общий доступ по wi-fi
-
Тема конечно, но совсем по pfsense, но все равно спрошу у вас совета. К нам в офис приходят клиенты и нужно чтобы они с телефона по wi-fi могли скидывать свои фотки. Как максимально обезопасить сеть в подобном случае чтобы никакие хацкеры не могли ничего натворить через этот wi-fi? Интуиция мне подсказывает, что надо использовать vlan, но конкретного решения в голову не приходит.
-
нужно чтобы они с телефона по wi-fi могли скидывать свои фотки
А по какому протоколу (какой программой) они будут скидывать фотки?
-
Что в кач-ве wi-fi у вас трудится ? Если это отдельный роутер - настраивайте его в кач-ве точки доступа и пускай клиенты получают настройки от pfsense. Затем пишите правила для этих клиентов в fw.
Если это просто интерфейс pfsense (wi-fi сетевая карта) , то сразу рисуете правила в fw.
P.s. Как вариант - прошить ваш роутер (если железо позволяет) альтернативной прошивкой - tomatousb\openwrt\dd-wrt и настроить guest-сеть, засунув ее в отдельный vlan.
-
А по какому протоколу (какой программой) они будут скидывать фотки?
На счет протокола и программы точно сказать не могу ибо я совсем не спец в телефонах. Скидывать будут в основном с андроидов и винмобайлов.
Что в кач-ве wi-fi у вас трудится ?
В качестве wi-fi есть возможность поставить маршрутизатор d-link dir-615 либо воткнуть wi-fi сетевуху. Так же есть возможность поставить виртуалку специально для обменника на любой оси.
-
Пробуйте и с роутером (в режиме ТД) и просто с wi-fi сетевой
-
Пробуйте и с роутером (в режиме ТД) и просто с wi-fi сетевой
А как правильно настроить vlan? На роутере можно указать теги для каждого порта, а вот на сетевухе я нашел только включение и выключение поддержки vlan.
-
Пробуйте и с роутером (в режиме ТД) и просто с wi-fi сетевой
А как правильно настроить vlan? На роутере можно указать теги для каждого порта, а вот на сетевухе я нашел только включение и выключение поддержки vlan.
А зачем вам vlan? Назначьте ви-фи-клиентам адреса из неиспользованных в вашей локальной сети, создайте алиас и рулите правилами fw, т.е. разрешите эим клиентам только то что нужно.
-
А зачем вам vlan? Назначьте ви-фи-клиентам адреса из неиспользованных в вашей локальной сети, создайте алиас и рулите правилами fw, т.е. разрешите эим клиентам только то что нужно.
Вы говорите только про вариант с "сетевухой"? Или для отдельной ТД это решение тоже подойдет?
-
А зачем вам vlan? Назначьте ви-фи-клиентам адреса из неиспользованных в вашей локальной сети, создайте алиас и рулите правилами fw, т.е. разрешите эим клиентам только то что нужно.
Вы говорите только про вариант с "сетевухой"? Или для отдельной ТД это решение тоже подойдет?
Если ви-фи роутер будет работать как простая ТД (такой себе беспрводной свитч) , то можете и такой вариант использовать.
-
Если ви-фи роутер будет работать как простая ТД (такой себе беспрводной свитч) , то можете и такой вариант использовать.
Тогда собственно сам вопрос )
Допустим конфигурация следующая:- интерфейс pfSense: 192.168.0.1/24
- используются адреса для "обычной сети": 192.168.0.10-192.168.0.20
- адрес ТД (роутер в режиме ТД): 192.168.0.20. Адреса, которые назначаются "гостям", подключающимся по wi-fi: 192.168.0.50-192.168.0.70
- адрес клиента, который подключился по wi-fi: 192.168.0.50
Если я правильно понял, то это пример конфигурации, которую Вы имели ввиду.
Теперь задача: обеспечить, чтобы "гости" не попадали на машины с ip 192.168.0.10-192.168.0.20.
Если это отдельный роутер - настраивайте его в кач-ве точки доступа и пускай клиенты получают настройки от pfsense. Затем пишите правила для этих клиентов в fw.
Вы предлагаете это решить силами firewall pfSense, но как?! Что мешает обратиться "гостю" (192.168.0.50) к компу (192.168.0.10) напрямую?
-
Тогда собственно сам вопрос )
Допустим конфигурация следующая:- интерфейс pfSense: 192.168.0.1/24
- используются адреса для "обычной сети": 192.168.0.10-192.168.0.20
- адрес ТД (роутер в режиме ТД): 192.168.0.20. Адреса, которые назначаются "гостям", подключающимся по wi-fi: 192.168.0.50-192.168.0.70
- адрес клиента, который подключился по wi-fi: 192.168.0.50
Если я правильно понял, то это пример конфигурации, которую Вы имели ввиду.
Теперь задача: обеспечить, чтобы "гости" не попадали на машины с ip 192.168.0.10-192.168.0.20.
….......................
Вы предлагаете это решить силами firewall pfSense, но как?! Что мешает обратиться "гостю" (192.168.0.50) к компу (192.168.0.10) напрямую?
Если у вас есть в наличие еще одна сетевуха - просто берем и втыкаем ее в комутер с pfSense, на эту сетевуху вешаем вашу ТД, в этой минилокалке ведем отдельную адресацию, а в самом pfSense уже правилами на нужном интерфейсе раздаем все как надо
PS: решение совсем не претендует на идеал, но вполне работающее
-
Если у вас есть в наличие еще одна сетевуха - просто берем и втыкаем ее в комутер с pfSense, на эту сетевуху вешаем вашу ТД, в этой минилокалке ведем отдельную адресацию, а в самом pfSense уже правилами на нужном интерфейсе раздаем все как надо
Это вариант вполне понятен, но согласитесь, что из текста исходного предложения нельзя сделать вывод о таком способе реализации:
Назначьте ви-фи-клиентам адреса из неиспользованных в вашей локальной сети, создайте алиас и рулите правилами fw, т.е. разрешите эим клиентам только то что нужно.
Если ви-фи роутер будет работать как простая ТД (такой себе беспрводной свитч) , то можете и такой вариант использовать.
-
Хм..Тогда суем ви-фи карту в пф , создаем в нем AP и рулим правилами на ней. Это дешевле всего выйдет.
-
Хм..Тогда суем ви-фи карту в пф , создаем в нем AP и рулим правилами на ней. Это дешевле всего выйдет.
Я видимо очень плохо формулирую свои вопросы и получается, что мы говорим о разных вещах.
СПАСИБО за искренне желание помочь.