ฉันมีเราเตอร์ที่มี OpenWRT (WRT54GL) และการกำหนดค่าพิเศษเพื่อทำหน้าที่เป็น "ซ่อนไคลเอ็นต์ WLAN จากเครือข่ายหลัก" การตั้งค่าจริงดังต่อไปนี้:
^
|
|WLAN
|10.0.0.x
|
|
|
Internet +-----------------+ LAN +-------+--------+
<-----------+ Some secret <------------> Router with |
| network stuff | 172.x.x.x | OpenWRT |
| | | |
+-----------------+ +---+---------+--+
| |
Config | |LAN
192.168.1.x| |172.x.x.x
| |
| |
v v
เครือข่าย 172.x.x.x เป็นเครือข่ายหลักบางแห่ง (เช่น บริษัท โรงแรม ฯลฯ ) เครือข่าย 192.168.1.x ใช้สำหรับการกำหนดค่าและแมปเข้ากับพอร์ต LAN หนึ่งพอร์ต คุณต้องเชื่อมต่อพีซีบนพอร์ตนี้เพื่อกำหนดค่าเราเตอร์ (เหตุผลด้านความปลอดภัย) เครือข่าย 10.0.0.x เป็น GUEST WLAN
โดยปกติจะไม่มีปัญหาใหญ่ในการกำหนดค่าเป็น GUEST WLAN แต่ในกรณีนี้มันพิเศษอย่างใดเพราะ:
- เครือข่ายหลักจะถูกวางไว้บนพอร์ต WAN แต่พอร์ตนี้ได้รับการกำหนดค่าใหม่ให้ทำหน้าที่เหมือนพอร์ต LAN เครือข่ายหลักและ LAN ไคลเอ็นต์ควรสื่อสารเหมือนไม่มีเราเตอร์ เราเตอร์ทำหน้าที่เหมือนสวิตช์ใบ้
- GUEST WLAN ควรมีการเข้าถึงอินเทอร์เน็ตและแขกอื่น ๆ แต่ไม่ใช่เครือข่ายหลักและการกำหนดค่า
- GUEST WLAN และอุปกรณ์ LAN ลูกค้าควรสื่อสารซึ่งกันและกัน
สิ่งที่ฉันได้ทำ / ถึง: เสร็จสิ้นสองคะแนนแรก ดังนั้นฉันจึงกำหนดค่าพอร์ต WAN ให้ทำหน้าที่เป็นพอร์ต LAN ในเมนูสวิตช์ฉันสร้าง VLANS สามตัว หนึ่งพอร์ตสำหรับไคลเอ็นต์ LAN หนึ่งพอร์ตสำหรับพอร์ต LAN หลักและอีกพอร์ตสำหรับพอร์ต LAN กำหนดค่า
VLANS สำหรับไคลเอ็นต์และ LAN หลักเชื่อมต่อกับอินเตอร์เฟส
แขก WLAN ได้รับการกำหนดค่าเหมือนเครือข่าย WIFI ปกติ
LAN config เป็นอินเตอร์เฟสแยกต่างหากโดยใช้ config VLAN
ในการสื่อสารกับอินเทอร์เน็ตฉันได้เพิ่มกฎไฟร์วอลล์เพื่อให้เครือข่าย LAN อยู่ในกลุ่ม WAN (เพราะเป็นสวิตช์และเป็นแหล่งอินเทอร์เน็ตในเวลาเดียวกัน) และส่วนติดต่อผู้ใช้ / CONFIG จะถูกส่งต่อไปยัง WAN
** ไฟล์ปรับแต่งบางไฟล์: **
/ etc / config / ไร้สาย
config 'wifi-device' 'wl0'
option 'type' 'broadcom'
option 'channel' 'auto'
option 'txpower' '18'
option 'hwmode' '11bg'
config 'wifi-iface'
option 'device' 'wl0'
option 'mode' 'ap'
option 'ssid' 'GRZUTS01'
option 'encryption' 'psk+psk2'
option 'key' '********'
/ etc / config / เครือข่าย
config 'switch' 'eth0'
option 'enable' '1'
config 'switch_vlan' 'eth0_0'
option 'device' 'eth0'
option 'vlan' '0'
option 'ports' '1 2 3 5'
config 'switch_vlan' 'eth0_1'
option 'device' 'eth0'
option 'vlan' '1'
option 'ports' '4 5'
config 'interface' 'loopback'
option 'ifname' 'lo'
option 'proto' 'static'
option 'ipaddr' '127.0.0.1'
option 'netmask' '255.0.0.0'
config 'switch_vlan'
option 'device' 'eth0'
option 'vlan' '2'
option 'ports' '0 5'
config 'interface' 'Config'
option 'proto' 'static'
option 'ifname' 'eth0.2'
