ISP からモデム/ルーターを強制的に使用しています。家に突然やってくるゲストのために Wi-Fi AP を提供したいのですが、彼らのウイルスに感染した PC をネットワーク上に置きたくありませんし、ルーター (私の知る限り、基本的に保護されていません) やネットワーク上の他のコンピューター (まったく保護されていないことはわかっています) に彼らがアクセスできるようにしたくありません。
私の最初のアイデアは、追加の OpenBSD ルーターを ISP ルーターに接続し、そのルーターが「ゲスト」Wi-Fi をデータセンターのサーバーへの VPN (おそらく IPsec) にカプセル化するというものでした。
それは賢明な解決策でしょうか? (複雑さは気にしませんが、セキュリティの観点からは理にかなっています)
答え1
ISP から提供された唯一のデバイスとして、本物のファイアウォールをインストールします。
a.ペフセンスイーサネットポートがいくつかあるハードウェアであれば、この目的に適したフリーソフトウェアが使えます。古いコンピュータを使うか、pfSense ストア、小さなPCをフィットレット XA104 つの Intel イーサネット ポートなど付き。
WAN 用の 1 つのインターフェース、すべてを制御する 1 つのインターフェース (LAN)、Wi-Fi 用の 1 つのインターフェース。
b. pfSenseファイアウォールに内蔵されたWiFiを使用することもできますが、私はユビキティ ユニファイ解決策 - ただし、まずフォーラムを読んでください。フォーラムは非常に安価で、非常に有能ですが、必ずフォーラムを読んでください。
i. Ubiquiti アクセス ポイントは、pfSense ストアおよび fitlet デバイスと同様に VLAN を許可しているため、管理インターフェイスだけでなく、互いに独立した 4 つの SSID (1 つはゲスト用) を提供できます。これを設定するには、既存のコンピューター上のサービスまたは Raspberry Pi のいずれかのコントローラーが必要です。
ファイアウォールでは、ゲスト Wi-Fi インターフェイスまたは VLAN に独自のサブネットが割り当てられ、他のすべてのローカル サブネットからブロックするファイアウォール ルールが作成されます。また、ルーターに直接アクセスできないようにブロックするファイアウォール ルールも作成します。
発行されたルーターにログインし、パスワードを変更し、Wi-Fiをオフにします。