Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailemVyřešeno AP Isolation nefunguje

Zdravím,
mám tu problém se zabezpečení sítě, vedle v hospodě mám wifi router připojenej LAN-LAN k hlavní routeru v druhé budově a nechci, aby se na něho připojený stroje nedostali k počítačům u nás - připojených do hlavního routeru a switchů. Zapnul jsem AP isolation s tím, že by to mělo zablokovat přístup z wifi k počítačům s místní IP (10.0.0.x). Když jsem v místní síti viděl stroje připojený v hospodě, zdálo se mi to divný a vyzkoušel s noťasem se dostat do počítačů z té otevřené wifi a bez problémů!
Tak prosím poraďte jak to mám vyřešit, proč AP isolation nefunguje? Sdílení souborů mám sice zabezpečené ještě heslem, ale chci mít jistotu.

Předem díky

Předmět Autor Datum
Konečně jsem našel popis jak snad AP Isolation funguje, přeložil jsem si to správně, že to blokuje p…
Nikd0 01.09.2012 18:35
Nikd0
Ano prelozil si si to spravne.
fleg 01.09.2012 18:51
fleg
různé wifikrámy na sebe neuvidí.
lední brtník 01.09.2012 18:55
lední brtník
ano, AP isolation zamezuje JEN komunikaci mezi klienty sítě, na klasický ethernet se nevztahuje. Ja…
touchwood 01.09.2012 19:07
touchwood
Zapojení přes další router by pro mě bylo z geografických důvodů hodně složité. O DD-WRT slyším popr…
Nikd0 01.09.2012 20:11
Nikd0
Moznost je tam nielen jedna, ale to by chcelo trosku studovat. http://www.dd-wrt.com/wiki/index.php/…
fleg 01.09.2012 20:15
fleg
jde o to, že DD-WRT umí nastavit VLANy, tj. že oddělíš např. LAN porty od wifi (nebo uděláš LAN port…
touchwood 01.09.2012 22:22
touchwood
tak ako ti radi touchwood, riesenie je pouzit VLANy (mozno to tvoje routre podporuju uz teraz a nebu…
nl12345 02.09.2012 21:33
nl12345
Tak jsem si konečně na to našel čas, do routeru jsem nahrál DD-WRT, ale potřebuji poradit jak to nas…
Nikd0 07.09.2012 15:41
Nikd0
DD-WRT nepoznam, ale kedze vychadza z linuxu predpokladam podobny scenar. Na dhcp servri si pridel i…
fleg 07.09.2012 15:56
fleg
A jak mám přidělit adresy podle MAC, když neznám MAC zařízení co se připojují k wifi? To mám dát DHC…
Nikd0 07.09.2012 16:32
Nikd0
Ja som to pochopil tak ze podla mac priradis len PC do tej autorizovanej podskupiny (t.j. tvoje PC),…
MM.. 07.09.2012 16:50
MM..
Ty skupiny nevím jak. Ale teď mi došlo, že já nepotřebuju se vúbec starat o to, které zařízení má ja…
Nikd0 07.09.2012 17:05
Nikd0
s tymi krabickami co mas, by som to urobil asi takto: - wifi router by som pripojil tak, ze zo swit…
nl12345 07.09.2012 17:50
nl12345
A chces oddelit iba tych wifi klientov na wifi routri hej? DHCP server mas iba na hlavnom routri? Ab…
nl12345 07.09.2012 16:07
nl12345
No právě, ten switch nemáme a nechce se mi shánět další krabičky :D Teď mám DHCP natom hlavním a vše…
Nikd0 07.09.2012 16:28
Nikd0
aha. v tom případě zapomeň na to spodní schéma. Bohužel se to ale trošku zkomplikuje, protože budeš…
touchwood 07.09.2012 19:26
touchwood
Dobře, zkusím to, snad to zvládnu.
Nikd0 07.09.2012 19:38
Nikd0
V první řadě to máš blbě. Je třeba to zapojit takto: hl. router -- WAN LAN ----------------------…
touchwood 07.09.2012 19:22
touchwood
To je ten problém, hlavní router a zařízení na ten switch i wifi router jsou každý v jiné budově a m…
Nikd0 07.09.2012 19:37
Nikd0
Tak vyřešeno Nakonec jsem použil řešení od nl12345 - wifi router jsem zapojil WAN portem, zapnul DHC…
Nikd0 07.09.2012 21:55
Nikd0
v tom případě ale drátoví klienti na wifi routeru jsou odříznutí taky... Myslel jsem, že nepůjde in…
touchwood 07.09.2012 22:22
touchwood
To nevadí, drátově je tam připojen 1 počítač v hospodě kde se jenom přijimají sázky a potřebuje jeno…
Nikd0 08.09.2012 10:27
Nikd0
To s tym hlavnym routrom som si neuvedomil, ze nepotrebuje byt vo vynimke, ale som tad tym ani moc n…
nl12345 08.09.2012 12:37
nl12345
Pre to co potrebujes bola vytvorena funkcia SIET PRE HOSTI. Ten kto sa pripoji k wifi siet pre hosti…
Vlasto15 22.08.2021 12:08
Vlasto15
Myslíš, že to od toho roku 2012 ještě nevyřešil? Zvláště když to je označené jako Vyřešeno. poslední
Karel04 22.08.2021 14:12
Karel04

