我想设置一个与家人使用的网络分开的访客 wifi 网络,以便客人可以访问互联网,但不能访问我的家庭网络。
请注意,ISP 提供的 DSL 路由器真的很笨,没有给我任何配置选项。它有一个硬编码的 SSID 和 WPA 密钥。这个路由器包含(未知的)DSL 凭证,因此它必须位于墙上插座和交换机之间;我不能代替但我可以连接一个额外的如果需要的话,我可以安装路由器。
我有一台备用的 Linksys WRT54G 路由器可以设置,但它不是支持自定义固件(如 Tomato)的型号,因此我不得不使用常规配置选项。我可以将这台 Linksys 直接连接到 ISP 路由器,也可以连接到交换机,但我认为这没什么区别。
我该如何配置网络,使得此 Linksys 只能访问 Internet,但看不到家庭网络(既看不到 LAN 也看不到 WLAN)?
我可以分发 ISP wifi 凭证并使用 Linksys 设置家庭网络。
或者我可以为自己使用 ISP wifi 并将 Linksys 设置为访客网络。
不确定哪种方式更好。
像上面那样设置是否有意义,以便 Linksys 充当某种“单向过滤器”阻止 ISP 路由器查看网络的其余部分,但网络可以访问互联网?要实现这一点,将网线从 ISP 路由器的 LAN 端口连接到 Linksys 的 WAN 端口是否正确?
答案1
将 Linksys 路由器的 WAN 端口连接到 ISP 提供的路由器上的 LAN 端口。将 Linksys 路由器提供的 WLAN 供您自己使用,并向客人提供 ISP 提供的路由器的 WLAN 的凭据。
与来宾网络相比,这会将您自己的系统置于额外的 NAT 层级之后,这意味着您自己的主机对于来宾而言就像普通家庭网络对于互联网一样。它还利用了这样一个事实:几乎任何此类路由器都会将 WAN 端视为“不受信任”。客人可以访问 Linksys 路由器(他们肯定能够知道它在那里),但不知道它后面有什么,假设他们不能通过直接修改本地路由表来偷偷溜过去。(我怀疑这对他们有没有帮助,因为如果他们尝试的话,他们应该会碰到 Linksys 的防火墙,但很难 100% 确定。)
这种方法的主要缺点是,您给出的凭据是您自己无法更改的。另一个潜在的缺点正是它将您置于两层 NAT 之后,这可能会导致任何依赖于连接回原始主机能力的服务出现问题(点对点文件共享就是其中一种可能性)。
你最终会得到类似这样的结果:
+------------+
| Internet |
+------------+
^
|
+---------+ +------+-----+
| Linksys +--------->| ISP router |
+---------+ +------------+
^ ^
| |
+-----+---------+ +------+--------+
| Your network | | Guest network |
|---------------| |---------------|
| Your host 1 | | Guest host 1 |
| Your host 2 | | Guest host 2 |
+---------------+ +---------------+
更好的选择可能是将 Linksys 替换为支持多个独立本地 WLAN 的设备,将其连接到 ISP 提供的路由器(如果可能,将 ISP 提供的路由器配置为桥接模式),并仅将其用于本地访问(您自己和客人的),将其中一个网络分配给您自己使用,另一个分配给客人使用。这可能是小型企业范围及以上硬件中相当常见的功能,但在消费硬件中并不常见。例如,Cisco RV220W 允许您配置最多四个独立的无线网络,每个网络都有自己的 SSID、安全设置(包括加密和密钥设置),以及网段隔离设置也就是说,你可以这样设置:在一个 WLAN 上,你可以访问所有内容,但如果你连接到另一个 WLAN,你只能通过 WAN,特别是访客 WLAN 无法访问住宅 WLAN因为路由器或接入点会阻止此类通信。我怀疑防弹但除非你的威胁模型包括来自政府机构的针对性攻击,否则我认为漂亮的这样的设置是安全的(如果这是您的威胁模型,那么您可能一开始就不应该在这里询问……)。
你最终会得到如下结果:
+------------+
| Internet |
+------------+
^
|
+------+-----+
| ISP router |
+------------+
^
|
+------+-----+
+--------->| Your router|<----------+
| +------------+ |
| |
+-------+-------+ +-------+-------+
| Your network | | Guest network |
|---------------| |---------------+
| Your host 1 | | Guest host 1 |
| Your host 2 | | Guest host 2 |
+---------------+ +---------------+
在每个图中,一个箭头指向朝向另一个框表示“使用指向的框的服务”。(例如,“ISP 路由器”使用“Internet”的服务。)
我自己也做过类似后一种情况的事情,两个 WLAN 位于不同的 VLAN 上。我不记得路由器如何处理有线网络连接,但我相当确定这些连接也可以分配给选定的 VLAN(对于这样的产品来说,这样的功能似乎是合理的),这意味着您可以将某些有线端口与给定的无线网络组合起来用于您的住宅网络,并在与您使用的 VLAN 不同的 VLAN 上运行访客网络。如果您选择走这条路,并且合并和分离有线和无线网络上的流量的能力对您来说是一个重要的考虑因素,那么您可能应该联系您正在考虑的一些产品的制造商,并具体询问该功能。