Eu tenho um modem/roteador do meu ISP que sou forçado a usar. Gostaria de fornecer um AP Wifi para convidados aleatórios que possam aparecer em minha casa, mas não quero ter o PC deles cheio de vírus na minha rede nem quero que eles possam acessar qualquer coisa no meu roteador (que até onde sei, NÃO está essencialmente protegido) ou outros computadores na rede (que eu sei que não estão protegidos).
Minha primeira ideia era ter um roteador OpenBSD adicional conectado ao meu roteador ISP, que por sua vez encapsularia o wifi "convidado" em uma VPN (provavelmente IPsec) para um servidor em um datacenter.
Essa é uma solução sensata? (Não me importo com a complexidade, apenas faz sentido em termos de segurança)
Responder1
Instale um firewall real como o único dispositivo conectado ao que seu ISP lhe forneceu.
a.pfSenseé um software gratuito que funciona bem para isso, dado o hardware com algumas portas Ethernet. Você pode usar um computador antigo, comprar algo noLoja, use um PC minúsculo como umfilé XA10com 4 portas Ethernet Intel, etc.
Uma interface para WAN, uma interface para controlar todos eles (LAN), uma interface para seu wifi.
b. Você poderia usar wifi embutido em um firewall pfSense para isso, mas eu prefiro umUbiquiti Unifisolução - leia primeiro os fóruns. Eles são muito baratos e muito capazes, mas sempre leiam os fóruns.
eu. Observe que os pontos de acesso Ubiquiti permitem VLAN, assim como o armazenamento pfSense e os dispositivos fitlet, para que você possa servir quatro SSIDs (um para convidados), independentes um do outro, bem como a interface de gerenciamento. Eles precisam de um controlador para configurar isso, seja um serviço em um computador existente ou um Raspberry Pi.
No firewall, para a interface wifi convidada ou VLAN, ele obtém sua própria sub-rede e cria regras de firewall que o bloqueiam de todas as outras sub-redes locais. Crie também regras de firewall que impeçam o acesso direto ao seu roteador.
Faça login no roteador que lhe foi emitido, altere a senha e desligue o wi-fi.