Wie erstelle ich ein separates Subnetz für den drahtlosen Zugriff?

12

Ich muss meinen WLAN-Router so konfigurieren, dass sich alle WLAN-Geräte in einem anderen Subnetz befinden (192.168. 2 .1).

Die drahtlosen Geräte sollten auf das Internet zugreifen können, im Idealfall jedoch nicht auf die Workstations im LAN.

Hier ist mein Netzwerk:

Geben Sie hier die Bildbeschreibung ein

Alle Vorschläge willkommen!

Austin '' Danger '' Powers
quelle
Was sind die Marken / Modelle des Standard-Gateway-Routers und des Core-Switch? Dies kann unkompliziert sein, sofern beide VLANs unterstützen.
Paul
Ein wenig mehr Informationen darüber, was Sie gerade ausführen, sind erforderlich. Ist dies ein Heimnetzwerk (ich nehme nicht an) oder ein Geschäfts- / Arbeitsnetzwerk? Welches Modell eines drahtlosen Controllers / Routers haben Sie? etc ..
Josh
Es ist eigentlich eine gemeinnützige Organisation. Ich habe momentan nicht die Modelle der Router bei mir - aber es sind alles Geräte für Privathaushalte. Ich denke nicht, dass VLANs diesmal eine Option sind.
Austin '' Danger '' Powers

Antworten:

9

Die Möglichkeit, dies mit Geräten für Endverbraucher zu erreichen, ist die Verwendung einer 3-Router-Y-Konfiguration

Geben Sie hier die Bildbeschreibung ein

Durch die Einstellung der beiden Routern der gleiche Subnetz verwenden , aber auf verschiedenen „LAN“ s es ist unmöglich für ein Netzwerk Gespräch mit dem anderen Netzwerk.

Stellen Sie sich das so vor: Sie haben einen Computer in LAN A mit einer IP von 192.168.1.2und einen der drahtlosen Clients in LAN B mit einer IP von 192.168.1.3. Wenn Sie in LAN B eine Anfrage stellen 192.168.1.2(einer der drahtlosen Clients, die versuchen, eine Verbindung zu einem kabelgebundenen Client herzustellen), wird dieser an den Router von LAN B gesendet, 192.168.1.xerkennt , dass es sich um eine Anforderung für das Subnetz handelt, und leitet das Paket nicht weiter oben in der Kette weiter (dies könnte der Fall sein) aber es wäre egal, siehe den unteren Abschnitt dieser Antwort). Es sieht auch, dass es keinen 192.168.1.2Computer kennt (der einzige Computer, den es kennt, ist 192.168.1.3) und meldet sich an den ursprünglichen Computer "Zielhost unbekannt". Wenn wir eine andere IP-Adresse als 192.168.1.xdiese anfordern , wird das Gateway verwendet und das Internet wird fortgesetzt, um zu versuchen, Ihre IP-Verbindung aufzulösen.

Dies gibt Ihnen vollständige Sicherheit in Ihrem Netzwerk und bietet Ihnen zwei LANs, die physisch nicht miteinander kommunizieren können, während beide weiterhin eine Verbindung zum Internet herstellen können.


Abhängig von der Funktionsweise der Firmware Ihres WLAN-Routers können Sie dies möglicherweise mit zwei Routern tun, indem Sie einfach die Verbindung des WLANs vom LAN-Port zum WAN-Port verschieben. Sie können dies jedoch nur tun, wenn der WLAN-Router KEINE Anforderungen weiterleitet, die er nicht an das Gateway für sein eigenes Subnetz auflösen kann. In meinem vorherigen Beispiel darf der WLAN-Router den WAN-Port für 192.168.1.2 NICHT auf die Konfiguration mit zwei Routern überprüfen ). Wenn sich Ihr Router so verhält, wie Sie es möchten, müssen Sie keine zusätzliche Hardware kaufen.

In der 3-Router-Y-Konfiguration spielt es keine Rolle, ob der Router Anforderungen weiterleitet oder nicht, da im Y-LAN keine 192.168.1.xComputer vorhanden sind, sondern nur die beiden Router-WAN-Schnittstellen, die beide sind 192.168.0.x.


Hier ist ein neues Diagramm, das näher an Ihrem ursprünglichen Diagramm liegt, um es zu erklären. Geben Sie hier die Bildbeschreibung ein

Scott Chamberlain
quelle
Nur um zu überprüfen, ob zwischen den beiden Routern am unteren Rand des Diagramms keine physische Verbindung besteht. Und diese 2 Router (192.168.1.101 & 192.168.1.102) sind über ihre WAN-Ports mit dem Gateway-Router verbunden?
Austin '' Danger '' Powers
@Dan Richtig, im obigen Diagramm sind die WAN-Ports hellblau und die LAN-Ports orange. Bei einer Korrektur Ihrer Aussage wurde jedoch die IP-Adresse der WAN-Ports falsch angegeben. Alle Computer nach dem zweiten Satz von Routern (in beiden Netzwerken) haben IPs im Bereich 192.168.1.x, aber alle Computer im Y-Netzwerk (und in dieser Konfiguration sollte es nur die LAN-Seite des Internet-Routers sein und Die beiden Subrouter (WAN-Seite) haben IPs im Bereich 192.168.0.x.
Scott Chamberlain
@Dan Es wurde ein neues Diagramm hinzugefügt, das näher an Ihrem ursprünglichen Diagramm liegt, um die Erklärung zu erleichtern.
Scott Chamberlain
1
Sie können dies auch in Consumer-Routern tun, wenn Sie eine leistungsfähigere benutzerdefinierte Firmware (dd-wrt ,omato usw.) verwenden, mit der Sie direkt auf den iptablesBefehl des zugrunde liegenden Linux-Systems schreiben können .
Scott Chamberlain
1
@ toffee.beanns Nein, das kann es nicht. Der gesamte Zweck dieser Konfiguration besteht darin, zu verhindern, dass Gast-Laptops im WLAN auf etwas zugreifen, das nicht im WLAN vorhanden ist.
Scott Chamberlain
3

Ich gehe davon aus, dass Ihr WLAN-Router weniger als 100 US-Dollar kostet, den Sie in einem Kaufhaus kaufen würden.

Sie brauchen wirklich einen Router mit 3 Schnittstellen. Ein PC unter Linux mit 3 Netzwerkkarten macht das gut - eine Netzwerkkarte ist das WAN, die andere Netzwerkkarte ist mit Ihren LAN-Hosts verbunden und die dritte ist mit Ihrem WLAN-Router verbunden. Sie können dann ein DHCP auf der Linux-Box ausführen, das IPs auf der LAN- und WLAN-Schnittstelle abhört und ausgibt.

Sie müssen sich ein wenig iptableskonfigurieren, um sicherzustellen, dass die WLAN-Hosts nicht mit den LAN-Hosts kommunizieren können (relativ einfach, da sie sich in separaten Subnetzen befinden).

Sie können die LAN-Hosts auch hinter ihren eigenen Router stellen und alle SPI-Firewall-Einstellungen auf dem drahtlosen und kabelgebundenen Router so konfigurieren, dass der Datenverkehr aus dem anderen Subnetz gelöscht wird. Beachten Sie, dass in dieser Situation in jedem Subnetz ein separater DHCP-Server ausgeführt werden muss, da der Broadcast-Verkehr nicht von Routern weitergeleitet wird.

Wenn der WLAN-Router dies unterstützt, können Sie ihn auch anweisen, den gesamten ausgehenden Datenverkehr von hinten an das Subnetz zu blockieren, in dem sich Ihr kabelgebundenes LAN befindet.

LawrenceC
quelle