Jump to content
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Доступ из локальной подсети в интернет с запретом к локальной сети

a_aladdin

Asked by a_aladdin,

 Share

Question

a_aladdin Newbie

a_aladdin

Posted
Posted

Есть основной роутер1 192.168.0.1  и сеть /24    На территории ставится еще один роутер2, для которого роутер1 - провайдер (провод d WAN, адрес wan 192.168.0.200 , адрес Lan 192.168.1.1 и своя подсеть /24 с dhcp , где он уже раздаёт.

Есть универсальный способ ограничить доступ к ресурсам первой сети из второй именно программными методами?  Так как между ними неуправляемые свитчи, прямого провода нет и прочее)

Ну например, vpn клиент-сервер ? Если можно то ткните, пожалуйста, настройкой. 

8 answers to this question

Recommended Posts

  • 0
Migel Content Generator

Migel

Posted
Posted (edited)
4 часа назад, a_aladdin сказал:

Есть основной роутер1 192.168.0.1  и сеть /24    На территории ставится еще один роутер2, для которого роутер1 - провайдер (провод d WAN, адрес wan 192.168.0.200 , адрес Lan 192.168.1.1 и своя подсеть /24 с dhcp , где он уже раздаёт.

Есть универсальный способ ограничить доступ к ресурсам первой сети из второй именно программными методами?  Так как между ними неуправляемые свитчи, прямого провода нет и прочее)

Ну например, vpn клиент-сервер ? Если можно то ткните, пожалуйста, настройкой. 

Порт основного роутера, в который подключен роутер2, включите в гостевую сеть и все.

https://support.keenetic.ru/giga/kn-1010/ru/15225-guest-network.html

Edited by Migel
  • 0
a_aladdin Newbie

a_aladdin

Posted
  • Author
Posted
6 минут назад, Migel сказал:

Порт основного роутера, в который подключен роутер2, включите в гостевую сеть и все.

https://support.keenetic.ru/giga/kn-1010/ru/15225-guest-network.html

Эти варианты понятны, но между роутерами нет прямого кабеля. Они соединены на территории  через несколько неуправляемых свитчей.

  • 0
vasek00 Honored Flooder

vasek00

Posted
Posted
4 часа назад, a_aladdin сказал:

Есть основной роутер1 192.168.0.1  и сеть /24    На территории ставится еще один роутер2, для которого роутер1 - провайдер (провод d WAN, адрес wan 192.168.0.200 , адрес Lan 192.168.1.1 и своя подсеть /24 с dhcp , где он уже раздаёт.

Есть универсальный способ ограничить доступ к ресурсам первой сети из второй именно программными методами?  Так как между ними неуправляемые свитчи, прямого провода нет и прочее)

Ну например, vpn клиент-сервер ? Если можно то ткните, пожалуйста, настройкой.  

Wifi
|
Роутер2[WAN+LAN]----switch---switch----[LAN]роутер1[WAN]---Инет
[LAN]
 |
switch
 |

На втором роутере - обычный режим роутер, LAN порты группируються в зависимости от того нужны ли они все/часть для второй сети, если нет то все переносяться к WAN. Если же один LAN оставить для switch, то просто его не переносить в группу WAN. Получаем схему 

Клиенты---Wifi---роутер/switch----

После переноса остается только один wifi. По умолчанию клиенты wifi "развязаны" (т.е. за NAT) от первой сети, мало того межсетевым экраном можно запретить все кроме например работы только в интернете, как пример :

Спойлер

разрешить только 

1. udp на порты 53,123,443,5060,36600-39999
2. tcp на порты 25,80,143,443,465,587,995,993

Тут не будут работать банки онлайн так как им требуються доп.порты ну и т.д.

Для wifi клиентов так же будет действовать ограничение по скорости как для всех, так и для отдельных (если клиент зарегистрирован) и прочие настройки + функционал/сервисы.

