Ich habe ein Modem/einen Router von meinem ISP, den ich verwenden muss. Ich möchte einen WLAN-Zugangspunkt für zufällige Gäste bereitstellen, die bei mir zu Hause vorbeischauen, aber ich möchte nicht, dass ihre virenverseuchten PCs in meinem Netzwerk sind, und ich möchte auch nicht, dass sie auf irgendetwas auf meinem Router (der meines Wissens im Wesentlichen NICHT geschützt ist) oder anderen Computern im Netzwerk (von denen ich weiß, dass sie überhaupt nicht geschützt sind) zugreifen können.
Meine erste Idee bestand darin, einen zusätzlichen OpenBSD-Router an den Router meines Internetdienstanbieters anzuschließen, der wiederum das WLAN des „Gastes“ in ein VPN (wahrscheinlich IPsec) zu einem Server in einem Rechenzentrum einbinden würde.
Ist das eine sinnvolle Lösung? (Die Komplexität stört mich nicht, es ist nur so, dass es aus Sicherheitsgründen Sinn macht.)
Antwort1
Installieren Sie eine echte Firewall als einziges Gerät, das an das Gerät angeschlossen ist, das Sie von Ihrem ISP erhalten haben.
A.pfSenseist kostenlose Software, die dafür gut funktioniert, vorausgesetzt, die Hardware verfügt über ein paar Ethernet-Ports. Sie können einen alten Computer verwenden, etwas von derpfSense Store, verwenden Sie einen kleinen PC wie einFitlet XA10mit 4 Intel-Ethernet-Ports usw.
Eine Schnittstelle für WAN, eine Schnittstelle zur Steuerung aller Schnittstellen (LAN), eine Schnittstelle für Ihr WLAN.
b. Sie könnten hierfür das in einer pfSense-Firewall integrierte WLAN verwenden, aber ich bevorzuge eineUbiquiti UnifiLösung - lesen Sie jedoch zuerst die Foren. Sie sind sehr günstig und sehr leistungsfähig, aber lesen Sie immer die Foren.
i. Beachten Sie, dass die Ubiquiti-Zugangspunkte VLAN zulassen, ebenso wie der pfSense-Store und die Fitlet-Geräte. Sie können also vier SSIDs (eine für Gäste) bereitstellen, die jeweils unabhängig voneinander sind, sowie die Verwaltungsschnittstelle. Für die Einrichtung benötigen Sie einen Controller, entweder einen Dienst auf einem vorhandenen Computer oder einen Raspberry Pi.
In der Firewall erhält die WLAN-Schnittstelle oder das VLAN des Gastes ein eigenes Subnetz. Erstellen Sie Firewall-Regeln, die es von allen anderen lokalen Subnetzen aus blockieren. Erstellen Sie außerdem Firewall-Regeln, die den direkten Zugriff auf Ihren Router blockieren.
Melden Sie sich bei dem Ihnen zugewiesenen Router an, ändern Sie das Passwort und schalten Sie das WLAN aus.