Как заблокировать гостевой Wi-Fi?

461
EricW

У меня есть модем / маршрутизатор от моего провайдера, который я вынужден использовать. Я хотел бы предоставить точку доступа Wi-Fi для случайного гостя, который может появиться у меня дома, но я не хочу, чтобы их загруженный вирусом ПК находился в моей сети, и при этом я не хочу, чтобы они имели доступ к чему-либо на моем маршрутизаторе (который насколько я знаю, это, по сути, НЕ защищено) или другие компьютеры в сети (которые, как я знаю, вообще не защищены).

Моей первой идеей было подключить к маршрутизатору ISP дополнительный маршрутизатор OpenBSD, который, в свою очередь, инкапсулировал бы «гостевой» wifi в VPN (возможно, IPsec) для сервера в центре обработки данных.

Это разумное решение? (Я не против сложности, просто это имеет смысл с точки зрения безопасности)

0
Узнайте все о Vlans и реализуйте их. cremefraiche 8 лет назад 1
Простейшим решением будет покупка другого беспроводного маршрутизатора со встроенным гостевым WiFi, включение гостевой сети и подключение к существующему маршрутизатору ISP. Функция гостевой сети должна автоматически поддерживать гостевую сеть изолированной. Если вы хотите больше контроля, вы можете использовать VLANS, но вам понадобится VLAN-совместимый коммутатор, подключенный к маршрутизатору, который может их обрабатывать. ИМХО, это было бы немного излишне для домашней сети, но сделайте это, если вы действительно не против сложности. tlng05 8 лет назад 0
В основном я делаю это как учебный эксперимент, поэтому я не против сложности. Будет ли VLAN полностью изолировать гостевой Wi-Fi, в том числе доступ к веб-интерфейсу маршрутизатора, например? EricW 8 лет назад 0
Если настроено правильно, да. Интерфейс администратора маршрутизатора должен «слушать» только в доверенной VLAN, делая его недоступным для гостевой VLAN. tlng05 8 лет назад 0

1 ответ на вопрос

0
Anti-weakpasswords

  1. Install a real firewall as the only device plugged into whatever your ISP gave you.

    a. pfSense is free software that works well for this, given hardware with a few Ethernet ports. You can use an old computer, buy something from the pfSense Store, use a tiny PC like a fitlet XA10 with 4 Intel ethernet ports, etc.

  2. One interface for WAN, one interface to rule them all (LAN), one interface for your wifi.

    b. You could use wifi built-in to a pfSense firewall for this, but I prefer a Ubiquiti Unifi solution - read the forums first, though. They're very cheap, and very capable, but always read the forums.

    i. Note that the Ubiquiti access points do allow VLAN, as so the pfSense store and fitlet devices, so you could have it serve up four SSID's (one for guests) that are each independent of each other, as well as the management interface. They need a controller to set this up, either a service on an existing computer, or a Raspberry Pi.

  3. On the firewall, for the guest wifi interface or VLAN, it gets its own subnet, and create firewall rules that block it from all other local subnets. Also create firewall rules that block it from accessing your router directly.

  4. Log into the router you were issued, change the password, and turn off its wifi.

Похожие вопросы