Elektroda.pl
Elektroda.pl
X
Elektroda.pl
IT SerwisIT Serwis
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Publiczne WiFi w firmie oddzielone od sieci handlowej

16 Mar 2012 11:24 1823 7
  • Poziom 9  
    Witam,

    chciałbym w firmie wydzielić publiczne WiFi dla laptopów do korzystania z Internetu, które uniemożliwiało by dostęp do istniejącej sieci handlowej.

    Czy przy instalacji zilustrowanej poniższym schematem można w taki sposób zabezpieczyć ROUTER1, aby nie przepuszczał ruchu w publicznego WiFi? Czy należy to rozwiązać przy pomocy vlanów?

    [MODEM]---[ROUTER PUB WIFI]---[ROUTER1]---[SIEC FIRMOWA]
  • IT SerwisIT Serwis
  • Poziom 19  
    Moim zdaniem aby komputery w sieci firmowej nie były widoczne dla komputerów w sieci publicznej to możesz połączyć tak:

    [MODEM]WAN-----WAN[ROUTER1]LAN-----WAN[ROUTER2]

    Na każdym routerze masz włączony serwer DHCP. Adresy routerów np:
    Router 1: 192.168.0.1
    Router 2:192.168.1.1

    Obojętnie do jakiego routera podłączysz komputery firmowe to nie będą one widoczne dla komputerów z drugiego routera.
  • IT SerwisIT Serwis
  • Poziom 9  
    bobi1326 napisał:
    Moim zdaniem aby komputery w sieci firmowej nie były widoczne dla komputerów w sieci publicznej to możesz połączyć tak:

    [MODEM]WAN-----WAN[ROUTER1]LAN-----WAN[ROUTER2]

    Na każdym routerze masz włączony serwer DHCP. Adresy routerów np:
    Router 1: 192.168.0.1
    Router 2:192.168.1.1

    Obojętnie do jakiego routera podłączysz komputery firmowe to nie będą one widoczne dla komputerów z drugiego routera.


    A czy takie rozwiązanie nie spowoduje, że komputery podpięte pod LAN Routera2 będą miały dostęp do LANu Routera1? Wtedy zrobienie publicznego Wifi w Routerze2 nie jest bezpieczne. Czy źle mówię?
  • Poziom 19  
    Sam mam tak właśnie zrobione i nie mam dostępu z routera 2 na komputery z routera 1.
  • Poziom 9  
    bobi1326 napisał:
    Moim zdaniem aby komputery w sieci firmowej nie były widoczne dla komputerów w sieci publicznej to możesz połączyć tak:

    [MODEM]WAN-----WAN[ROUTER1]LAN-----WAN[ROUTER2]

    Na każdym routerze masz włączony serwer DHCP. Adresy routerów np:
    Router 1: 192.168.0.1
    Router 2:192.168.1.1

    Obojętnie do jakiego routera podłączysz komputery firmowe to nie będą one widoczne dla komputerów z drugiego routera.


    Nie do końca.
    Komputery podłączone do routera1 faktycznie nie dostaną się do tych za routerem2 (w żaden sposób).

    Ale w drugą stronę mogłyby.

    Tzn. komputer z sieci za routerem2 mógłby się połączyć z komputerami z sieci routera1.
    Ale ryzyko tego jest w sumie niewielkie gdyż:
    - user z sieci R2 musiałby znać adresacje sieci R1
    - i tak user z R2 nie zobaczy sieci R1 w "otoczeniu sieciowym" bo są z innych sieci IP.
    - windowsy od jakiegoś czasu (chyba od visty) standardowo nie wpuszczają połączeń z innych adresów niż z własnej podsieci IP.

    pozdr.
  • Poziom 43  
    Cytat:
    user z sieci R2 musiałby znać adresacje sieci R1

    Traceroutem sobie chociażby to sprawdzi.
    Usługi sieciowe może i nie będą dostępne, ale nie ma tutaj problemów z komunikacją do innych, niezabezpieczonych usług.
    Trzeba dorzucić trzeci router, dla biura, i za nim schować wszystkie chronione komputery. W tym schemacie chronione są komputery z sieci WiFi.
  • Poziom 9  
    piterus99 napisał:
    Cytat:
    user z sieci R2 musiałby znać adresacje sieci R1

    Traceroutem sobie chociażby to sprawdzi.
    Trzeba dorzucić trzeci router, dla biura, i za nim schować wszystkie chronione komputery. W tym schemacie chronione są komputery z sieci WiFi.


    Eeee tam, od razu by następny router kupował /rozrzutny/ :)

    Wystarczy że R2 będzie miał lekko "oszukaną" maskę sieci.

    przykładowe ustawienia:

    R1 (po stronie LAN):
    IP 192.168.0.1/24
    Komputerom nadajemy adresy np. od 192.168.0.10 do 254
    Ale R2 adresujemy tak:
    - po stronie WAN (połączeniowej do R1) 192.168.0.2/30 <- MASKA "OSZUKANA"
    - po LAN juz normalnie np. 192.168.1.1/24

    Komputery z R1 będą wtedy "szukać" R2 po arp, a R2 nie powien na takie zapytania odpowiadać, bo nie będzie to jego podsieć.

    pozdr.