Как организовать открытый WiFi доступ



  • Подскажите, плз, какие настройки выбрать для того, чтобы раздавать часть своего домашнего интернет трафика на открытый wifi?
    Т.е. имеется одна физическая локальная сеть. Надо сделать так, чтобы вторая, виртуальная, была открыта для пользователей вайфай. При этом ресурсы основной локальной сети небыли бы видны.
    Я набросал диаграмку того, что примерно нужно. Но не могу сообразить, что конкретно настраивать в pfsense. Нужно ли делать два виртуальных адаптера в VM Player (один как бы WAN, а другой для LAN) или достаточно будет одного, где делать DHCP для виртуальной сети, как настроить досуп из виртуальной LAN в и интернет.
    Посоветуйте плз.



  • Даже не знаю что тут сказать. Без пересмотра топологии сети поставленных задач невозможно достигнуть. Так как в любом случае тут все открыто. У себя для открытого доступа я использую Capative Portal (пфСенс стоит между модемом и точкой доступа как выделенный роутер) с системой временных ваучеров (одноразовый код).



  • Хм, DIR-615 (не советовал бы его, уж лучше Tp-Link 941ND или DIR-620 c wive-ng внутри), перевести в режим просто AP. Адреса будет раздавать pf по DHCP. В правилах fw на pf-е для wi-fi клиентов разрешить только определенные порты (открытый доступ он такой открытый :) ) . Я бы оставил только 53 tcp\udp, 80\tcp, 43\udp и icmp, ну и для почты , если надо, хотя я бы 25-ый не открывал (вирусня часто его для рассылок спама исп-ет) - вместо него 465-ый. И еще бы ограничил кол-во сессий с одного IP. Закрыть внутреннюю сетку от этих товарищей правилами fw плюс ограничить скорость Limiter-ом .

    Или, проще, сменить dir-615  на роутер с шейпером и фаером. И не заморачиваться. Тот же TP-LINK 941ND подойдет.



  • @SysR:

    Даже не знаю что тут сказать. Без пересмотра топологии сети поставленных задач невозможно достигнуть. Так как в любом случае тут все открыто. У себя для открытого доступа я использую Capative Portal (пфСенс стоит между модемом и точкой доступа как выделенный роутер) с системой временных ваучеров (одноразовый код).

    Ну, я в принципе примерно похожую схему пытаюсь делать. Разница только в том, что Dir-615 будет соединяться с pf через vpn-клиента, таким образом эмулируя как бы отдельную сеть. Для этого собственно VPN и задумывается. Т.е. вайфаевские пакеты с dir615 будут поступать по vpn только в pf и никуда больше, хотя физически  одна ethernet сеть.
    Вопрос, как конкретно настраивать это в pf. Т.е. сколько делать интерфесов?
    Один WAN или несколько (каких?)? И как тогда внутри определять VPN сеть со своим DHCP, чтобы к ней подключался dir-615?



  • Идеальным вариантом было бы организовать VLANы но для этого необходимо соответствующие активное оборудование.
    Интерфейса достаточно одного, МПД для ВПНа поднимает отдельный интерфейс.



  • @spoonboy:

    @SysR:

    Даже не знаю что тут сказать. Без пересмотра топологии сети поставленных задач невозможно достигнуть. Так как в любом случае тут все открыто. У себя для открытого доступа я использую Capative Portal (пфСенс стоит между модемом и точкой доступа как выделенный роутер) с системой временных ваучеров (одноразовый код).

    Ну, я в принципе примерно похожую схему пытаюсь делать. Разница только в том, что Dir-615 будет соединяться с pf через vpn-клиента, таким образом эмулируя как бы отдельную сеть. Для этого собственно VPN и задумывается. Т.е. вайфаевские пакеты с dir615 будут поступать по vpn только в pf и никуда больше, хотя физически  одна ethernet сеть.
    Вопрос, как конкретно настраивать это в pf. Т.е. сколько делать интерфесов?
    Один WAN или несколько (каких?)? И как тогда внутри определять VPN сеть со своим DHCP, чтобы к ней подключался dir-615?

    ADSL-модем в каком режиме - мост или сам сессию поднимает? У вас же все уст-ва в ОДНОЙ подсети с ОДНИМ подключением к интернету. Тогда  на кой ляд городить впн-канал для дир-615? Зачем это надо? Самую простую схему для ви-фи клиентов я описал в пред. своём сообщение.
    Вообщем, опишите все ньюансы - помогут.



  • @werter:

    @spoonboy:

    @SysR:

    Даже не знаю что тут сказать. Без пересмотра топологии сети поставленных задач невозможно достигнуть. Так как в любом случае тут все открыто. У себя для открытого доступа я использую Capative Portal (пфСенс стоит между модемом и точкой доступа как выделенный роутер) с системой временных ваучеров (одноразовый код).

