Saya memiliki beberapa perangkat yang terhubung dengan internet yang saya percaya tidak aman, tetapi saya tetap ingin menggunakannya (TV pintar dan beberapa perangkat otomatisasi rumah yang tidak tersedia). Saya tidak ingin mereka berada di jaringan yang sama dengan komputer saya.
Solusi saya saat ini adalah menyambungkan modem kabel saya ke sakelar dan menghubungkan dua router nirkabel ke sakelar. Komputer saya terhubung ke router pertama, semuanya terhubung ke router kedua.
Apakah ini cukup untuk memisahkan komputer saya dari yang lainnya?
Juga, apakah ada solusi yang lebih sederhana dengan menggunakan satu router yang secara efektif akan melakukan hal yang sama? Saya memiliki router berikut, keduanya dengan DD-WRT :
Netgear WNDR3700-v3
Linksys WRT54G-v3
Semua perangkat (aman dan tidak aman) terhubung secara nirkabel, kecuali untuk satu komputer di jaringan aman.
Jawaban:
Ya, solusi Anda juga ok tetapi akan meningkatkan satu switching switching, ditambah konfigurasi overhead, Anda dapat mencapainya dengan satu router dengan melakukan hal berikut:
Semoga ini membantu!
sumber
Ini sepenuhnya mungkin, tetapi saya ingin membahas beberapa hal terlebih dahulu.
Sangat menarik kedua router memiliki akses internet ketika modem kabel Anda tampaknya hanya sebuah modem. Apakah ISP Anda melakukan NAT? Jika tidak, saya sarankan untuk mematikannya (apakah ini benar-benar sebuah saklar atau apakah saklar itu mampu melakukan NAT?), Dan letakkan salah satu router DD-WRT Anda sebagai gateway. Pengaturan Anda saat ini sebagaimana adanya (tanpa mengetahui ke port mana router disambungkan), dapat mengalami konflik alamat IP, atau terkadang mengalami kehilangan konektivitas acak dan sporiadik pada satu atau jaringan lain.
Ya, tapi itu akan membutuhkan sedikit pekerjaan konfigurasi dan beberapa pengujian. Saya menggunakan pengaturan serupa sendiri untuk memisahkan jaringan tamu. Metode yang akan saya jelaskan di bawah ini tidak melibatkan VLAN.
DD-WRT (antara lain) mendukung pembuatan beberapa SSID pada AP yang sama. Satu-satunya hal yang perlu dilakukan adalah membuat jembatan lain, menugaskannya ke subnet yang berbeda, kemudian firewall itu dari sisa jaringan utama.
Sudah lama sejak saya terakhir melakukannya dengan cara ini tetapi harus pergi ke suatu tempat seperti ini (bersiaplah untuk kehilangan konektivitas):
Network Configuration
untukBridged
, memungkinkanAP Isolation
seperti yang anda inginkanbr1
?br1
ke Antarmukawl.01
atau apa nama antarmuka diberikan [^ virtif], simpan dan terapkanDi bawah Beberapa server DHCP, klik Tambah dan tetapkan
br1
Pergi ke Administrasi => Perintah dan tempel ini (Anda mungkin harus menyesuaikan nama antarmuka) [^ note2]
iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -j REJECT
Dan klik Simpan Firewall
Anda harus siap, saya pikir
Untuk detail lebih lanjut, Anda dapat melihat di http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/
Peringatan untuk ini adalah bahwa pengaturan ini hanya efektif untuk router gateway / AP. Jika Anda ingin pengaturan yang sama berfungsi untuk router lain, Anda harus menggunakan VLAN. Setup mirip, tetapi sedikit lebih terlibat. Perbedaannya di sini adalah Anda harus mengkonfigurasi dan menjembatani VLAN baru ke IoT SSID dan mungkin melakukan beberapa aturan perutean.
[^ virtif]: Yang pertama biasanya adalah antarmuka fisik dan sering diberi label sebagai wl0. Antarmuka virtual Anda (hingga tiga jika saya tidak salah) akan diberi label sebagai wl0.1, wl0.2, dan seterusnya.
[^ brname]: Ini akan menjadi nama antarmuka yang akan diberikan DD-WRT ke antarmuka jembatan.
