Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Гостевой WiFi в офисе. Трабл: WiFi клиенты видят LAN

    Scheduled Pinned Locked Moved Russian
    4 Posts 2 Posters 579 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      Jon_777
      last edited by

      Всем привет.
      Запилил WiFi роутер для гостей (и мобильников сотрудников). Интернет на WiFi есть (сам Интернет без ограничений).

      Роутер воткнут в локальную сеть (в смысле в обычную офисную розетку).
      Привязал роутеру статический ip 192.168.1.85 (сам router раздаёт своим клиентам 192.168.2.2-254).
      LAN address pool: 192.168.1.1-254  ()
      И вот в чём ахтунг:
      У меня похолодело внутри, когда я смог с iPad подключиться к http:\192.168.1.100 - это наш NAS.

      Как сделать так, чтобы всЁ с WiFi роутера никак не попадало в LAN? Т.е., фактически, "отделить" 192.168.1.85 от LAN. (pfSense+Squid+Guard на 192.168.1.1).
      Или какие обычно есть практики раздачи WiFi клиентам и гостям?

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Добрый.

        У меня похолодело внутри, когда я смог с iPad подключиться к http:\192.168.1.100 - это наш NAS.

        Вы подкл. роутер ВАН портом к общему ЛАНу? Или кабель из его ЛАНа воткнули в общую сеть?

        Помочь может или отдельная сетевая в пф\L2-свитч или альтернативная прошивка для роутера. Если он ее поддерживает.

        У себя реализовал сети для гостей на ТП-Линках (740(1), 840) с помощью перепрошивки в openwrt. Прошивку с LUCI и нужными мне пакетами компилил сам - на 4pda все подробно описано. Также проделывал аналогичное на asus rt-n12 перепрошивкой в tomatousb shibby's mode.

        P.s. Кстати, коллеги, с недавних пор openwrt умеет это - https://wiki.openwrt.org/doc/howto/sqm . Реализован пакетом с набором скриптов. Вкратце, позволяет безболезненно качать торренты, смотреть ютуб, общаться в скайпе, серфить и играть, напр., в WOT одновременно  Скомпилил прошивку для tplink 840n v2, настроил и самолично проверил - работает.

        1 Reply Last reply Reply Quote 0
        • J
          Jon_777
          last edited by

          WAN порт роутера прописан мной как статический IP 192.168.1.85 (шлюз - 192.168.1.1, DNSы гугловские(чтобы он не "искал ветра" на 192.168.1.1)) (на самом NAS я запретил доступ его ресурсам с 192.168.1.85 - это временное решение, оно работает).
          B LAN порт роутера воткнут ещё один роутер. Репитер по воздуху из него (второго роутера) не получился, из-за приличной удаленности роутеров друг от друга).

          Хочется, чтобы pfSense всё, что приходит с 192.168.1.85 перенаправлял напрямую в интернет. И не использовал Proxy, чтобы даже DNS запросы отправлял на 8.8.8.8 и 8.8.4.4

          И ещё проблема. В отчётах Squid Light трафик узла 192.168.1.85 - смешанный. Т.е. если к роутеру подключились несколько устройств и используют интернет, то в отчетах нельзя увидеть "разблюдовку" по устройствам (iPhone_Kolya, Android1234, iPad_Boss и т.д.). Я понимаю, что это из области фантастики, но и мы не в 19 веке живём)

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Хочется, чтобы pfSense всё, что приходит с 192.168.1.85 перенаправлял напрямую в интернет. И не использовал Proxy, чтобы даже DNS запросы отправлял на 8.8.8.8 и 8.8.4.4

            Причем тут днс и прокси? Надо мимо прокси - в исключения сквида адрес 192.168.1.85 в src ip.

            И ещё проблема. В отчётах Squid Light трафик узла 192.168.1.85 - смешанный. Т.е. если к роутеру подключились несколько устройств и используют интернет, то в отчетах нельзя увидеть "разблюдовку" по устройствам (iPhone_Kolya, Android1234, iPad_Boss и т.д.). Я понимаю, что это из области фантастики, но и мы не в 19 веке живём)

            Ес-но, гости-то в ЛАН адресом ВАН роутера светят ( на адрес 192.168.1.85 натиться все, что идет от гостей).

            Как получить профит - описал ранее. Выбирать как именно - вам.

            Зы. И на кой нужен сквид для гостевой сети. Задача такой сети - изолировать гостей от корп. ресурсов. А иначе вам еще и mitm для ssl прикручивать прийдется в сквиде для расшифровки трафика.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.