Prosirenje mreze - diskusija

[Svili]

Pozdrav !
Imam sledecu problematiku, hteo sam u kaficu da razdelim mrezu za goste i za osoblje, trenutno je AP ruter Technicolor TC7210 sa adresom (192.168.5.1), e sada imam dodatni ruter Mi Ruter 4C, zamisao mi je bila da Technicolor ostane za osoblje a da gostima omogucim povezivanje na MI ruter, problematika je sledeca u vezivanju, kada MI ruter setujem na sledeci nacin: Ugasim DHCP, staticku adresu postavim na 192.168.5.2, i vezem LAN portove dobijam pristup internetu ali MI ruter ne ocitava kao da ima pristup internetu vec izbacuje neku vrstu greske da WAN port nije vezan, nisam uspeo da povezem uspesno sa WAN portom pokusao sam da DHCP opseg na ruteru 1 (tehnicolor) postavim da ide do prvih 50, a da onda na MI ruteru postavim isto DHCP da ide od 50 kako ne bi doslo do konflikta u ip adresama, ali tada MI ruter ne dobija pristup internetu, ima li neko neku ideju? Hvala unapred

 

[peca89]

Ti mrezu nisi razdvojio, upravo suprotno, sve si spojio u jednu mrezu. Ne znam sta konkretno pokusavas da postignes? Neku bezbednost? Podelu protoka?

Ako Mi ruter spajas na LAN portove, onda je sve u istoj mrezi. Nema veze sto vidis dve wifi mreze, to su samo dve pristupne tacke (access point, jelte) istoj mrezi. Neces spreciti da gosti pridju nečemu cemu mozda treba samo osoblje (štampač, cast svega i svacega na TV u kaficu...).

Dhcp je druga prica, narocito ako ih ostavis oba ukljucena na istoj mrezi. Samo si zakomplikovao sa seckanjem dhcp opsega, a ostalo sve u istom subnetu.

Resetuj Mi na fabricka. Ubodi Wan port od Mi-ja u lan port od tehnicolora. Namesti mrezu za osoblje na Mi-ju, a goste na tehnikoloru. Tako gosti nece moci da pridju osoblju, dok obrnuto moze, ali ti generalno ne treba. Proveri samo da LAN opseg Mi-ja NIJE u 192.168.5.x opsegu, ali ne bi trebalo da bude po fabričkim.

 

[Svili]

Ti mrezu nisi razdvojio, upravo suprotno, sve si spojio u jednu mrezu. Ne znam sta konkretno pokusavas da postignes? Neku bezbednost? Podelu protoka?

Ako Mi ruter spajas na LAN portove, onda je sve u istoj mrezi. Nema veze sto vidis dve wifi mreze, to su samo dve pristupne tacke (access point, jelte) istoj mrezi. Neces spreciti da gosti pridju nečemu cemu mozda treba samo osoblje (štampač, cast svega i svacega na TV u kaficu...).

Dhcp je druga prica, narocito ako ih ostavis oba ukljucena na istoj mrezi. Samo si zakomplikovao sa seckanjem dhcp opsega, a ostalo sve u istom subnetu.

Resetuj Mi na fabricka. Ubodi Wan port od Mi-ja u lan port od tehnicolora. Namesti mrezu za osoblje na Mi-ju, a goste na tehnikoloru. Tako gosti nece moci da pridju osoblju, dok obrnuto moze, ali ti generalno ne treba. Proveri samo da LAN opseg Mi-ja NIJE u 192.168.5.x opsegu, ali ne bi trebalo da bude po fabričkim.

Da hteo bih da postignem bezbednost i podelu protoka, konkretno na Mi ruter postoji mogucnost ogranicavanja protoka sto bih i iskoristio da malo smanjim protok za goste a tehnicolor zbog ne mogucnosti ogranicavanja ostavio za osoblje i generalno stampac, PC.
Pokusacu da vratim MI na fabricka i da spojim WAN diretko na LAN Tehnicolora, hvala na odgovoru!

 

[alex303]

Nema sigurnosti bez NAT-ovanja ili firewall-a. Jedino što možeš da proveriš je, da li taj ubogi MI ima AP Isolation i da li se AP Isolation odnosi i na porotove. To ti je jedini način da malo osiguraš stvari. Ako kafić dobro posluje, ja bi investirao u neki Ubiquiti AP.

 

[Svili]

Nema sigurnosti bez NAT-ovanja ili firewall-a. Jedino što možeš da proveriš je, da li taj ubogi MI ima AP Isolation i da li se AP Isolation odnosi i na porotove. To ti je jedini način da malo osiguraš stvari. Ako kafić dobro posluje, ja bi investirao u neki Ubiquiti AP.

Jasno, hvala ti proveriću baš večeras da li ima. Pa pošteno kafić je više neka jutarnja varijanta, nije toliko prometan tako da mislim da nema potrebe za sada

 

[alex303]

Pa pošteno kafić je više neka jutarnja varijanta, nije toliko prometan tako da mislim da nema potrebe za sada

Nisu problem gosti koji dolaze, već stanovnici u toj zoni kojima si u dometu. Možeš da eksperimentišeš sa spuštanjem jačine signala. Nađeš neku vrednost koja pokriva površinu tvog objekta i ništa dalje od njega. Takođe proveri da li ima WiFi schedule. To sam viđao na nekim jeftinim access pointovima i routerima. Možeš da namestiš da WiFi bude aktivan samo u toku radnog vremena. Sve ove metode povećavaju sigurnost ukoliko te opcije postoje.

 

[Svili]

Hvala puno svima na odgovorima!
Intresuje me samo jos dodatno informativno radi, kako se postiže ona fora sa logovanjem u ograničenom vremenu od 15min na primer. Ili na primer da korisnik mora da se prijavi svojim kredencijalima (email i pass)
Vidjao sam to pre, nemam potrebe da tako nesto odradim ali me zanima kako se postiže?

 

[alex303]

Hvala puno svima na odgovorima!
Intresuje me samo jos dodatno informativno radi, kako se postiže ona fora sa logovanjem u ograničenom vremenu od 15min na primer. Ili na primer da korisnik mora da se prijavi svojim kredencijalima (email i pass)
Vidjao sam to pre, nemam potrebe da tako nesto odradim ali me zanima kako se postiže?

To se zove WiFi captive portal i imaju ga access pointovi kao što su Cisco, Grandstream, Aruba...itd. A postoje i router OS-ovi kao što su MikroTik, pfSense, OPNSense koji takođe nude isto uz mnogo veći nivo sigurnosti i kustomizacije. Bukvalno možeš napraviti sopstveni portal za logovanje. Na primer ovako nešto.


Takođe se može namestiti univerzalna šifra za sve goste a možeš da podesiš tako da izdaješ vaučere koje access point sam generiše. Na primer, dođe mušterija, kupi kafu, i ti samo na štampač ili fiskalni račun pustiš privremeni kod sa kojim se korisnik loguje na portal. Taj kod traje, lupam, 30 minuta. Nakon isteka on više ne važi. Dužinu trajanja sesije podešavaš ti. Takođe možeš da izdaješ kodove za veće/manje brzine...itd. Samo imaj na umu da je to poprilično ulaganje a potrebno je i solidno znanje da se to implementira onako kako sam opisao.