Konečně jsem našel popis jak snad AP Isolation funguje, přeložil jsem si to správně, že to blokuje pouze komunikace mezi zařízeními v té jedné wifi a ne mezi wifi a LAN? Nebo mi to prosím vysvětlete, nikde není popsáno co přesně tato možnost dělá.

ano, AP isolation zamezuje JEN komunikaci mezi klienty sítě, na klasický ethernet se nevztahuje.

Jak z toho ven - nejlevnější řešení je DD-WRT, ale není to záležitost na naklikání během několika minut.

Druhá varianta je použít další router a "citlivé" počítače umístit do sítě za tímto druhým routerem, který bude WAN portem připojen do stávající LAN s "hospodskými" klienty.

Zapojení přes další router by pro mě bylo z geografických důvodů hodně složité.
O DD-WRT slyším poprvé, mohl bys mi trochu blíž popsat, jak mi to pomůže? Pochopil jsem že to nahraju do routeru místo originální firmwaru, ale co dál, jaké tam mám možnosti vyřešit můj problém?

jde o to, že DD-WRT umí nastavit VLANy, tj. že oddělíš např. LAN porty od wifi (nebo uděláš LAN porty + 1 SSID v jedné VLAN a pak druhou VLAN a v ní druhé SSID). Prostě se s tím dá docela kouzlit. Jediný problém je, že webové rozhraní není úplně dokonalé a některé věci lze nastavit pouze dost krkolomně, nebo pouze přes příkazovou řádku/skripty. Samozřejmostí je pak určitá úroveň síťových znalostí.

Tak jsem si konečně na to našel čas, do routeru jsem nahrál DD-WRT, ale potřebuji poradit jak to nastavit, ať přes firewally nebo vlan. V rozhraní to opravdu není nebo to nedokážu. Navíc jsem zjistil, že do LAN routeru je ještě připojenej jeden počítač. Prosím mě prosím zkuste vést, co mám udělat.
Pro jistotu připojuji schéma zapojení

   hl. router
-- WAN   LAN ------------------------------ switch --------- několik PC
         LAN ----- PC                         |
                             wifi router      |
                                  LAN --------┘
                                  LAN ------ PC
                                  wifi -----

DD-WRT nepoznam, ale kedze vychadza z linuxu predpokladam podobny scenar.
Na dhcp servri si pridel ip adresy podla mac, cize skupina1 dostan napriklad adresy 192.168.1.10-20 skupina2 ip adresy 192.168.1.130-150.
Potom staci pridat pravidlo kedy siet 192.168.1.10/25 napriklad nebude moct komunikovat so sietou 192.168.1.129/25.
/usr/sbin/iptables -A FORWARD -s 192.168.1.2/25 -d 192.168.1.129/25 -j DROP
pravidla si samozrejme prisposobis svojim podmienkam.
Je to mozno menej narocne na procesor ako tagovat kazdy packet a rozdelovat ho do vlanov.

