我正在尝试将路由器配置为辅助 WiFi 接入点,它提供互联网访问但阻止访问本地网络。
路由器支持这两种功能,但我无法让它工作。
我的设置如下:
- 由我的供应商提供的主路由器 + 调制解调器,位于地下室(可使用 WiFi,但地下室外无信号)
- 通过 LAN 电缆连接到主路由器的各种 PC
- 辅助路由器(NetGear WGR614v10)通过 LAN 电缆连接到主路由器。NetGear 路由器应充当无线接入点,但无线客户端不应看到本地网络上的机器。为此,NetGear 路由器支持“访客模式”,其作用正是如此:它允许 WiFi 客户端访问互联网,但不允许其他本地机器访问。
我尝试了各种配置:
- NetGear 通过 WAN 端口连接到本地网络。
互联网以这种方式工作,但 wifi 机器可以访问其他本地机器。
这是合乎逻辑的:本地网络位于 NetGear 路由器的 WAN 端,因此从路由器的角度来看,它们属于互联网,而不是 LAN - NetGear 通过 LAN 端口连接。NetGear 上的 DHCP 已禁用。
如果我还允许访问本地网络,互联网就可以正常工作,但在访客模式下则无法正常工作。
这是合乎逻辑的:互联网网关具有本地地址,而 wifi 客户端不允许访问本地地址。 - NetGear 通过 LAN 连接和WAN 端口。
同样不起作用,我猜是因为 DHCP 服务器仍然是主路由器,所以它会向 wifi 客户端发送错误的路由。如果 wifi 客户端有固定的 IP 设置,它可能会起作用,但对于访客来说这不是一个可强制执行的选项。 - NetGear 通过 LAN 连接和WAN 端口,并重新启用 DHCP;使用两个路由器作为 DHCP 服务器,IP 范围在同一子网上不重叠。
也不起作用,我不知道发生了什么。
基本上我大致了解了为什么前两种配置不起作用。
但我不知道正确的配置是什么,因为这似乎是几乎所有现代路由器的基本功能。
由于问题太多,无法一一评论,下面是我针对部分问题的答复:
您是否尝试将 NetGear 的 WAN 连接到另一个路由器上的 LAN,然后禁用 NetGear 上的 DHCP 并启用“访客模式”?
我认为如果我这样做,Wifi 网络上将没有 DHCP 服务器。netGear 路由器不会在 LAN 和 WAN 之间桥接 DHCP 请求,因此除非手动配置 IP,否则客户机将无法工作
解决方案是反转路由器,将 NetGear 的 WAN 端口连接到调制解调器,并将另一个路由器的 WAN 连接到 NetGear 上的 LAN。[...] 将两个路由器都插入调制解调器(如果可能 - 如果您没有足够的端口,但两者之间有一个交换机)。
不幸的是第一个路由器是调制解调器。我无法更换它,因为它是由提供商配置的。
建议
您可以尝试在一个子网中使用两个 DHCP 服务器,为不同的范围提供服务。
我试过了,基本连接确实可以工作,但我有点担心如果新电脑连接到网络会发生什么。据我所知,他们会随机选择两个 DHCP 服务器中的一个来获取租约。然而,最严重的问题是,只要我启用访客模式,它就会再次停止工作。
答案1
如果您将主路由器的 LAN/WLAN 端(即主路由器和辅路由器之间的网络段)视为访客网络设备不应访问的“本地网络”的一部分,则辅路由器在没有主路由器配合的情况下无法提供访客网络仅对互联网的访问。
来宾网络往返互联网的流量必须与本地网络流量一样通过两个路由器之间的同一链路。但是,如果您希望将其与本地网络隔离,则必须以某种方式对其进行隧道传输或标记,以将其与本地网络流量隔离。但是,如果通过 VLAN 标记或某种更高层隧道传输来隔离该流量,则主路由器需要知道如何正确处理该流量(即对其进行解封装并仅将其发送到互联网,而不是让它路由回 LAN)。
我不知道是否有任何 Netgear 设备支持这种“访客网络扩展”功能,其中主路由器充当 VLAN 感知设备或隧道端点,以便辅助路由器可以将隔离的访客网络流量转发给它。
我知道 Apple AirPort Extreme/Express/Time Capsules 自固件 7.6.3 起支持此功能。如果您将 Apple AP 作为主路由器(处于 NAT 模式),并启用了访客网络,将另一个 Apple AP 作为辅助“路由器”(实际上处于桥接模式,本身并不是真正的“路由器”),也启用了访客网络,则辅助 AP 会将访客网络流量转发到主 AP,但会对其进行 VLAN 标记,以便将其与本地 LAN 流量隔离。主 AP 也订阅相同的 VLAN,并且知道将流量从该 VLAN 转发到 Internet,但不会转发回本地 LAN。
答案2
NetGear 通过 LAN 端口连接。NetGear 上的 DHCP 已禁用。
这可能有效,但在 NetGear 上禁用它之前,请确保两个路由器具有相同的 DHCP 服务器设置。
我认为 NetGear 可能搞不清楚网络网关是什么。如果我们能解决这个问题,也许它就能再次允许流量进入互联网。
您是否尝试将 NetGear 的 WAN 连接到另一个路由器上的 LAN,然后禁用 NetGear 上的 DHCP 并启用“访客模式”?
