D-Link 524 i 2 różne podsieci które widzą się wzajemnie

Witam

Mam stary router D-Link DI524 którego chcę podłączyć aby służył w firmie jako Guest (Wifi bez hasła).
Goście mają mieć możliwość korzystania z internetu ale nie mają mieć możliwości wejścia w sieć nadrzędną (która daje internet na gnieździe WAN).

Podłączyłem to tak: D-Linka podłączyłem przez WAN do LAN routera firmowego TP-Link (tutaj jest adresacja 192.168.2.x).
Na D-Link'u LAN ustawiłem jako 192.168.0.1 i włączyłem DHCP (aby w tych adresach rozdzielał IP gościom).
Wszystko ładnie działa, jednak podłączając się do D-Link mogę nadal pingować sieć zarówno 192.168.0.1 jak i 192.168.2.x
Dlaczego? Czy na porcie WAN nie powinna nastąpić translacja adresów i nowo utworzona sieć nie powinna być bez dostępu do ten nadrzędnej?

Sieć nadrzędna nie jest im potrzebna. dajesz tylko dostęp do internetu. Jaki system?

Oczywiście, że nie jest potrzebna. Stąd moje zdziwienie i pytanie - dlaczego ją w ogóle widzą. Byłem przekonany, że WAN od LAN jest w każdym routerze skutecznie odseparowane.
Ja to sprawdzam na Ubuntu ale chciałbym aby bez względu na system goście nie widzieli sieci nadrzędnej.

Widzą, bo powinny. Urządzenia ze 192.168.2.0/24 nie będą widzieć urządzeń z podsieci DLINKa.

To co chcesz zrobić mniej więcej załatwisz regułą na Firewallu DLINKa (o ile DI524 ma takie coś). Powinieneś na Dlinku ustawić regułę odrzucającą pakiety dla 192.168.2.2-192.168.2.254, ale musisz zezwolić na komunikację z 192.168.2.1 (zakładam, że taki jest adres LAN routera nadrzędnego TPLINK).

Zamiast kombinować ze złomem możesz też wgrać gargoyle, openwrt albo inne ofw do tplinka (o ile wspiera takie rozwiązanie) i na tym zrobić sieć gościa. Nawet niskie modele 740N/741ND/841N zyskują taką funkcjonalność po wgraniu Gargoyle bez specjalnie trudnej konfiguracji (do wyklikania w interfejsie www). To taka alternatywa, gdyby pierwotna wersja jakoś zawiodła.

Dzięki, rozumiem teraz... Byłem przekonany, że idea routera jest taka, że robi to domyślnie.
D-Link mimo że staruszek, to ma możliwość ustawień firewalla i chyba dam radę tak to zblokować. Rozumiem, że analogicznie mogę to zrobić po stronie nowocześniejszego TP-Linka który udostępnia net?

Domyślnie działa jak powinien.
Sytuacja na DLINKu w skrócie powinna wyglądać tak:

sieć 192.168.0.0/24 jest na porcie LAN
sieć 192.168.2.0/24 jest na porcie WAN (w końcu WAN dostaje IP 192.168.2.x)
dodatkowo wszelkie pakiety na inne adresy przekazywane są przez interfejs WAN do dalszej bramy. Więc jeśli na LANie zjawi się pakiet z adresem docelowym do 192.168.2.0/24 - zostanie przekazany na WAN.

Matthew82 napisał:

Rozumiem, że analogicznie mogę to zrobić po stronie nowocześniejszego TP-Linka który udostępnia net?

Nie bardzo. TPLINK w takim ustawieniu nie bierze udziału w transmisji tych pakietów. Tak jak wyżej napisałem, one są na drugim routerze bezpośrednio na sieć związaną z interfejsem WAN przekazywane, a stamtąd już trafiają bezpośrednio do urządzenia docelowego (TPLink nie bierze w tym udziału, więc nie może tego filtrować). Chyba że jest to jakiś bardziej zaawansowany model, na którym można filtrować ruch na konkretnym porcie. Ale to w domowych TPLinkach raczej nie występuje.

no to teraz już mam sytuację klarowną, dzięki za wyjaśnienia!