У меня есть модем/роутер от моего интернет-провайдера, который я вынужден использовать. Я хотел бы предоставить точку доступа Wi-Fi для случайных гостей, которые могут появиться у меня дома, но я не хочу, чтобы их зараженный вирусами ПК был в моей сети, и я не хочу, чтобы они могли получить доступ к чему-либо на моем роутере (который, насколько мне известно, по сути НЕ защищен) или к другим компьютерам в сети (которые, как я знаю, вообще не защищены).
Первой моей идеей было подключить дополнительный маршрутизатор OpenBSD к маршрутизатору моего интернет-провайдера, который, в свою очередь, инкапсулировал бы «гостевой» Wi-Fi в VPN (вероятно, IPsec) к серверу в центре обработки данных.
Разумное ли это решение? (Я не против сложности, просто это имеет смысл с точки зрения безопасности)
решение1
Установите настоящий брандмауэр как единственное устройство, подключенное к сети, предоставленной вам вашим интернет-провайдером.
а.pfSenseэто бесплатное программное обеспечение, которое хорошо подходит для этого, учитывая оборудование с несколькими портами Ethernet. Вы можете использовать старый компьютер, купить что-то изМагазин pfSense, используйте маленький ПК, какфитинг XA10с 4 портами Intel Ethernet и т. д.
Один интерфейс для WAN, один интерфейс для управления всеми (LAN), один интерфейс для вашего Wi-Fi.
б. Для этого можно использовать встроенный в брандмауэр pfSense Wi-Fi, но я предпочитаюUbiquiti Unifiрешение - сначала почитайте форумы. Они очень дешевые и очень эффективные, но всегда читайте форумы.
i. Обратите внимание, что точки доступа Ubiquiti допускают VLAN, как и устройства pfSense store и fitlet, поэтому вы можете заставить их обслуживать четыре SSID (один для гостей), каждый из которых независим друг от друга, а также интерфейс управления. Им нужен контроллер для настройки этого, либо служба на существующем компьютере, либо Raspberry Pi.
На брандмауэре для гостевого интерфейса Wi-Fi или VLAN он получает свою собственную подсеть и создает правила брандмауэра, которые блокируют его от всех других локальных подсетей. Также создайте правила брандмауэра, которые блокируют его прямой доступ к вашему маршрутизатору.
Войдите в выданный вам маршрутизатор, измените пароль и отключите Wi-Fi.