请勿将 NetGear 的 WAN 和 LAN 端口都连接到另一个路由器
您将在同一个网络上拥有两个 DHCP 服务器,这可不好
即使你在一台路由器上禁用 DHCP,连接 LAN 和 WAN 仍然没有意义。
建议
您可以尝试在一个子网中使用两个 DHCP 服务器,为不同的范围提供服务。
- 将 NetGear 的 WAN 连接到其他路由器的 LAN。
- 其他路由器的IP:192.168.1.1
- NetGear 的 IP:192.168.1.2
- 其他路由器的 DHCP 服务器范围:192.168.1.51 至 192.168.1.150
- NetGear 的 DHCP 服务器范围:192.168.1.151 至 192.168.250
- NetGear 的默认网关:192.168.1.1
- 在 NetGear 上启用“访客模式”
我不是 100% 确定这会起作用,但绝对值得一试!
这种网络配置在理论上听起来不错,“访客模式”也可能以这种方式运行。
我的解决方案,保证让您满意
解决方案是反转路由器,将 NetGear 的 WAN 端口连接到调制解调器,并将另一个路由器的 WAN 连接到 NetGear 上的 LAN。
这样,您的所有计算机都可以访问互联网,并且 Guest-Wifi 将无法访问任何其他内部网络。
您甚至不需要在 NetGear 上启用“访客模式”,第二个路由器的防火墙将阻止该流量。
我的其他解决方案
将两个路由器都插入调制解调器(如果可能的话 - 如果您没有足够的端口,但中间有一个交换机)。
两个路由器的防火墙都会阻止两个网络之间的所有流量。
但这是否有效取决于您的调制解调器配置。
答案3
我利用一个小技巧,使用非标准子网掩码使其工作:
主路由器的内部 LAN 设置为:
- 路由器 IP:192.168.1.252
- 掩码:255.255.255.0
(因此该子网中的有效 IP 在 192.168.1.0-192.168.1.255 范围内)
辅路由器通过其 WAN 端口连接到主路由器。
其内部 LAN 配置设置为:
- 路由器IP(辅助路由器):192.168.1.1
- 掩码:255.255.255。128(== .10000000b)
(因此该子网中的有效 IP 在 192.168.1.0-192.168.1.127 范围内)
其 WAN 配置设置为:
- 网关:192.168.1.252(主路由器)
- 路由器IP:192.168.1.249(副路由器对外的IP)
- 掩码:255.255.255。248(== .11111100b)
(因此此子网中的有效 IP 在 192.168.1.248-192.169.1.255 范围内)
(这是必要的,因为 WAN 和 LAN 可能没有重叠的子网
这样,辅路由器就可以访问主路由器,连接到辅路由器的客户端也可以访问主路由器,并通过主路由器访问互联网。
但辅助路由器上的客户端无法访问主路由器子网中 IP 介于 192.168.1.0 和 192.168.1.128 之间的任何客户端。辅助路由器不会转发该 IP 范围,因为这是还次要设备的本地子网。
因此,次要路由器上不再需要访客模式,次要路由器上的客户端根本看不到主路由器上的客户端,除非这些客户端的 IP 大于 192.168.1.128。
如果我可以阻止所有低于 248 的 IP,那就更好了,但我认为使用子网掩码是不可能的。
启用具有无线隔离功能的访客模式还将阻止访客机器连接到其他访客机器或辅助路由器。
没有什么可以阻止客户机连接到主路由器,因为这些请求仍然由辅助路由器转发,但是一个好的密码就足够了。