Добрый день. Имеем DFL-800, который является DHCP-сервером и раздает интернет в локальную сеть. В разных местах организации подключены wi-fi точки доступа с защищенным доступом. Но руководство просит сделать бесплатный wi-fi для посетителей кафе. Вот у меня и вопрос - как раздать по wi-fi только инет не давая доступа к локальной сети? Спасибо.

делаете точку доступа без пароля и сажаете ее на отдельный интерфейс в подсеть Z, которая имеет доступ в инет и никуда более.

отдельный интерфейс это:
- или порт DMZ или WAN2
- или VLAN на LAN порту, если ТД понимает VLAN
- или VLAN на LAN порту, выведенный через управляемый коммутатор на ТД, если она не понимает VLAN

Для этого всем доступного интерфейса заводите свою подсеть Z и понимаете для нее DHCP сервер.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Более менее продвинутые точки доступа позволяют делать multi SSID + VLAN, так что при наличии такой обойдетесь даже одной

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Хорошо шарите в сетях, парни, так держать

А что если, взять недорогой wi-fi роутер (например Asus 520 GC/GU) и:

1. в wan воткнуть провод от нашей локальной сети.
2. Настроить wan на static IP и прописть туда DFL-800
3. На роутере wi-fi прописать локальную сеть отличную от нашей и настроить DHCP
4. В результате он получит инет и будет раздавать IP отличные от нашей сети.

Вроде все складно получается, а?

Не очень складно. Тогда любой из сети wi-fi сможет получить доступ вашу локальную сеть, если wan будет иметь адрес из вашей локальной сети.

Но если для wan Asus 520 завести подсеть, отличную от локальной, разумеется с шлюзом на DFL из той же подсети и правами доступа упомянутыми выше, то все будет хорошо.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Просто в локалку не надо, верно.

Кроме выделения отдельной подсети под ваш роутер-точку доступа, можно воткнуть его в другой физ. интерфейс, например DMZ.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да, все понятно, только у меня проблема в том, что DFL-800 находится в одном здании, а Wi-Fi нужно настроить в другом здании и тянуть отдельный кабель от отдельного интерфейса нет возможности. Вот я и пытаюсь придумать как с помощью второго роутера, подключенного к локальной сети решить эту проблему. А если просто на втором роутере запретить доступ ко всем IP моей сети кроме IP DFL-800?

Поставьте туда нормальную точку доступа и выдайте ваш публичный SSID в виде VLAN

Или поставьте простейший управляемый свитч (хоть DIR-100 с прошивкой свитча) и выдавайте порт, в который включено ваше устройство, в виде VLAN

А на DFL этот VLAN будете выпускать в интернет, но не пускать в локалку

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо, вот это вроде уже близко. Осталось только понять как настраивается VLAN.

По сути, вам надо два беспроводных интерфейса: один для связи офисов, другой - для собственно общедоступной сети. Вероятно, это лучше обсудить в беспроводном разделе форума, т.к. общие вопросы настройки DFL уже обсудили здесь.

И, на будущее, лучше сразу озвучивать все исходные данные, не порциями.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

+1


Objects > Address book > InterfaceAddresses - адреса
Interfaces > VLAN - интерфейс
Rules > IP rules - правила, делайте по аналогии с lan_to_wan

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Что сделал я:

1. Взял, оказавшийся у меня случайно, DIR-100 и перепрошил его под управляемый свитч.
2. На DFL-800 создал в адресной книге:
- vlan_ip (192.168.1.1)
- vlannet (192.168.1.0/24)
- DHCP_Pool_vlan (192.168.1.100-192.168.1.120)
- DHCP_Subnet_vlan (255.255.255.0)
3. Создал новую VLAN (MyVLAN):
- интерфейс - lan
- ip-адрес - vlan_ip
- сеть - vlannet
- основной шлюз - lan_ip (ip - моего DFL-800 (192.168.111.22))
4. Создал новый DHCP сервер (DHCP_vlan):
- фильтр интерфейсов - MyVLAN
- пул - DHCP_Pool_vlan
- маска - DHCP_Subnet_vlan
- основной шлюз - lan_ip
5. В IP-правилах создал папку vlan_to_wan1 и там создал 4 правила точь в точь как для lan, но интерфейс источника заменил на MyVLAN и vlannet.
6. На DIR-100 прописал IP - 192.168.1.2.

А что дальше? Как мне соединить DFL-800 и DIR-100? И как потом DIR-100 подключить к моему Asus? Вообще WAN порты на DIR-100 и Asus задействовать? Спасибо

Шлюз уберите у VLAN
Укажите VLAN ID (VID), отличный от 0-1, например 11


Еще надо выдавать DNS сервера, например провайдерские


На DIR-100 (с прошивкой switch) добавьте новый VLAN c VID = 11, выведите порт для роутера-точки доступа в этот VLAN untagged, укажите ему PVID = 11


На DIR-100 switch все порты равнозначны
WAN на ASUS можно не использовать, на нем надо отключить DHCP

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

danilovav
Огромное спасибо за столь развернутый ответ. Вот что я сделал:

1. Про DNS просто забыл написать - указал DNS провайдера.
2. Убрал основной шлюз из VLAN и установил Идентификатор VLAN - 12
3. На DIR-100 сделал следующее:


4. Установил на Asus IP - 192.168.1.4 (VLAN - 192.168.1.1, DIR-100 - 192.168.1.2)
5. Отключил DHCP на Asus
6. Подключаю DFL-800 к DIR-100 (к любому порту, кроме P5)
7. Подключаю Asus к DIR-100 (порт P5)
8. Подключаю комп (192.168.1.3) по кабелю к Asus и....

Комп пингует только Asus, но ни VLAN ни DIR не пингует.
Но, если, подключить Asus к любому порту DIR-100, кроме P5, тогда комп начинает пинговать DIR-100, но по прежнему не пигует VLAN. И вот я не знаю что делать дальше?