Lan, védett belső és nyilvános wifi elkülönítése

Hálózatok egyéb

Van egy munkahelyi gigabites hálózatom kiépített végpontokkal (amelyeken switch-ekkel megosztva üzemelnek a gépek, plusz pár nyomtató, egy adattároló és egy backup NAS), ami egy routeren keresztül kapja a netet.

Ennek segítségével szeretnék kétféle wifi szolgáltatást elindítani:
Egy védettet a kollégák laptopjainak, amelyen keresztül elérhetik a lan eszközeit és szolgáltatásait (gépek, nyomtatók, NAS, stb.) és egy másikat, egy nyilvánosat, amelyen keresztül bárki hozzánk betérő vendég használhatná az internetet - és csakis azt - vagyis amelyet szeretnék szigorúan szeparálni a lan-tól.

Mindezt szeretném a legnagyobb biztonságban és a legolcsóbban megúszni, mert pénz csak erősen korlátozottan áll a rendelkezésünkre.

Ki hogyan csinálná?

  • 3067 megtekintés

( mauzi v | 2012. 02. 05., v – 12:07 )

külön VLAN. még egy WRT54GL is elég hozzá, DD-WRT-vel legalábbis garantáltan működik.
(és ha arra jársz, még az "AP isolation"-t is olvasd el)

Az Ap Isolation már bennem is felmerült, de a DD-WRT idevonatkozó helpjében az áll:

"This setting isolates wireless clients so access to and from other wireless clients are stopped."

Lehet, hogy rosszul fordítom, de ez mintha azt jelentené, hogy az opció kiválasztása wifi klienseket szigeteli el egymástól, nem?

Mert nekem inkább arra van szükségem, hogy a nyilvános wifin lógó kliensek ne lássák a lan-t.

( vl v | 2012. 02. 05., v – 12:52 )

a) opció (ezt szokták nagy cégek jobban szeretni): egy darab nyilvános wifi, közzétett WPA-PSK jelszóval! (jelszó nélkül nem védett a felhasználók forgalma a lehallgatás ellen, kb. mint anno az ethernet hubos időkben); aki pedig el szeretné érni a belső hálót, az be-VPN-ezik authentikáció után a belső LAN-ba.

b) opció: két külön wifi rendszer, két külön ssid-val. Az egyik a belső hálóval van összebridge-elve, a másik a nyilvános wifi, ami meg csak az internetet látja.
A két külön ssid-t lehet két független wifi access point halmazzal is megcsinálni, de az átlagnál profibb eszközök tudnak egy rádión több független ssid-val beszélgetni (ezeket a forgalmakat után mondjuk két külön ethernet porttal bridge-eljük össze, de az is szokott menni, hogy két külön vlan-ra kerüljenek az ethernet hálózaton), így nem kellenek külön access pointok, cserébe viszont ugyanazon a wifi sávszélességen osztoznak.

( hackac | 2012. 02. 05., v – 13:36 )

Venni kell egy tisztességes vállalati AP-t, ami tud különböző SSID-ket prezentálni, és attól függően hogy ki melyikre csatlakozik, a forgalmat más-más VLAN-ba tolja tovább.

( herka v | 2012. 02. 05., v – 13:52 )

Én pl. IPCop -al oldanám meg, 2 hálókártyával a hálózatok könnyen, gyorsan elkülöníthetőek -ha kell,még proxy s egyéb szűrési funkciókat is könnyen be lehet lőni- egy régi, gyenge gép is elég neki. A swichben pedig szintén vlan-al a portokat elkülöníteni.

( xclusiv v | 2012. 02. 07., k – 19:44 )

A legolcsóbb a 2 wifi AP opció, veszel WRT54-et vagy valami tplink-et, mindegy. Egyik a LAN-ra lóg rá, ezen vannak a kollegák. Ezen én a hosszú random WPA2 pass-on kívül még egy VPN-t is betennék, tuti ami biztos.

A másik AP lenne a vendég, ezt én leginkább külön netre tenném, behúzatnék egy legalapabb 5/1 kaliberű soho netet és ennyi, ez a legegyszerűbb és biztonság szempontjából is a legjobb szerintem. Ennek a költsége kb. havi 5k, ami kb. semmi pénz egy cégnél, de akár kevesebb is lehet.
Ha ez valamiért nem oldható meg, akkor tudni kellene, hogy mit tud a router, amin keresztül a netet kapjátok. Szerencsés esetben azzal is meg lehet csinálni, ha nem akkor cserélni kell, vagy egy külön eszközzel megoldani.