vlan Sieć Wi-Fi dla gości - VLAN bez switcha?

[180g Vinyl Rec. 0]

Witajcie.

Moje założenie to dostęp do internetu dla gości poprzez "gościnną" sieć Wi-Fi odseparowaną od sieci "domowej", tzn. bez możliwości dostępu do hostów znajdujących się w sieci "domowej".

Siecią domową zarządza router Edimax AR-7286WnA. Ponadto mam do dyspozycji repeater/access point ASUS RP-N12 Wireless N300, który chciałbym wykorzystać jako punkt dostępowy dla gości. W opisie Edimaxa napisali, że jest to urządzenie 3 w 1, tzn. router, modem i switch. Przeglądając jego web interface znalazłem zakładkę VLAN, więc pomyślałem, sobie że spróbuję ustawić 2 VLANy - jeden dla sieci domowej i drugi dla sieci gościnnej.

Nie bardzo znam się na VLANach, nigdy nie konfigurowałem switcha, więc nie mam pojęcia czy taki układ jak u mnie ma prawo w ogóle zadziałać, ale...

...spróbowałem i tak jakby udało się połowicznie, tzn. kiedy podłączam ASUSA pod port ethernetowy #2 w Edimaxie, który jest przydzielony do VLAN 2 (w założeniu sieć gościnna), to komp podłączony do ASUSA przez Wi-Fi nie ma dostępu do neta. Natomiast gdy podpinam pod ten sam port kompa bezpośrednio, to komputer ma dostęp do internetu. Tyle mi się udało ustalić Tak to wygląda na Edimaxie:

1.

2.

Nie wiem czy moje ustawienie ma wogóle jakiś sens, ale tak jak wspomniałem - komputer podpięty bezpośrednio pod port #2 Edimaxa, miał neta oraz był odseparowany od innych hostów podłączonych do Edimaxa przez Wi-Fi (pingi nie dochodziły ani do Edimaxa ani do innych kompów).

Myślę sobie tak:

1. Czy to co sobie wymyśliłem jest w ogóle do zrobienia na samym tylko routerze i repeaterze/ap? Bez dedykowanego switcha, jak rozumiem zarządzalnego ? Jeśli tak to gdzie popełniam błąd? Nie wiem czy źle zestawiam porty, tagowanie, a może powinienem podziałać coś z adresacją podsieci... (z tym, że nigdzie nie mogę znaleźć podziału na podsieci w moim routerze, ani tym bardziej w ap)

2. Czy istnieje jakiś inny prosty sposób na odseparowanie sieci gościnnej od sieci domowej? Chwilowo mam do dyspozycji inny router/ap ASUS i ma on dedykowaną funkcję właśnie dla sieci "gościnnej", ale niestety nawet pomimo wyłączenia tamtejszej funkcji dostępu do intranetu - wciąż hosty z sieci domowej jak i sam router/ap czy router główny są osiągalne...

###

Pozdrawiam

Edytowane 5 Sierpnia 2021 przez 180g Vinyl Rec.

[180g Vinyl Rec. 0]

19 godzin temu, 180g Vinyl Rec. napisał:

ale niestety nawet pomimo wyłączenia tamtejszej funkcji dostępu do intranetu - wciąż hosty z sieci domowej jak i sam router/ap czy router główny są osiągalne...

Ta funkcja nazywa się po prostu "Izolacja AP". Znalazłem wpis na ten temat na stronie ASUSA, ale przyznaję się, że nie do końca to rozumiem:

Cytat

Opis działania funkcji izolacji AP:

Izolacja AP działa dla każdego interfejsu (sprzętowo), co oznacza, że urządzenie na danym interfejsie będzie widziało inne urządzenia, które znajdują się na tym samym interfejsie.

Węzeł AP jest podłączony do głównego routera za pomocą kabla — pakiety są dostarczane z routera głównego do węzła AP w następujący sposób:

• Klient (główny) 2,4 GHz --> Ethernet (główny) --> Ethernet (AP) --> Klient (AP) 2,4 GHz

 Ponieważ pakiety są przesyłane przez dwa interfejsy 2,4 GHz, izolacja AP nie działa.

 

W trybie repeatera, połączenie nawiązywane jest przez Wi-Fi, dlatego repeater i router główny można traktować jako różne interfejsy — pakiety są dostarczane z głównego routera do repeatera w następujący sposób (czerwony znak X oznacza miejsce rozpoczęcia izolacji):

• Klient (główny) 2,4 GHz -X-> Repeater 2,4 GHz wcześniej w linii (do głównego urządzenia 2,4 GHz) --> Repeater 2,4 GHz dalej w linii --> Klient (repeater) 2,4 GHz

 

Często zadawane pytania (FAQ)

1. Czy przy obecnej topologii mojej sieci jest sposób na izolację Wi-Fi pomiędzy wszystkimi urządzeniami Wi-Fi podłączonymi zarówno do Routera_A jak i Routera_B?

• Nie, ponieważ połączenie przewodowe pomiędzy routerem a AP będzie postrzegane jako ta sama sieć.

 

2.  Czy w razie zamiany Routera_A na „Tryb repeatera” doszłoby do izolacji pomiędzy wszystkimi urządzeniami Wi-Fi podłączonymi na Routerze_A i Routerze_B?

• Tak, urządzenia będą izolowane pomiędzy Routerem_A i Routerem_B, jeśli wykorzystują one tryb repeatera.

 

3. Jeśli w routerze skonfigurowano wiele identyfikatorów SSID, to czy istnieje izolacja AP pomiędzy urządzeniami podłączonymi z poziomu różnych identyfikatorów SSID?

• Nie, izolacja działa dla każdego interfejsu, nie SSID.

Z tego co zrozumiałem to izolacja nie będzie działać, jeśli podpiąć ASUSa kablem w trybie ap pod Edimaxa. Jedyne wyjście to kupić jeszcze jednego takiego ASUSa i ustawić go jako repeater sieci Wi-Fi Edimaxa, a dopiero do tego repeatera podłączyć ap kablem... Poprawcie mnie jeśli się mylę.