我正在使用 OpenWRT 驱动的 WLAN 路由器作为我的网络的接入点。网络上的所有内容都通过 PFSense 盒运行,这样我就可以从那里完全控制。我想要一个访客 WiFi 网络,用户只能访问互联网,而不能与网络上的任何其他客户端通信。我的路由器完全支持运行具有不同 SSID 的第二个 AP,它也可以设置为单独的接口。使我的设置变得复杂的是,我想通过 PFSense 盒为我的整个 LAN 运行所有 DHCP,这通常非常简单,我只需在路由器上桥接 LAN 和 WLAN 适配器即可,但 PFSense 盒无法区分专用网络上的用户和访客网络上的用户。我想要做的是直接使用 PFSense 盒桥接专用网络上的所有客户端,但将所有访客客户端的地址转换为 PFSense 可以识别并进行相应管理的保留 IP。这意味着访客 WIFI 网络上的 DHCP 和 NAT,同时桥接专用网络。我该怎么做?
PS. 我不想通过 PFSense 为来宾用户运行 DHCP,最好在无线路由器上完成。
答案1
你正试图以一种相当黑客的方式解决这个问题。除非你在 OpenWrt 上设置防火墙以禁止访客访问你的常规 LAN 网络,否则他们将能够访问所有内容。而且由于 NAT,你甚至不知道是哪个访客。
相反,我建议你使用 VLAN 标记。我对 pfSense 一无所知,但它应该支持像这样的基本功能。
所需变更如下:
在OpenWrt上,添加一个guest-vlan桥接接口
→ 包含 WiFi 访客网络和
eth0.2
(或类似)在 pfSense 上,在本地 LAN 接口上为 VLAN 2 设置一个接口
→ 将其设置为该网络区域只能与互联网通信,而不能与常规网络通信
现在,您的访客网络和 pfSense 盒子之间有了一个隧道。所有 DHCP 和防火墙事务都将由 pfSense 处理。访客客户端无法逃脱其控制,但它们的流量不受常规网络上任何人的保护。