    Ну, я в принципе примерно похожую схему пытаюсь делать. Разница только в том, что Dir-615 будет соединяться с pf через vpn-клиента, таким образом эмулируя как бы отдельную сеть. Для этого собственно VPN и задумывается. Т.е. вайфаевские пакеты с dir615 будут поступать по vpn только в pf и никуда больше, хотя физически  одна ethernet сеть.
    Вопрос, как конкретно настраивать это в pf. Т.е. сколько делать интерфесов?
    Один WAN или несколько (каких?)? И как тогда внутри определять VPN сеть со своим DHCP, чтобы к ней подключался dir-615?

    ADSL-модем в каком режиме - мост или сам сессию поднимает? У вас же все уст-ва в ОДНОЙ подсети с ОДНИМ подключением к интернету. Тогда  на кой ляд городить впн-канал для дир-615? Зачем это надо? Самую простую схему для ви-фи клиентов я описал в пред. своём сообщение.
    Вообщем, опишите все ньюансы - помогут.

    Сессию с провайдером? Да, после включения сам коннкетиться и все устанавливает. Сам переконнекчивается, если надо. PPPoE протокол. На нам же сконфигурирован DHCP на локалку 192.168.1.0/24.
    Да, еще забыл добавить. DIR-615 версии C2, т.е. на него можно устаналвивать кастомерские прошивки, если такая необходимость будет. Я пока не пробовал.
    VPN для того, чтобы гарантированно изолировать локалку от внешнего трафика. Можно, конечно, просто поставить PF как дефолтовый гейтвэй на DIR615. Но меня несколько настораживает хождение внешних пакетов в локалке.
    Т.е. схема такая: в DIR615 я настраиваю VPN клинта, так чтобы он сразу сессию устанавливал VPN линк с PF и работал только через него (т.е. обозначаю PPTP как способ подключения к интернет).
    Далее, DHCP будет использоваться от PF, не с DIR 615.
    Далее, PF будет фильтровать что нужно и роутить трафик на DSL модем. Причем, важно, он будет отфильтровывать трафик на 192.168.1.0/24 (кроме гейтвэя), гарантируя тем самым недоступность локальных ресурсов.
    Вопрос: как это конфигурировать в PF? Пожалуйста, если можно, поподробнее. А то теорию поверхностно то я понимаю, а вот в конкретной имплементации не уверен.
    Спасибо.



  • Я бы вначале проверил работает ли схема без пф.
    Т.е. у DIR просто получить wan по DHCP и попробовать подключить беспроводных клиентов.
    Т.е мы получаем один NAT через другой. К сожалению, это не на всем оборудовании работает.
    В том, что пакеты будут ходить по локалке, нет ничего страшного.
    Потом на DIR ставим DD-WRT и получаем captiv portal. Лучше даже вначале поставить DD-WRT, а потом проверить.
    Стоит еще иметь в виду, что на устройствах только около 4000 сессий, которые убьют 15 человек с торентами.



  • @nomeron:

    Я бы вначале проверил работает ли схема без пф.
    Т.е. у DIR просто получить wan по DHCP и попробовать подключить беспроводных клиентов.
    Т.е мы получаем один NAT через другой. К сожалению, это не на всем оборудовании работает.
    В том, что пакеты будут ходить по локалке, нет ничего страшного.
    Потом на DIR ставим DD-WRT и получаем captiv portal. Лучше даже вначале поставить DD-WRT, а потом проверить.
    Стоит еще иметь в виду, что на устройствах только около 4000 сессий, которые убьют 15 человек с торентами.

    Так идея в том, чтобы NAT на Dir-615 не задейстовать, а адреса для WiFi подключений раздавались бы от DHCP, который на PF.



  • Тогда придется Nat делать на пф, или настраивать для клиентов через vpn шлюз в удаленной сети (адрес модема).
    К беспроводным длинкам я бы тоже относился с большим подозрением, уж больно они капризные (мне только DAP серия понравилась).
    Сложность системы в итоге получается сильно большой. Не будет она стабильно работать.



  • @nomeron:

    Тогда придется Nat делать на пф, или настраивать для клиентов через vpn шлюз в удаленной сети (адрес модема).
    К беспроводным длинкам я бы тоже относился с большим подозрением, уж больно они капризные (мне только DAP серия понравилась).
    Сложность системы в итоге получается сильно большой. Не будет она стабильно работать.

    Я думаю просто прописать в PF роутинг из VPN на модем. Фишка в том, что в PF можно отфильтровать адреса локальной сети сразу, оставив только адрес гейта.
    Насчет надежности работы - не знаю, у меня DIR-615 два года работал без выключения, на родной заводской прошивке. Я поэтому особо и не задумывался об апдейте на кастомерскую.
    В принципе, для моего решение перепрошивать и не надо. Вот если вместо VPN между DIR615 и PF строить VLAN - тогда да.


Log in to reply