[^ ipaddr]: Katakanlah jaringan utama Anda pada 172.16.1.0/24, beri
br1
alamat 172.16.2.0/24.[^ nDS]: Jika Anda memiliki Nintendo DS, Anda harus menggunakan WEP. Atau, Anda bisa membuat SSID lain hanya untuk NDS dan memilikinya juga dijembatani
br1
untuk kenyamanan.[^ note1]: Pada titik ini setelah menerapkan pengaturan, apa pun yang menghubungkan ke IoT SSID sekarang akan ditugaskan ke subnet yang berbeda. Namun, kedua subnet masih dapat berkomunikasi satu sama lain.
[^ note2]: Bit ini mungkin perlu beberapa pekerjaan.
sumber
Dengan asumsi koneksi Anda dari router 1 ke Switch menggunakan
WAN
port dari router dan Anda tidak berbagi WAN dan LAN di OpenWRT (berarti Anda tidak mengubah pengaturan default dan melakukan pemasangan kabel seperti yang Anda lakukan ketika terhubung langsung ke modem), kamu sebagian besar baik-baik saja.Tentu saja perangkat Anda pada router 2 dapat mengirimkan lalu lintas ke siapa pun, yang dapat menjadi masalah tersendiri (statistik penggunaan, gambar kamera, suara melalui mikrofon, informasi tentang WLAN, penerima GPS dll, tergantung pada perangkat).
Anda dapat mengonfigurasi port Anda secara terpisah dan merutekan lalu lintas buruk secara terpisah dari lalu lintas yang baik. Kata kunci Anda adalah
DMZ
, ada banyak tutorial yang tersedia.Jika Anda ingin memiliki lebih banyak kerumitan, Anda juga dapat mengaktifkan VLAN, dengan cara ini Anda dapat menempatkan perangkat tambahan yang sadar-VLAN di belakang router dan menghubungkan kedua jenis perangkat ke mereka, pada dasarnya membuat seluruh rumah Anda seolah-olah setiap perangkat terhubung langsung ke port salah satu dari kedua router, bahkan jika Anda hanya memiliki satu router dan 5 switch di belakangnya daisy-dirantai ... tetapi lakukan ini hanya jika Anda harus, karena kemungkinan untuk kesalahan sangat besar dan manfaatnya tergantung pada pemasangan kabel Anda ( hampir tidak ada ketika menggunakan topologi bintang, hebat ketika harus menggunakan topologi cincin).
sumber
Beberapa router Wi-Fi tingkat konsumen memiliki "Mode Tamu" yang merupakan jaringan yang dipartisi dari jaringan normal.
Anda dapat membatasi perangkat tidak tepercaya Anda menjadi "Guest" AP .
Bukan berarti setiap router yang memiliki fitur itu sangat aman.
Meskipun artikel Peringatan: "Mode Tamu" pada Banyak Router Wi-Fi Tidak Aman berbicara tentang ketidakamanan, kelemahan utama yang mereka diskusikan adalah privasi. Jika Anda tidak peduli apakah TV Anda yang mendukung jaringan menelepon ke rumah untuk memberi tahu pembuatnya apa yang Anda tonton, lalu siapa yang peduli jika tetangga menontonnya melakukannya.
sumber
Sebagian besar router WiFi rumahan memungkinkan Anda untuk mengonfigurasi "jaringan tamu". LAN nirkabel ini diizinkan untuk terhubung ke Internet, tetapi tidak diizinkan untuk terhubung ke perangkat di LAN kabel atau nirkabel utama. Jadi Anda bisa meletakkan perangkat IoT di jaringan, dan mereka tidak akan dapat membahayakan komputer Anda.
sumber
Buat jaringan terpisah harus menjadi cara terbaik untuk menjaga perangkat tidak aman dari LAN aman Anda untuk mencegah pengguna / perangkat jahat mendapatkan akses ke file bersama atau perangkat jaringan Anda, itu dapat dicapai dengan mengaktifkan jaringan TAMU Menggunakan fitur Netgar WNDR3700v3 dengan kata sandi yang kuat dan berbeda.
Nonaktifkan UPnP
Nonaktifkan akses jarak jauh melalui WIFI ke router Anda
Juga jangan menghubungkan perangkat yang tidak aman kecuali jika Anda perlu.
sumber