我希望在一个建筑物范围内的 WiFi 网络内创建一组虚拟网络,以实现以下目标:
- 允许所有用户和设备访问互联网
- 让每个用户都能创建虚拟网络,以实现家庭 WiFi 中常见的投射、发现和其他设备间通信等用途
- 确保每个用户及其设备彼此之间保持私密(给出警告)
为了实现这一点,我计划使用一组设置为使用 Guest Isolation 的商业 AP(可能是 Ubiquiti)。每个 AP 将直接连接到 Linux 路由器,该路由器将根据设备使用 VLAN 标记流量,然后通过 AP 转发流量以模拟专用网络。为了让用户能够创建“专用”网络,他们将能够选择(使用身份验证时的初始重定向)连接到公共网络或登录自己的网络
我有初级水平的 Linux、iptables 和路由经验。从我目前读到的内容来看,这似乎是可行的。
我在问,这看起来可行吗?或者说有意义吗?如果是的话,我很乐意去尝试和学习,直到我让它工作起来(或者放弃并简单地提供免费 WiFi,而不尝试上述操作)。我最担心的是,我的想法是基于对网络的错误理解。
注意事项:我理解使用 WPA2 PSK 会存在隐私风险,因为所有用户都有可能窥探彼此的流量。我们会在 TOS 中和当面警告这一点,以确保如果用户需要更好的隐私,他们将能够运行自己的无线路由器。
感谢您对以上内容的任何意见/看法!
答案1
是的,在同一个 wifi“结构”上使用无线信息亭设备以及办公室计算机时,这种情况相当常见。
您需要使用支持 VLAN 标记其无线接口并将经过身份验证的用户和/或单独的 SSID 绑定到给定 VLAN 的 AP。Tomato 可以做到这一点。一些商用 AP 可以做到这一点。
答案2
关于 WPA2 PSK 问题:可以在 hostapd 中配置每个 MAC PSK。
您可以为新用户设置一个默认的 PSK,并让您的身份验证门户在注册时生成一个新的 PSK(但这可能需要重新加载甚至重新启动 hostapd,和/或让您的客户端重新进行身份验证)。
用户稍后如何将其他设备连接到“他们的”网络会稍微复杂一些,除非您愿意让用户注册他们设备的 MAC(尽管一种方法可能是让您的身份验证门户提供两个选项:create new network和join my network with new device)。