目标
为员工的个人设备提供互联网访问,但不提供内部网络访问。
设备
- Netgear WNDR4500v2:用于访客网络的无线路由器(具有无线隔离功能)
- MikroTik RB2011Ui AS-RM:此网络的主路由器。它连接着几个组成有线内部局域网的交换机。它的上游是 Juniper 光纤设备,但我对其没有管理权限。
連接
Juniper -> MikroTik -> Cisco 交换机 -> 客户端、打印机等
Netgear 目前连接到 MikroTik 的一个端口,该端口是 Cisco 交换机使用的同一主端口的从端口。更改这一点可能是解决方案的一部分,但我不确定。
我在哪里
我将 Netgear 配置为使用无线隔离,并将其内部 IP 范围设置为与办公网络匹配,然后将其连接到 MikroTik 路由器。我的目的是让对办公资源的请求无法超出 Netgear 的范围(例如,对 192.168.1.1 的请求将返回 netgear 管理面板而不是 mikrotik),但当我连接它并切换到不同的范围时,它进行了一些自动配置,因此现在我可以访问 MikroTik 并 ping 办公设备。这不是我想要的。
无论如何,这似乎是一种黑客方法,因为 MikroTik 可能能够提供更优雅的功能。使用此设备隔离无线路由器的正确方法是什么?
答案1
按照以下说明解决了这个问题本文并在 RouterOS webgui 中找到等效命令。
步骤摘要:
创建访客桥
/interface bridge add name=bridge-guest在桥上创建 DHCP 服务器
/ip address add address=172.16.0.1/24 interface=bridge-guest network=172.16.0.0 /ip pool add name=guest ranges=172.16.0.100-172.16.0.254 /ip dhcp-server add address-pool=guest disabled=no interface=bridge-guest name=guest /ip dhcp-server network add address=172.16.0.0/24 dns-server=172.16.0.1 gateway=172.16.0.1制定 NAT 规则以将流量路由到互联网(我不需要这样做,因为默认的伪装规则已经这样做了。原始文章中的 src-address 网络掩码不正确。)
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=172.16.0.0/24过滤从网桥到网关以外任何地方的所有流量
/ip firewall filter add action=drop chain=forward in-interface=bridge-guest out-interface=!ether1-gateway阻止从来宾桥到端口 80 上的网关的流量,以防止来宾用户访问 MikroTik 控制台
/ip firewall filter add action=drop chain=input in-interface=bridge-guest dst-address=192.168.1.1 dst-port=80
请注意,在步骤 5 中,dst-address应该是 MikroTik 路由器的地址,并且可能需要将协议设置为6(tcp)
结果
我的 MikroTik 路由器上现在有一个端口,只允许互联网访问并阻止连接到管理面板的尝试。与此相连的是具有标准设置的 Netgear 无线路由器。这种方法的好处是 LAN 的安全性完全不依赖于无线路由器的安全性。