Что необходимо сделать:
В офисе настроить две сети (1 - OfficeWork, 2-OfficeGuest), 2 сеть - гостевая на том же роутере
При подключении к первой офисной сети у пользователя есть доступ к сетевым ресурсам, которые находятся на 192.168.1.ххх
При подключении ко второй (гостевой сети), доступ есть только к интернету.
Инструменты следующие:
PFsense на железке, пару роутеров Asus RT-AC56
Что я делал:
Сам роутер подключал к общей сетки (WAN адрес присваивался из первой подсети (192.168.1.19))
В роутере ставил DHCP сервер для подключаемых клиентов и назначал им адреса из третьей подсети.
Если я подключался к Wi-Fi, то получал адрес 192.168.3.ххх и мог пинговать устройства из первой сети. но переходить к ним я не мог.
Как можно реализовать мою идею, какие маршруты и где лучше прописать и как будет более безопасно и правильно?
Для начала, типичная фраза - Это к админу, а если админ - ты, тогда сообщи своему начальнику о профнепригодности.
А теперь по существу. Берем RT-AC56, и прошиваем их на openwrt, дальше в openwrt создаем два бриджа, один для work другой для guest, в эти бриджи добавляем wifi и vlan интерфейсы. Дальше подключаем их в коммутатор, на коммутаторе выставляем target этим vlan на порты куда воткнули RT-AC56, ну и куда воткнут pfsense, дальше на pfsense добавляем эти vlan и уже на них вешаем все необходимые нам dhcp и фильтрацию. Коммутатор в этой схеме офк должен быть L2 и выше.
jolomo, нет, конечно, так можно сделать, но вот только:
Не все "роутеры" домашнего использования умеют в выключение nat
Если у тебя будет одно имя сети и пароль у всех RT-AC56, то клиент, при смене точки, будет просить или новый адрес, или оставаться на старом, который явно работать не будет.
Мульен подсетей, придется или выделять под все условные 10.0.0.0/22, или делать nat.
Короче, это абсолютная глупость, и не нужная исторая, лучше всего всех закинуть в один l2 домен, и через pfsense фильтровать/маршрутизировать