Гостевой WiFi в офисе. Трабл: WiFi клиенты видят LAN
-
Всем привет.
Запилил WiFi роутер для гостей (и мобильников сотрудников). Интернет на WiFi есть (сам Интернет без ограничений).Роутер воткнут в локальную сеть (в смысле в обычную офисную розетку).
Привязал роутеру статический ip 192.168.1.85 (сам router раздаёт своим клиентам 192.168.2.2-254).
LAN address pool: 192.168.1.1-254 ()
И вот в чём ахтунг:
У меня похолодело внутри, когда я смог с iPad подключиться к http:\192.168.1.100 - это наш NAS.Как сделать так, чтобы всЁ с WiFi роутера никак не попадало в LAN? Т.е., фактически, "отделить" 192.168.1.85 от LAN. (pfSense+Squid+Guard на 192.168.1.1).
Или какие обычно есть практики раздачи WiFi клиентам и гостям? -
Добрый.
У меня похолодело внутри, когда я смог с iPad подключиться к http:\192.168.1.100 - это наш NAS.
Вы подкл. роутер ВАН портом к общему ЛАНу? Или кабель из его ЛАНа воткнули в общую сеть?
Помочь может или отдельная сетевая в пф\L2-свитч или альтернативная прошивка для роутера. Если он ее поддерживает.
У себя реализовал сети для гостей на ТП-Линках (740(1), 840) с помощью перепрошивки в openwrt. Прошивку с LUCI и нужными мне пакетами компилил сам - на 4pda все подробно описано. Также проделывал аналогичное на asus rt-n12 перепрошивкой в tomatousb shibby's mode.
P.s. Кстати, коллеги, с недавних пор openwrt умеет это - https://wiki.openwrt.org/doc/howto/sqm . Реализован пакетом с набором скриптов. Вкратце, позволяет безболезненно качать торренты, смотреть ютуб, общаться в скайпе, серфить и играть, напр., в WOT одновременно Скомпилил прошивку для tplink 840n v2, настроил и самолично проверил - работает.
-
WAN порт роутера прописан мной как статический IP 192.168.1.85 (шлюз - 192.168.1.1, DNSы гугловские(чтобы он не "искал ветра" на 192.168.1.1)) (на самом NAS я запретил доступ его ресурсам с 192.168.1.85 - это временное решение, оно работает).
B LAN порт роутера воткнут ещё один роутер. Репитер по воздуху из него (второго роутера) не получился, из-за приличной удаленности роутеров друг от друга).Хочется, чтобы pfSense всё, что приходит с 192.168.1.85 перенаправлял напрямую в интернет. И не использовал Proxy, чтобы даже DNS запросы отправлял на 8.8.8.8 и 8.8.4.4
И ещё проблема. В отчётах Squid Light трафик узла 192.168.1.85 - смешанный. Т.е. если к роутеру подключились несколько устройств и используют интернет, то в отчетах нельзя увидеть "разблюдовку" по устройствам (iPhone_Kolya, Android1234, iPad_Boss и т.д.). Я понимаю, что это из области фантастики, но и мы не в 19 веке живём)
-
Хочется, чтобы pfSense всё, что приходит с 192.168.1.85 перенаправлял напрямую в интернет. И не использовал Proxy, чтобы даже DNS запросы отправлял на 8.8.8.8 и 8.8.4.4
Причем тут днс и прокси? Надо мимо прокси - в исключения сквида адрес 192.168.1.85 в src ip.
И ещё проблема. В отчётах Squid Light трафик узла 192.168.1.85 - смешанный. Т.е. если к роутеру подключились несколько устройств и используют интернет, то в отчетах нельзя увидеть "разблюдовку" по устройствам (iPhone_Kolya, Android1234, iPad_Boss и т.д.). Я понимаю, что это из области фантастики, но и мы не в 19 веке живём)
Ес-но, гости-то в ЛАН адресом ВАН роутера светят ( на адрес 192.168.1.85 натиться все, что идет от гостей).
Как получить профит - описал ранее. Выбирать как именно - вам.
Зы. И на кой нужен сквид для гостевой сети. Задача такой сети - изолировать гостей от корп. ресурсов. А иначе вам еще и mitm для ssl прикручивать прийдется в сквиде для расшифровки трафика.