Ich versuche, ein WLAN-Gastnetzwerk für mein vorhandenes Netzwerk zu entwerfen, bin mir jedoch nicht sicher, wie ich den WLAN-Gastzugangspunkt vom übergeordneten Netzwerk absichern kann, wenn der Zugangspunkt im übergeordneten Netzwerk enthalten ist.
Ich habe versucht, danach zu suchen, aber ich erhalte nur Ergebnisse von Verbraucherhardware, die sagen „Klicken Sie auf diese Konfiguration“ und normalerweise davon ausgehen, dass der Hauptrouter auch der WLAN-Zugangspunkt selbst ist, was die logische Trennung viel einfacher macht.
+----------+
| Internet |
+----+-----+
|
|
+-------+------+
| Linux Router | 10.0.0.0/24
+----------+ +--------------+
| | 10.0.0.1 | |
| +-------+------+ |
| Device A - 10.0.0.5 |
| |
| Linux Guest Wifi Router - 10.0.0.200 |
| + |
| | |
+----------------------------------------+
|
|
| Guest Subnet 10.0.1.0/24
+----+--------------------------+
| |
| Guest Device X - 10.0.1.5 |
| |
+-------------------------------+
Der Hauptrouter ist eine Linux-Box mit zwei Netzwerkkarten (ext/int) (Debian 7 mit iptables) und sonst nichts. Der WLAN-Zugangspunkt für Gäste wird ein Rasp PI sein, den ich bestelle, und ich gehe davon aus, dass die erforderliche Konfiguration auf der WLAN-Box für Gäste enthalten sein wird.
Ich bin mir jedoch nicht sicher, wie ich iptables (nftables?) auf dem PI konfigurieren soll, um sicherzustellen, dass auf das übergeordnete Netzwerk nur über die Weiterleitung zum Internet zugegriffen werden kann.
- Wie gelangt „Gastgerät X“ zum Hauptrouter-Gateway (10.0.0.1), während ihm der Zugriff auf Gerät A (10.0.0.5) verweigert wird?
- Woher weiß ich, dass der Hauptrouter keine Anfragen für 10.0.0.5 zurück an das Subnetz 10.0.0.0/24 sendet? Muss ich iptables auf dem Hauptrouter einrichten, damit es mit dem WLAN-Router zusammenarbeitet?
Gewünschte Ergebnisse ab 10.0.1.5:
- $ Ping 10.0.0.5 – Ziel nicht erreichbar / Keine Route zum Host usw.
- $ ping 8.8.8.8 - OK
- $ ping 10.0.0.1 – (vermutlich OK?)
- $ Ping 10.0.0.200 – Unbekannt?
Diskussion für eine alternative mögliche Lösung unten:
- Ein Vorschlag war, eine zweite IP auf dem Hauptrouter einzurichten und das WLAN des Gastes auf diese IP zu routen. Also habe ich in den Dokumenten nachgeschaut und Folgendes gefunden:
Das Ganze sähe dann folgendermaßen aus:
Internet
|
Linux Router
(eth1 10.0.0.1) (eth1:1 10.0.1.1)
| |
Reg Network Guest Wifi Router (10.0.1.2)
(DHCP) |
Guest Device (10.0.?.?)
Ich bin mir derzeit über ein paar Dinge nicht sicher
- Wie richte ich die Routing-Tabelle des Hauptrouters ein, um Datenverkehr vom Subnetz 10.0.1.1 zum Subnetz 10.0.0.0/24 zu verhindern? Oder ist das an dieser Stelle eine iptables-Regel auf dem Hauptrouter? Ich bin mir nicht sicher, wie sich das davon unterscheidet, den WLAN-Gastrouter auf 10.0.0.0/24 zu haben, da der Hauptrouter immer noch in der Lage wäre, an andere Geräte in diesem Netzwerk zu routen?)
- Ich gehe davon aus, dass der WLAN-Router für Gäste einen DHCP-Server für die Gastgeräte benötigt. Aber würden die Gastgeräte das Subnetz 10.0.1.0/24 mit 10.0.1.1 als Gateway verwenden oder würde ich ein weiteres Subnetz 10.0.2.0/24 für Gastgeräte einrichten?
Antwort1
Zusammenfassung der Situation, um zu überprüfen, ob ich es richtig verstanden habe:
Der Gast-AP verbindet sich als Teil des privaten LAN oder WLAN mit dem Hauptrouter. Darüber hinaus möchten Sie ein Gastnetzwerk, das vom privaten Netzwerk getrennt ist, aber zwangsläufig das private Netzwerk verwendet, um den Hauptrouter zu erreichen.
Kurzskizze einer möglichen Lösung:
Die einzige Möglichkeit, dies sicher zu machen, besteht darin, den Hauptrouter darauf aufmerksam zu machen, dass es zwei Netzwerke gibt, und diese mit iptablesRegeln richtig zu trennen. Sie möchten also, dass Ihr Hauptrouter zwei Netzwerkschnittstellen sieht, eine mit 10.0.0.0/24 für das private Segment und eine mit 10.0.0.1/24 für das Gastsegment. Ich gehe davon aus, dass Sie angesichts der Kommentare wissen, wie Sie den Hauptrouter damit konfigurieren.
Das bedeutet, dass die Verbindung vom Gast-AP (RaspPi) zum Hauptrouter über eine Art Tunnel erfolgen sollte. Die einfachste Variante wäre einVLAN, das Ihr privates LAN mit (möglicherweise mehreren) virtuellen LANs „überlagert“.
Konkret fügen Sie sowohl auf dem RaspPi als auch auf der Debian-Box eine virtuelle Netzwerkschnittstelle mit etwas wie
ip link add link eth0 name eth0.55 type vlan id 55.
(Wählen Sie ein VLAN-Tag aus), verwenden und konfigurieren Sie es dann eth0.55wie eine normale Netzwerkschnittstelle. Sobald es funktioniert, können Sie es anpassen, /etc/network/interfacesdamit es automatisch angezeigt wird.
Bearbeiten
Für die Firewall benötigen Sie iptablesRegeln, die verhindern, dass die Schnittstellen eth0und eth0.55miteinander kommunizieren, also etwas in der Art von
#!/bin/bash
PRIVIF=eth0
GUESTIF=eth0.55
iptables -P FORWARD ACCEPT
iptables -F FORWARD
iptables -A FORWARD -i $PRIVIF -o $GUESTIF -j DROP
iptables -A FORWAD -i $GUESTIF -o $PRIVIF -j DROP
(ungetestet). Oder machen Sie es mit einer Standard-Weiterleitungsrichtlinie von DROP noch sicherer und listen Sie dann alle Weiterleitungen auf, die Sie zulassen, während Sie die NAT-Funktionalität des Routers beibehalten (falls vorhanden).
Es gibt zahlreiche Online-Tutorials zu Firewalls usw. iptablesWählen Sie einfach das aus, das Ihnen am besten gefällt.