option 'ipaddr' '192.168.1.1'
option 'netmask' '255.255.255.0'
config 'interface' 'Company'
option 'type' 'bridge'
option 'proto' 'dhcp'
option 'ifname' 'eth0.0 eth0.1'
config 'interface' 'Public'
option 'proto' 'static'
option 'ifname' 'wl0'
option 'ipaddr' '10.0.0.1'
option 'netmask' '255.255.255.0'
/ etc / config / DHCP
config 'dnsmasq'
option 'domainneeded' '1'
option 'boguspriv' '1'
option 'localise_queries' '1'
option 'rebind_protection' '1'
option 'rebind_localhost' '1'
option 'local' '/lan/'
option 'domain' 'lan'
option 'expandhosts' '1'
option 'readethers' '1'
option 'leasefile' '/tmp/dhcp.leases'
option 'resolvfile' '/tmp/resolv.conf.auto'
config 'dhcp' 'lan'
option 'interface' 'lan'
option 'ignore' '1'
config 'dhcp' 'wan'
option 'interface' 'wan'
option 'ignore' '1'
config 'dhcp'
option 'start' '100'
option 'limit' '150'
option 'interface' 'Public'
option 'leasetime' '72h'
config 'dhcp'
option 'start' '100'
option 'interface' 'Config'
option 'limit' '10'
option 'leasetime' '2h'
/ etc / config / ไฟร์วอลล์
config 'defaults'
option 'syn_flood' '1'
option 'input' 'ACCEPT'
option 'output' 'ACCEPT'
option 'forward' 'REJECT'
option 'drop_invalid' '1'
config 'include'
option 'path' '/etc/firewall.user'
config 'zone'
option 'forward' 'REJECT'
option 'output' 'ACCEPT'
option 'name' 'GUEST'
option 'input' 'REJECT'
option 'network' 'Public'
config 'zone'
option 'forward' 'REJECT'
option 'output' 'ACCEPT'
option 'name' 'WAN'
option 'input' 'REJECT'
option 'masq' '1'
option 'mtu_fix' '1'
option 'network' 'Company'
config 'forwarding'
option 'dest' 'WAN'
option 'src' 'GUEST'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Guest DNS'
option 'src' 'GUEST'
option 'proto' 'tcpudp'
option 'dest_port' '53'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Guest DHCP'
option 'src' 'GUEST'
option 'proto' 'tcpudp'
option 'dest_port' '67-68'
config 'zone'
option 'forward' 'REJECT'
option 'output' 'ACCEPT'
option 'name' 'CONFIG'
option 'network' 'Config'
option 'input' 'ACCEPT'
config 'forwarding'
option 'dest' 'WAN'
option 'src' 'CONFIG'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Config DNS'
option 'src' 'CONFIG'
option 'proto' 'tcpudp'
option 'dest_port' '53'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Config DHCP'
option 'src' 'CONFIG'
option 'proto' 'tcpudp'
option 'dest_port' '67-68'
ตอนนี้คำถามของฉัน:
ฉันจะเปลี่ยนการตั้งค่าเพื่อให้ไคลเอนต์ WLAN สามารถเข้าถึงไคลเอนต์ LAN ได้และไคลเอนต์ LAN สามารถเข้าถึงไคลเอนต์ WLAN ได้ แต่พอร์ต LAN หลักถูกบล็อกไม่ให้เข้าถึงไคลเอนต์ WLAN