  • 0
a_aladdin Newbie

a_aladdin

Posted
  • Author
Posted
37 минут назад, vasek00 сказал: 
Wifi
|
Роутер2[WAN+LAN]----switch---switch----[LAN]роутер1[WAN]---Инет
[LAN]
 |
switch
 |

На втором роутере - обычный режим роутер, LAN порты группируются в зависимости от того нужны ли они все/часть для второй сети, если нет то все переносятся к WAN. Если же один LAN оставить для switch, то просто его не переносить в группу WAN. Получаем схему 

Клиенты---Wifi---роутер/switch----

После переноса остается только один wifi. По умолчанию клиенты wifi "развязаны" (т.е. за NAT) от первой сети

Что-то ничего не понял))

Что значит "LAN порты группируются" ?  Что значит "переносятся в WAN" ?

Клиенты wifi и проводные - разве чем-то отличаются в свете моей проблемы? На текущий момент и те, и другие - видят при желании первую локальную сеть (благодаря этим неуправляемым свитчам между роутерами.  (упомяну, что в эти свитчи воткнуты и другие устройства первой локальной сети)

  • 0
a_aladdin Newbie

a_aladdin

Posted
  • Author
Posted

Пытаюсь наладить внутри своей же локалки вариант подключения Ip Ip , вроде всё по инструкции, но соединения нет. Может есть какие-то особенности, когда ip-ip внутри своей же локалки?

  • 0
vasek00 Honored Flooder

vasek00

Posted
Posted
19 часов назад, a_aladdin сказал:

Что-то ничего не понял))

Есть универсальный способ ограничить доступ к ресурсам первой сети из второй именно программными методами?  Так как между ними неуправляемые свитчи, прямого провода нет и прочее)

Дан вариант. ВСЕ проводные доступ к первой сети, a Wifi это вторая сеть (ограничить + как душе угодно настройкой правил межсетевого экрана роутера).

Если же помимо Wifi + нужен и проводной клиент во второй сети, то в конфигурации WEB необходимо оставить один из LAN портов (например 4).

Что значит "LAN порты группируются" ?  Что значит "переносятся в WAN" ?

Как написано так и понимается группируются/собираются по другому переназначен/переназначены. В WEB роутера порты имеют свое обозначение которое говорит в качестве чего они используются или для чего. По умолчанию это WAN и LAN (WLLLL) или согласно скрина ниже WWWWW или  LWWWW.

Спойлер


-4.jpg.3e61045d5385e5c745c15627edc7e30a.jpg

 

  • 0
a_aladdin Newbie

a_aladdin

Posted
  • Author
Posted
8 часов назад, vasek00 сказал:

Есть универсальный способ ограничить доступ к ресурсам первой сети из второй именно программными методами?  Так как между ними неуправляемые свитчи, прямого провода нет и прочее)

Дан вариант. ВСЕ проводные доступ к первой сети, a Wifi это вторая сеть (ограничить + как душе угодно настройкой правил межсетевого экрана роутера).

Если же помимо Wifi + нужен и проводной клиент во второй сети, то в конфигурации WEB необходимо оставить один из LAN портов (например 4).

Что значит "LAN порты группируются" ?  Что значит "переносятся в WAN" ?

Как написано так и понимается группируются/собираются по другому переназначен/переназначены. В WEB роутера порты имеют свое обозначение которое говорит в качестве чего они используются или для чего. По умолчанию это WAN и LAN (WLLLL) или согласно скрина ниже WWWWW или  LWWWW.

Пять раз перечитал, но так ничего и не понял.  Если несложно - поясните алгоритм пошагово.  Да, пусть будет вариант только с Wifi для начала

Я не понимаю про группировку

image.png.096a3f919a2e9ca9b300c4b1919888ee.png

  • 0
vasek00 Honored Flooder

vasek00

Posted
Posted (edited)
10 часов назад, a_aladdin сказал:

Пять раз перечитал, но так ничего и не понял.  Если несложно - поясните алгоритм пошагово.  Да, пусть будет вариант только с Wifi для начала

Я не понимаю про группировку

image.png.096a3f919a2e9ca9b300c4b1919888ee.png

Пять раз перечитал, но так ничего и не понял. Видимо даже пошагово не получиться, раз в скрине выше вам непонятно, что нужно получить в сравнении с вашим.

Возможно вам лучше тогда в ТП обратиться за помощью в настройке для вашей задачи.

Edited by vasek00

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.

  I accept