Как сделать, чтобы хосты сети не видели друг-друга, а только шлюз?

Question

[pqgg7nwkd4]

Добрый день.

Есть задача обеспечить доступ в интернет посредством WiFi (ожидается порядка 1-5 тыс. клиентов). Вся инфраструктура уже есть (на базе точек Ubiquiti и HP). Инфраструктура обеспечивает единую сеть шлюза с клиентами. На шлюзе самодельный Captive Portal, работающий с помощью iptables, но к вопросу это не сильно относится.
Шлюз раздает IP адреса в этой сети (сейчас он раздает из сети 10.240.0.0/255.240.0.0).
Проблема в том, что пользователи сети "видят" друг-друга в сети. Не все пользователи обладают умениями защитить себя в сети, поэтому хотелось бы их прикрыть.
Администратор сети пока ищет правильное в данном случае решение: возможность заблокировать внутрисетевое взаимодействие с помощью настроек Ubiquiti и HP. Но пока безуспешно.

Вопрос: можно ли как-то решить эту проблему настройками сети?
Например, может будет полезным раздавать адреса с маской 255.255.255.255, тогда хосты будут отправлять все на шлюз, который отфильтрует что нужно. Но у меня сомнения, что с такой маской вообще будут что-то отправлять на шлюз.
Или другой вариант: раздавать клиентам микросети по 4 адреса (благо адресного пространства хватает). Но как такое настроить - ума не приложу (5000 сетей в /etc/network/interfaces на шлюзе?)

Заранее спасибо.

Answer 1

[Алексей Черемисин]

Вообще-то во многих точках доступа есть опция "Clients isolation" (Wireless isolation, AP isolation и прочие названия). Собственно эта опция изолирует трафик клиентов wifi-сети между собой внутри точки доступа. - https://www.howtogeek.com/179089/lock-down-your-wi...
Теперь нам останется только изолировать сами точки доступа друг от друга. Для этого можно делать VLAN-ы на каждую точку.
Ну а в центр поставить коммутатор(ы) L3, чтобы он(и) разруливали маршрутизацию между этими виланами.
В центр ставим бооольшой (лучше парочку с failover) DHCP сервер, а на коммутаторах настраиваем DHCP-proxy на нужные vlan.
Да, чтобы не заниматься возьней с маршрутами, я бы еще поднял OSPF.

Ах, ну да, в DLINK есть функции Assymmetric VLANS и Traffic Segmentation. Наверное и у других производителей есть подобное.

Answer 2

[Иван]

Железок нет на руках, но по моему "по феншую" делать динамические VLAN'ы пользователям.

Comments

[pqgg7nwkd4]

А как это будет работать?
Клиентов может быть 5000, а VLAN-ов несколько менее 4094.

[Иван]

pqgg7nwkd4: иные варианты не варианты, ибо поменять себе адрес и маску сможет даже школьник. Снифить трафик WireShark'ом это тоже не помешает.
Так что либо WLAN, либо никак, т.к. смысла нет.

PS
Кстати то, что пользователи сотового нета зачастую получают белые IP'шники и "открыты всем ветрам", мало кого смущает.

Answer 3

[cssman]

разбить большой пул на сетки хотя бы по 24 бита и группировать вланами.
более радикально - через AD разлить hips и программный мсэ(можно хоть встроенный виндовый с помощью групповых политик) на каждый пользовательский комп. арпы правда будут доступны, зато выше всё закроете