Ty skupiny nevím jak. Ale teď mi došlo, že já nepotřebuju se vúbec starat o to, které zařízení má jakou IP, stačilo by zakázat komunikaci se všemi IP kromě hlavního routeru, ne? Mělo by to účinek jenom pro zařízení připojený kabelem nebo přes wifi do toho wifi routeru, které by mohli jenom přes hlavní routeru na net. Naše místní počítače by to neovlivnilo. Nebo se pletu?

s tymi krabickami co mas, by som to urobil asi takto:

- wifi router by som pripojil tak, ze zo switcha by som pichol kabel do wan rozhrania wifi routra - tym vytvoris dalsiu siet
- wifi router bude cez DHCP pridelovat adresy svojim klientom (musis nastavit iny rozsah ako na hlavnom routri)
- na wifi routri zapnes NAT
- na wifi routri zapnes filtrovanie, tak aby jeho klienti nemohli komunikovat na IP adresy z rozsahu, ktore prideluje hlavny router (samozrejme oktrem IP hlavneho routra samotneho) - toto neviem presne ako sa na dd-wrt robi, ale urcite to pojde :)
- adresu wifi WAN rozhrania nastavis napevno

aha. v tom případě zapomeň na to spodní schéma. Bohužel se to ale trošku zkomplikuje, protože budeš muset udělat 2 věci:

1. wifi přehodit do další VLAN
2. na tuto VLAN nasadit DHCP server
3. tuto VLAN odroutovat do LAN
4. nastavit firewallová pravidla: forwarding povolit pouze pro IP adresu hlavního routeru, ostatní LAN IP adresy zakázat.

V první řadě to máš blbě.

Je třeba to zapojit takto:

  hl. router
-- WAN   LAN ---------------------------------SWITCH----- několik PC   
         LAN ----------------------------------
         LAN ----- PC                         |
                             wifi router      |
                                  LAN --------┘
                                  LAN ------ PC
                                  wifi -----

Následně port routeru ke kterému je připojen ten druhý router nastavíš na VLAN2, zbytek portů + wifi na VLAN1. WAN port hlavního routeru samozřejmě bude trunking port, tedy bude členem obou VLANek. Díky tomu, že máš druhou VLAN s dalším routerem, je to jednodušší, nemusíš si hrát s druhým DHCP serverem pro další VLAN a jednoduše nastavíš IP adresu WAN portu napevno. Za tím routerem nezapomeň změnit síť, aby fungovalo směrování.

Tak vyřešeno
Nakonec jsem použil řešení od nl12345 - wifi router jsem zapojil WAN portem, zapnul DHCP na 192.168.1.x a ve firewallu přidal pravidlo "-iptables -I FORWARD -d 10.0.0.1/24 -j DROP", takže se nic připojené na wifi routeru nedostane do sítě 10.0.0.x (adresy přidělované hlavním routerem). Myslel jsem, že nepůjde internet, protože se nepůjde připojit ani na hlavní routeru, ale zdá se že to není problém.

Díky moc vám všem za pomoc :-)

v tom případě ale drátoví klienti na wifi routeru jsou odříznutí taky...

Myslel jsem, že nepůjde internet, protože se nepůjde připojit ani na hlavní routeru, ale zdá se že to není problém.

a proč by nešel? přece cílová adresa pro internet v hlavičce paketu nemůže být z LAN "hlavního" routeru a DNS dotazy zpracovává forwarder, který ale běží na wifi routeru, a tedy se jej forward tabulka a její pravidla netýká.

To nevadí, drátově je tam připojen 1 počítač v hospodě kde se jenom přijimají sázky a potřebuje jenom net.

nl12345 napsal, že musím zablokovat všechny IP kromě hlavnho routeru, tak jsem pochopil, že by nešel ani internet. Zdálo se mi to divný, ale já nejsem žádnej odborník, nikdy jsem nezjišťoval jak přesně sítě fungují, odhadoval jsem to pouze z toho jak se chovají.

Pre to co potrebujes bola vytvorena funkcia SIET PRE HOSTI.
Ten kto sa pripoji k wifi siet pre hosti nema pristup k zariadeniam v sieti a prijma iba jedine internet.
Tuto funkciu ponukaju napriklad routeri TP LINK.

Zpět do poradny Odpovědět na původní otázku Nahoru