfigurieren (aus Sicherheitsgründen). Das 10.0.0.x Netzwerk ist ein GUEST WLAN.

Normalerweise ist es kein großes Problem, WLAN als GUEST zu konfigurieren, aber in diesem Fall ist es etwas Besonderes, weil:

  • Das Hauptnetzwerk befindet sich physisch am WAN-Port, dieser Port ist jedoch so konfiguriert, dass er wie ein LAN-Port funktioniert. Das Hauptnetzwerk und das Client-LAN ​​sollten kommunizieren, als gäbe es keinen Router. Der Router verhält sich wie ein dummer Schalter.
  • Das GUEST WLAN sollte Zugang zum Internet und zu anderen Gästen haben, jedoch nicht zum Hauptnetzwerk und zur Konfiguration.
  • Die WLAN- und Client-LAN-Geräte von GUEST sollten miteinander kommunizieren.

Was ich bisher getan / erreicht habe: Die ersten beiden Punkte sind erledigt. Deshalb habe ich den WAN-Port so konfiguriert, dass er als LAN-Port fungiert. Im Schaltermenü habe ich drei VLANs angelegt. Einer für die Client-LAN-Ports, einer für den Haupt-LAN-Port und einer für den Konfigurations-LAN-Port.

Die VLANS für Client und Haupt-LAN ​​sind mit der Schnittstelle verbunden

Das Gast-WLAN ist wie ein normales WLAN-Netzwerk konfiguriert.

Das Konfigurations-LAN ist eine separate Schnittstelle, die nur das Konfigurations-VLAN verwendet.

Um mit dem Internet zu kommunizieren, habe ich eine Firewall-Regel hinzugefügt, damit sich das LAN-Netzwerk in der WAN-Gruppe befindet (da es sich um einen Switch handelt und damit gleichzeitig auch die Quelle des Internets ist) und die GUEST / CONFIG-Schnittstelle an das WAN weitergeleitet wird.

** Einige Konfigurationsdateien: **

/ etc / config / wireless

config 'wifi-device' 'wl0'
    option 'type' 'broadcom'
    option 'channel' 'auto'
    option 'txpower' '18'
    option 'hwmode' '11bg'

config 'wifi-iface'
    option 'device' 'wl0'
    option 'mode' 'ap'
    option 'ssid' 'GRZUTS01'
    option 'encryption' 'psk+psk2'
    option 'key' '********'

/ etc / config / network

config 'switch' 'eth0'
    option 'enable' '1'

config 'switch_vlan' 'eth0_0'
    option 'device' 'eth0'
    option 'vlan' '0'
    option 'ports' '1 2 3 5'

config 'switch_vlan' 'eth0_1'
    option 'device' 'eth0'
    option 'vlan' '1'
    option 'ports' '4 5'

config 'interface' 'loopback'
    option 'ifname' 'lo'
    option 'proto' 'static'
    option 'ipaddr' '127.0.0.1'
    option 'netmask' '255.0.0.0'

config 'switch_vlan'
    option 'device' 'eth0'
    option 'vlan' '2'
    option 'ports' '0 5'

config 'interface' 'Config'
    option 'proto' 'static'
    option 'ifname' 'eth0.2'
    option 'ipaddr' '192.168.1.1'
    option 'netmask' '255.255.255.0'

config 'interface' 'Company'
    option 'type' 'bridge'
    option 'proto' 'dhcp'
    option 'ifname' 'eth0.0 eth0.1'

config 'interface' 'Public'
    option 'proto' 'static'
    option 'ifname' 'wl0'
    option 'ipaddr' '10.0.0.1'
    option 'netmask' '255.255.255.0'

/ etc / config / dhcp

config 'dnsmasq'
    option 'domainneeded' '1'
    option 'boguspriv' '1'
    option 'localise_queries' '1'
    option 'rebind_protection' '1'
    option 'rebind_localhost' '1'
    option 'local' '/lan/'
    option 'domain' 'lan'
    option 'expandhosts' '1'
    option 'readethers' '1'
    option 'leasefile' '/tmp/dhcp.leases'
    option 'resolvfile' '/tmp/resolv.conf.auto'

config 'dhcp' 'lan'
    option 'interface' 'lan'
    option 'ignore' '1'

config 'dhcp' 'wan'
    option 'interface' 'wan'
    option 'ignore' '1'

config 'dhcp'
    option 'start' '100'
    option 'limit' '150'
    option 'interface' 'Public'
    option 'leasetime' '72h'

config 'dhcp'
    option 'start' '100'
    option 'interface' 'Config'
    option 'limit' '10'
    option 'leasetime' '2h'

/ etc / config / firewall

config 'defaults'
    option 'syn_flood' '1'
    option 'input' 'ACCEPT'
    option 'output' 'ACCEPT'
    option 'forward' 'REJECT'
    option 'drop_invalid' '1'

config 'include'
    option 'path' '/etc/firewall.user'

config 'zone'
    option 'forward' 'REJECT'
    option 'output' 'ACCEPT'
    option 'name' 'GUEST'
    option 'input' 'REJECT'
    option 'network' 'Public'

config 'zone'
    option 'forward' 'REJECT'
    option 'output' 'ACCEPT'
    option 'name' 'WAN'
    option 'input' 'REJECT'
    option 'masq' '1'
    option 'mtu_fix' '1'
    option 'network' 'Company'

config 'forwarding'
    option 'dest' 'WAN'
    option 'src' 'GUEST'

config 'rule'
    option 'target' 'ACCEPT'
    option '_name' 'Guest DNS'
    option 'src' 'GUEST'
    option 'proto' 'tcpudp'
    option 'dest_port' '53'

config 'rule'
    option 'target' 'ACCEPT'
    option '_name' 'Guest DHCP'
    option 'src' 'GUEST'
    option 'proto' 'tcpudp'
    option 'dest_port' '67-68'

config 'zone'
    option 'forward' 'REJECT'
    option 'output' 'ACCEPT'
    option 'name' 'CONFIG'
    option 'network' 'Config'
    option 'input' 'ACCEPT'

config 'forwarding'
    option 'dest' 'WAN'
    option 'src' 'CONFIG'

config 'rule'
    option 'target' 'ACCEPT'
    option '_name' 'Config DNS'
    option 'src' 'CONFIG'
    option 'proto' 'tcpudp'
    option 'dest_port' '53'

config 'rule'
    option 'target' 'ACCEPT'
    option '_name' 'Config DHCP'
    option 'src' 'CONFIG'
    option 'proto' 'tcpudp'
    option 'dest_port' '67-68'

Nun meine Frage:

Wie kann ich das Setup so ändern, dass die WLAN-Clients auf die LAN-Clients und die LAN-Clients auf die WLAN-Clients zugreifen können, ABER der LAN-Master-Port ist für den Zugriff auf die WLAN-Clients gesperrt?

Klaus F.
quelle