Internet tiltás

Hálózatok általános

Sziasztok!

Van itthon több eszközöm amiket csak itthon használok (IP kamerák, okos eszközök, egy számítógép is), teljesen felesleges nekik, hogy kilássanak az internetre. Lokális hálózat kell nekik, de internet nem. Ha valamit el akarok érni akkor van velük egy hálózatban VPN szerver, azon keresztül elérem. Hogyan tudnám router szinten blokkolni az internet-hozzáférésüket? A routerem egy TP-link AC1200 v2, amire ha jól tudom nem telepíthető openwrt. Windows-Linux-ra nem osztok ki default gw-t az oké, de kamerákra, TV-re meg a többire ezt nem tudom megoldani.

  • 2215 megtekintés

( STP | 2019. 10. 22., k – 02:16 )

„nem osztok ki default gw-t az oké, de kamerákra, TV-re meg a többire ezt nem tudom megoldani.”
Miért nem?

Minden eszközön manuálisan kellene átállítanom, hogy ne a dhcp-t használja. Nem is vagyok biztos, hogy minden egyes eszközön meg tudom csinálni. Olyan megoldás kellene ahol már a DHCP-tol nem kap gw-t. Átírhatom magán a DHCP szerveren, de akkor mindenen amin használni akarok internette, azokon kellene visszaállítani. Ez igazából az a megoldás mint az első, csak az inverze. Ahogy látom ez a tplink router több megoldást nem nagyon fog támogatni.

( AiRLAC v | 2019. 10. 22., k – 06:11 )

router csere olyanra ami tudja
saját dhcp/proxy használata, ott tiltás

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

( answ | 2019. 10. 22., k – 09:10 )

Mikrotik eszközzel simán megoldható, néhány kattintás csak..

Annyit segítettem, hogy óvatosan utaltam rá, hogy egyedi igények esetén jobban jár, ha berak egy Mikrotik eszközt a hulladék helyére/mellé. Árban is olcsó és ténylegesen tudja szűrni a forgalmat vele, nem kell tákolni (lásd az ötleteket). A VPN-ről nem is beszélve, amihez akkor szerver sem kell.

Meg lehet oldani, ha éppen nem bugzik a TP-Link, de nem ajánlott. Például egyes TP-Linkekben Address Reservation-ban bármilyen IP címet megadhatsz. Simán adsz mondjuk a tiltott eszközöknek egy másik tartományból címeket MAC alapján: például 192.168.2.X (netmask tapasztalat alapján DHCP-nél megadott lesz). Ekkor egymással tudnak kommunikálni, de mivel a kiosztott GW-hez így nincs route, ezért kifelé nem fognak tudni csomagot küldeni. Persze VPN szerverre is fel kell venni ezt a hálózatot így és TP-Link kockadobásának függvénye, hogy az adott routerben működik-e ez a megoldás vagy kiírja, hogy nem érvényes IP cím.

Akkor már én is beszállok: :-D
A google wifi-vel simán meg lehet oldani. Ráadásul a mobilappon keresztül távolról bárhonnan ki is engedheted őket a netre, ha épp ránéznél valamelyikre.
Tudom, hogy nem tud annyit, mint sok másik drága társa, de erre a feladatra pont tökéletes.

Amúgy hogy érdemben is hozzászóljak:
Ha esetleg beruházol egy TP-LINK TL-SG108E switchre (8 portos), akkor csinálhatsz nekik valóban lokál hálót külön címtartománnyal.
Ez egy félig-meddig managelhető switch, saját dhcp szervere van, és a rajta keresztül kiosztott alapértelmezett átjárót is annak állítod be, aminek szeretnéd. A Switch belső hálóján akár sosem kell, hogy legyen net, és mindenki elér mindenkit; de ha a routeren engedélyezed a switch portját, akkor máris lehet minden online is.

( sigellef | 2019. 10. 22., k – 13:35 )

1. Fix IP-t adsz az eszköznek
2. Tiltólistára teszed az adott IP-t.

Ha jól emlékszem, a TP-Linkek tűzfalbeállítása tud ip címeket, vagy címtartományokat feketelistára tenni. (gondolom, az eszköz csak addig kell hogy használja közvetlenül a rouert, amíg megkapja az ip-t.)

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.

( Fisher v | 2019. 10. 22., k – 21:33 )

Az emulátor alapján össze lehet rakni egy olyan dolgot, hogy parental controllal tiltasz mindenkit (minden helyi gépet/MAC-et), kivéve akit nem.

( Zs | 2019. 10. 23., sze – 09:54 )

Ha jól értem, van Linuxos gép is a hálóban. Ha az fut 7/24, akkor legyen az a DHCP szerver. Innen kezdve ott MAC address alapján tudsz IP-t osztani és tudsz olyan mókát is játszani, hogy kinek adsz default gw-t, kinek meg nem. Ismeretlen eszköz kaphat IP-t pool-ból def.gw. nélkül, így elérhető - netre mag majd akkor megy, ha a mac address-t felveszed a dhcpd konfigba és adsz neki ilyet.

Jelenleg ezt egy windows 2019-el tudnám megcsinálni. Nem teljesen értem az elméletét ennek. Úgy tudom elképzelni, hogy például egy eszközzel csatlakozok a routerhez, az nem a saját DHCP szerverét használja, hanem a win-es DHCP szervertől kér IP-t az eszköznek. Jól gondolom?

A TP-linken ki-be tudom kapcsolni a DHCP szervert, de nem látok olyan opciót, hogy külső DHCP szervert adjak meg neki.

Hali!

Nem a tp-link routeten kell megadni külső dhcp szervert. Amelyik eszköz ip címet szeretne az elküld egy dhcp "kérést". Onnantól ha nem a router válaszol neki, mert abban ki van kapcsolva (mert nem eléggé konfigolható), hanem bármely más eszközöd (pl. a windows szervered) akkor az onnan kapott dhcp "választ" fogja elfogadni.

Üdv:
Feri

Annyi értelme van, hogy van egy IP tartomány pl 192.168.10.x, be van állítva, mac binndel, hogy két-három gép kap ebből a tartományból IP címet, ezek kapnak default gw-t, dns szervert. A következő tartomány amihez a többi berendezés van binndelve azok csak megkapják a 192.168.20.x címet belső dns szerverrel, gw nélkül. Tehát a második tartomány csak a hálózatba tud kommunikálni, nem lát ki az internetre. 

Csak az miatt nem ajánlott, mert akkor minden eszköz egy hálózatba van, vagy pedig van bármi más biztonsági kockázata?