• Zarejestrowany: 2017-07-14
  • Posty: 10

Temat: Sieć dla gości bez dostępu do sieci routera nadrzędnego

Mamsieć domową  na routerze dostawcy 192.168.1.x. Router pod adresem 192.168.1.1 w którego WAN jest wpięta antena od dostawcy (10.0.0.x).
Routera nie mogę zamienić a nie obsługuje on openwrt.

Chciałbym dokupić dodatkowy router pod openwrt i wydzielić sieć (kabel i wifi) dla pracowników (192.168.2.x), z której nie będzie dostępu do mojej sieci 192.168.1.x, ale będzie wyjście na internet (wszystkie porty). Sieć pracownicza bez izolacji między użytkownikami.

Czy to jest w ogóle wykonalne? Jak się do tego zabrać?
Czytałem różne rozwiązani o sieciach dla gości, ale wydaje mi się, że żadne nie uwzględnia takiej sytuacji.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,918

Odp: Sieć dla gości bez dostępu do sieci routera nadrzędnego

Kupujesz router, podłączasz lan swojego pod wan nowego, na firewallu blokujesz zezwalasz na wyjscie do wanu do adresu 192.168.1.1 i jeszcze jedną regułką blokujesz dostęp do wanu do podsieci 192.168.1.0/24. Idealnie nie będzie, ale w pewien dostęp ograniczasz dostęp dostęp do lanu zostawiając tylko dostęp do routera (to musisz, bo przez niego wychodzisz w świat). Powinno działać.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez damianssj661

  • Zarejestrowany: 2017-07-14
  • Posty: 10

Odp: Sieć dla gości bez dostępu do sieci routera nadrzędnego

działa, dziękuję wink

4 Odpowiedź przez kacperr

  • Zarejestrowany: 2018-08-13
  • Posty: 216

Odp: Sieć dla gości bez dostępu do sieci routera nadrzędnego

Podpinam się pod temat.
Zrobiłem tak
Dwie ostatnie reguły w firewall traffic rules

Przedostatnia:
From: LAN To: WAN IP: 192.168.1.0/24  REJECT

Ostatnia
From: LAN To: WAN IP: 192.168.1.1  ACCEPT

Pingi z klienta podpiętego do routera podrzędnego nie dochodzą nigdzie na adres 192.168.1.* ale internet działa.
Nie można też dostać się na adres routera głównego 192.168.1.1

Przyznam, że o to mi chodziło ale nie rozumiem jak to działa.

5 Odpowiedź przez kacperr

  • Zarejestrowany: 2018-08-13
  • Posty: 216

Odp: Sieć dla gości bez dostępu do sieci routera nadrzędnego

O i ciekawostka. Jak zmienię kolejność tych dwóch reguł to działa niemal identycznie poza tym, że można dostać się do routera głównego z sieci routera podrzędnego.

6 Odpowiedź przez kacperr

  • Zarejestrowany: 2018-08-13
  • Posty: 216

Odp: Sieć dla gości bez dostępu do sieci routera nadrzędnego

Bez tej reguły wszystko działa
From: LAN To: WAN IP: 192.168.1.1  ACCEPT

Czyli na samym
From: LAN To: WAN IP: 192.168.1.0/24  REJECT
uzyskałem to co chciałem.

Cezary - piszesz o dwóch regułach,

Możesz to skomentować dlaczego działa na jednej?

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,918

Odp: Sieć dla gości bez dostępu do sieci routera nadrzędnego

Trochę bez sensu, reguła z acceptem blokuje Ci dostęp...

PS. Nie pokazuj opisów z luci, one nie nadają się do analizy czegokolwiek. Pokazuj zawartość tekstową sekcji firewalla.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez kacperr (edytowany przez kacperr 2024-01-06 22:31:19)

  • Zarejestrowany: 2018-08-13
  • Posty: 216

Odp: Sieć dla gości bez dostępu do sieci routera nadrzędnego

Do domyślny config na nowym X86 routerze. Dodałem tylko dwie ostatnie reguły z czego jedna aktualnie nieaktywna.

config defaults
        option syn_flood '1'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        list network 'lan'

config zone
        option name 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'wan'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config rule
        option dest 'wan'
        list dest_ip '192.168.1.1'
        option target 'ACCEPT'
        option name 'allow'
        list proto 'all'
        option src 'lan'
        option enabled '0'

config rule
        option name 'deny_all'
        option src 'lan'
        option dest 'wan'
        option target 'REJECT'
        list proto 'all'
        list dest_ip '192.168.1.0/24'

9 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Sieć dla gości bez dostępu do sieci routera nadrzędnego

kacperr napisał/a:

Przedostatnia:
From: LAN To: WAN IP: 192.168.1.0/24  REJECT

Ostatnia
From: LAN To: WAN IP: 192.168.1.1  ACCEPT

O i ciekawostka. Jak zmienię kolejność tych dwóch reguł to działa niemal identycznie poza tym, że można dostać się do routera głównego z sieci routera podrzędnego.

jaka ciekawostka? Nie odkryłeś Ameryki. To normalne działanie firewalla.
Z LAN do WAN masz zawsze dostęp.
ale jak pakiet złapie się na regułę From: LAN To: WAN IP: 192.168.1.0/24  REJECT to go odrzuci nie analizując dalszych reguł.
jak złapie się na regułę From: LAN To: WAN IP: 192.168.1.1  ACCEPT to wejdziesz i firewall dalej nie analizuje reguł bo już go wpuścił smile

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

10 Odpowiedź przez kacperr

  • Zarejestrowany: 2018-08-13
  • Posty: 216

Odp: Sieć dla gości bez dostępu do sieci routera nadrzędnego

OK, dzięki - czyli pakiet wpada w pierwszą regułę, której kryteria spełnia i nie podlega dalszej analizie.
Nie wiedziałem tego.

Dziękuję za wyjaśnienie:)

Ale w takim razie dlaczego działa internet?

11 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Sieć dla gości bez dostępu do sieci routera nadrzędnego

kacperr napisał/a:

OK, dzięki - czyli pakiet wpada w pierwszą regułę, której kryteria spełnia i nie podlega dalszej analizie.
Nie wiedziałem tego.

Dziękuję za wyjaśnienie:)

Ale w takim razie dlaczego działa internet?

nie wiem jakie masz ustawienia, ale jeżeli host w sieci woła adres z Internetu to:
1. ma zgodę na taki forward
2. nie łapie się na regułę i wychodzi w świat bo na takie wyjście dostał zgodę a w zasadzie nie dostał blokady na takie adresy.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

12 Odpowiedź przez kacperr (edytowany przez kacperr 2024-01-08 12:41:04)

  • Zarejestrowany: 2018-08-13
  • Posty: 216

Odp: Sieć dla gości bez dostępu do sieci routera nadrzędnego

Ustawienia absolutnie domyślne takie jak po starcie systemu.

Ale chyba zaczynam rozumieć.

Z LAN pakiety adresowane do internetu są przekazywane dalej.
Dlaczego działa internet:
Router podrzędny robi NAT i on już może przekazać dalej pakiet do nadrzędnego bo wysyła pakiety już za firewallem (nie z LAN).


Dlaczego nie ma ruchy do sieci nadrzędnej z LAN sieci podrzędnej:
Te komunikaty które wysyłają coś do 192.168.1.0/24 mają REJECT na firewall u routera podrzędnego.

Czy dobrze rozumiem?