Гостевой WiFi в офисе. Трабл: WiFi клиенты видят LAN



  • Всем привет.
    Запилил WiFi роутер для гостей (и мобильников сотрудников). Интернет на WiFi есть (сам Интернет без ограничений).

    Роутер воткнут в локальную сеть (в смысле в обычную офисную розетку).
    Привязал роутеру статический ip 192.168.1.85 (сам router раздаёт своим клиентам 192.168.2.2-254).
    LAN address pool: 192.168.1.1-254  ()
    И вот в чём ахтунг:
    У меня похолодело внутри, когда я смог с iPad подключиться к http:\192.168.1.100 - это наш NAS.

    Как сделать так, чтобы всЁ с WiFi роутера никак не попадало в LAN? Т.е., фактически, "отделить" 192.168.1.85 от LAN. (pfSense+Squid+Guard на 192.168.1.1).
    Или какие обычно есть практики раздачи WiFi клиентам и гостям?



  • Добрый.

    У меня похолодело внутри, когда я смог с iPad подключиться к http:\192.168.1.100 - это наш NAS.

    Вы подкл. роутер ВАН портом к общему ЛАНу? Или кабель из его ЛАНа воткнули в общую сеть?

    Помочь может или отдельная сетевая в пф\L2-свитч или альтернативная прошивка для роутера. Если он ее поддерживает.

    У себя реализовал сети для гостей на ТП-Линках (740(1), 840) с помощью перепрошивки в openwrt. Прошивку с LUCI и нужными мне пакетами компилил сам - на 4pda все подробно описано. Также проделывал аналогичное на asus rt-n12 перепрошивкой в tomatousb shibby's mode.

    P.s. Кстати, коллеги, с недавних пор openwrt умеет это - https://wiki.openwrt.org/doc/howto/sqm . Реализован пакетом с набором скриптов. Вкратце, позволяет безболезненно качать торренты, смотреть ютуб, общаться в скайпе, серфить и играть, напр., в WOT одновременно  Скомпилил прошивку для tplink 840n v2, настроил и самолично проверил - работает.



  • WAN порт роутера прописан мной как статический IP 192.168.1.85 (шлюз - 192.168.1.1, DNSы гугловские(чтобы он не "искал ветра" на 192.168.1.1)) (на самом NAS я запретил доступ его ресурсам с 192.168.1.85 - это временное решение, оно работает).
    B LAN порт роутера воткнут ещё один роутер. Репитер по воздуху из него (второго роутера) не получился, из-за приличной удаленности роутеров друг от друга).

    Хочется, чтобы pfSense всё, что приходит с 192.168.1.85 перенаправлял напрямую в интернет. И не использовал Proxy, чтобы даже DNS запросы отправлял на 8.8.8.8 и 8.8.4.4

    И ещё проблема. В отчётах Squid Light трафик узла 192.168.1.85 - смешанный. Т.е. если к роутеру подключились несколько устройств и используют интернет, то в отчетах нельзя увидеть "разблюдовку" по устройствам (iPhone_Kolya, Android1234, iPad_Boss и т.д.). Я понимаю, что это из области фантастики, но и мы не в 19 веке живём)



  • Хочется, чтобы pfSense всё, что приходит с 192.168.1.85 перенаправлял напрямую в интернет. И не использовал Proxy, чтобы даже DNS запросы отправлял на 8.8.8.8 и 8.8.4.4

    Причем тут днс и прокси? Надо мимо прокси - в исключения сквида адрес 192.168.1.85 в src ip.

    И ещё проблема. В отчётах Squid Light трафик узла 192.168.1.85 - смешанный. Т.е. если к роутеру подключились несколько устройств и используют интернет, то в отчетах нельзя увидеть "разблюдовку" по устройствам (iPhone_Kolya, Android1234, iPad_Boss и т.д.). Я понимаю, что это из области фантастики, но и мы не в 19 веке живём)

    Ес-но, гости-то в ЛАН адресом ВАН роутера светят ( на адрес 192.168.1.85 натиться все, что идет от гостей).

    Как получить профит - описал ранее. Выбирать как именно - вам.

    Зы. И на кой нужен сквид для гостевой сети. Задача такой сети - изолировать гостей от корп. ресурсов. А иначе вам еще и mitm для ssl прикручивать прийдется в сквиде для расшифровки трафика.



  • Вам же писали

    Помочь может или отдельная сетевая в пф\L2-свитч или альтернативная прошивка для роутера. Если он ее поддерживает.

    IMXO

    Помочь может или отдельная сетевая в пф

    Я СЧИТАЮ ЭТО ЛУЧШИЙ ВАРИАНТ и завернуть все на Captive Portal