OpenWRT NAT 仅适用于特定 WLAN 网络上的客户端

OpenWRT NAT 仅适用于特定 WLAN 网络上的客户端

我正在使用 OpenWRT 驱动的 WLAN 路由器作为我的网络的接入点。网络上的所有内容都通过 PFSense 盒运行,这样我就可以从那里完全控制。我想要一个访客 WiFi 网络,用户只能访问互联网,而不能与网络上的任何其他客户端通信。我的路由器完全支持运行具有不同 SSID 的第二个 AP,它也可以设置为单独的接口。使我的设置变得复杂的是,我想通过 PFSense 盒为我的整个 LAN 运行所有 DHCP,这通常非常简单,我只需在路由器上桥接 LAN 和 WLAN 适配器即可,但 PFSense 盒无法区分专用网络上的用户和访客网络上的用户。我想要做的是直接使用 PFSense 盒桥接专用网络上的所有客户端,但将所有访客客户端的地址转换为 PFSense 可以识别并进行相应管理的保留 IP。这意味着访客 WIFI 网络上的 DHCP 和 NAT,同时桥接专用网络。我该怎么做?

PS. 我不想通过 PFSense 为来宾用户运行 DHCP,最好在无线路由器上完成。

答案1

你正试图以一种相当黑客的方式解决这个问题。除非你在 OpenWrt 上设置防火墙以禁止访客访问你的常规 LAN 网络,否则他们将能够访问所有内容。而且由于 NAT,你甚至不知道是哪个访客。

相反,我建议你使用 VLAN 标记。我对 pfSense 一无所知,但它应该支持像这样的基本功能。

所需变更如下:

  • 在OpenWrt上,添加一个guest-vlan桥接接口

    → 包含 WiFi 访客网络和eth0.2(或类似)

  • 在 pfSense 上,在本地 LAN 接口上为 VLAN 2 设置一个接口

    → 将其设置为该网络区域只能与互联网通信,而不能与常规网络通信

现在,您的访客网络和 pfSense 盒子之间有了一个隧道。所有 DHCP 和防火墙事务都将由 pfSense 处理。访客客户端无法逃脱其控制,但它们的流量不受常规网络上任何人的保护。

相关内容