Как внедрить wifi роутер в существующую сеть организации?

Question

[BusterMyth]

День добрый! Есть задача, необходимо в имеющейся сети организации добавить wifi роутер для раздачи только интернета. То есть чисто гостевой, без доступа к внутренним сетевым ресурсам. Как я понимаю, нужно настроить роутер как любой другой домашний, только использовать вместо провайдера, кабель внутренней сети и вставить его в WAN порт, чтобы была своя подсеть отдельная на роутере. Интересует другой момент, что прописывать в ip, маске и шлюзе? Как заблокировать внутреннюю сеть? И нужно ли оставлять DHCP включеным на роутере?

Answer 1

[aleks-th]

Есть два способа:
1.Вызвать технического специалиста.
2. Прочитать и заучить наизусть книжку Олифера, последнее издание. А после нее понятно будет что прочитать ещё.

В принципе иных вариантов не вижу.

Comments

[Денис Юрьев]

Нормальную вы пропасть оставили между вариантами :-D

Answer 2

[Diman89]

Вы правильно понимаете
IP, маска и шлюз должны по уму назначиться от основного dhcp, либо прописать любой свободный адрес с маской и шлюзом аналогичными с любой машины
Внутренняя сеть будет заблокирована по умолчанию, т.к. не прописаны маршруты
dhcp оставить включённым

Comments

[BusterMyth]

Получилось все настроить, но внутренняя сеть не блокируется по умолчанию. Роутер tp-link tl-wr841n, но не понятно как настроить правило и заблокировать доступ на пул адресов из внутренней сети.

[BusterMyth]

по мануалу можно типа только сайты блочить

Answer 3

[antonwx]

Как правило в любом роутере имеется гостевой режим wi-fi без доступа к локальной сети. Если это продвинутый роутер типа микротика, просто в файрволле рубим доступ к локальному диапазону ip и всё.

Comments

[Денис Юрьев]

Как правило в любом роутере имеется гостевой режим wi-fi без доступа к локальной сети

только в случае с автором данный гостевой режим вообще не прокатит

про микротик да, прокатит, если размерется

[Николай]

Есть разница: при "гостевом режиме Wi-Fi без доступа к локальной сети" эта самая "локальная сеть" управляется тем же роутером. А у автора вопроса она внешняя по отношению к роутеру.

[antonwx]

Николай, и то верно. Впрочем многие роутеры так или иначе содержат инструменты, позволяющие банить ip-адреса, чего и будет достаточно.
А вообще все устройства в локалке должны быть так настроены, чтобы потенциальный злоумышленник, внедрившийся в lan, не смог никак навредить.

Answer 4

[nApoBo3]

Если вы в РФ, то по закону вы обязаны идентифицировать всех ваших абонентов. Для организации гостевой сети проще всего обратиться к оператору связи, они предоставляют услугу под ключ, что позволят выполнить требования закона.

Comments

[АртемЪ]

Чего?
Где вы такое взяли?

[nApoBo3]

Постановление Правительства РФ от 31 июля 2014 г. N 758
Абонент юр.лицо обязан собирать данные тех кто использует его сети.
В лучшем случае оператор связи обязан с вами расторгнуть договор, в худшем оказание услуг связи без лицензии. Так же там есть вереница штрафов за связанные нарушения, например фильтрация контента до 18 лет.

Answer 5

[АртемЪ]

Интересует другой момент, что прописывать в ip, маске и шлюзе?

Ничего.

Как заблокировать внутреннюю сеть?

В отдельный вилан засуньте, если он будет напрямую подключен к роутеру можно просто фаерволом без виланов.

И нужно ли оставлять DHCP включеным на роутере?

Ну если вы не хотите раздавать адреса вручную то нужно.

Answer 6

[CityCat4]

что прописывать в ip, маске и шлюзе

А Вы, простите, кто? Админ? Или постороннее лицо? Админ должен знать, что ему туда прописывать. А постороннему туда соваться не стоит.

Comments

[BusterMyth]

Неправильно был задан вопрос, но я уже настроил все - спасибо!