Jak oddělit připojení k internetu od vnitřní sítě?

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod AndrewJ 17. 7. 2012 15:17

Ahoj, mám sesíťované počítače pomocí kabelů, a potřeboval bych vytvořit wi-fi síť (kvůli mobilům a tabletům), tak aby uživatelé prostřednictvím těchto zařízení nemohli v žádném případě přistoupit k datům na oněch počítačích.
AndrewJ
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod Bari007 17. 7. 2012 15:21

A co ti brání? Kup WiFi router/AP, zapoj, nastav.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod AndrewJ 17. 7. 2012 15:30

Netuším, jak se to dělá, ani jestli to umí každý wi-fi router... Tak jak mám nastavenou síť doma, tak bych se z mobilu k datům na PC dostanu.

Popíšu problém přesněji. V současnosti mi mám natažený internet do routeru, přes který jej sdílím celkem se třemi různými PC. Jaký router mám pořídit a jak to zapojit, abych mohl být připojený na net z iPadu(nebo něčeho podobného), ale neměl přístup k těm PC.

Nikdy jsem nic takového nenastavoval. vrchol sítování je pro mě nastavit skryté SSID u domácí wi-finy.
AndrewJ
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod x_based 17. 7. 2012 15:34

Router respektive jeho firmware musí podporovat funkci AP Isolation, např dd-wrt umí na jednom wifi routeru zprovoznit 2 wifi sítě: izolovanou i standartní. Ale pokud nemáš na počítačích nic nasdílěno a nastaven přístup bez autorizace a neběží ti tam nějaké služby tak se tam stejnak bez hesla nikdo nedostane ale uvidí připojená zařízení.
x_based
Junior

Odeslat příspěvekod Bari007 17. 7. 2012 15:59

Pokud máš WiFi router, stačí otevřít manuál k němu a najít, jestli podporuje AP Isolation a případně jak to nastavit.
Ale ono opravdu stačí si správně nastavit zabezpečení na počítači, pokud ta WiFi není vyloženě veřejná. Protože v současné době evidentně bezpečnost na počítači nijak neřešíš, takže svá data vystavuješ ve všech sítích, ke kterým se kdekoliv připojíš.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod jejan 17. 7. 2012 16:43

Ideální je umístit pc a wifi zvlášt do VLANy (v tomto případě port based). Pokud nechceš aby spolu mohli komunikovat wifi klienti, pak je třeba zapnout AP isolation, jak píší kolegové. Asi nejlepší low-cost řešení je Mikrotik RB751G-2HnD. Pokud šetříš a stačí ti 100Mbit LAN porty, pak je tu o 400 levnější RB751U-2HnD.
jejan
Kolemjdoucí

Odeslat příspěvekod hunter21 17. 7. 2012 16:46

Na oddelenie sieti vymysleli uz velmi davno zariadenie, ktore sa vola "router". Zakladna funkcia routra je oddelovat siete jednu od druhej (alebo inych).
hunter21
Pokročilý

Odeslat příspěvekod Bari007 17. 7. 2012 19:52

Myslím, že Mikrotik absolutně nepřipadá v úvahu podle znalostí uživatele. Musel by si to jedině od někoho nechat nastavit a stejně mě to přijde jako zbytečně komplikované řešení na to, co potřebuje.

Něco jiného by bylo, pokud by ta WiFi měla být nějaká veřejná (restaurace apod). Ale o tom nepadlo ani slovo. Takže bych se držel toho, aby si v prvé řadě pořádně zabezpečil počítače, protože to je základ. A pak může nastavit AP Isolation, což má většina běžných WiFi routerů.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod vladimir 18. 7. 2012 08:43

Většina? To je myslím dost optimistické tvrzení.
Co se dívám do svého přehledu, tak tuto funkci mívají výrobky značek Linksys, Tenda a TP-link. (Moje databáze samozřejmě není kompletní.)
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Bari007 18. 7. 2012 08:49

No dobře, většina z běžně prodávaných a doporučovaných :)
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod AndrewJ 18. 7. 2012 11:28

Díky za rady, nějak se podle toho zařídím. Jde o síť počítačů v prodejně (aktuálně tu není vůbec wi-fi, počítače jsou sesíťované kabelem), a potřebujeme wi-fi, abychom mohli demonstrovat funkce fotoaparátů, u kterých se podpora wi-fi objevuje čím dál tím častěji (ať už pro přenos dat nebo pro ovládání přes tablet).
Wi-Fi nebude pro veřejné použití, ale na druhou stranu tam bude jen nějaké jednoduché heslo, aby to při prodeji příliš nezdržovalo (pravidelně obměňované)

Ještě bych poprosil, jestli máte dobrou zkušenost s nějakým routerem, který má nějaké, laikovi srozumitelné, rozhraní. Ideálně kdyby měl 8xLAN (máme na tom i tiskárny)
AndrewJ
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod Bari007 18. 7. 2012 12:01

WiFi routery s 8 LAN porty běžně nenajdeš.
WiFi routery se 4 LAN porty máš ve FAQ viewtopic.php?f=960&t=1149330
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod vladimir 18. 7. 2012 12:26

Pokud to máte sesíťované už teď, tak máte switch, do kterého jedním kabelem přípíchnete access point (s jedním portem) nebo wifi-router nakonfigurovaný jako AP a je to.

Předpokládám aktivovanou funkci AP isolated, jak bylo řečeno výše.

POZOR, při tomto zapojení do stávajícího switche WIFI-router nesmí být provozován jako WIFI-router, jinak ochrama před potencionálními útoky přes wifi nebude fungovat. Kdyby to totiž byl wifi-router, byla by chráněna wifi-síť před útoky z vaší podnikové sítě, ale vy potřebujete ochranu v opačném směru a to zajistí funkce AP isolated jenom u AP. (Jinými slovy, WAN-port wifi-routeru zůstane nezapojený, nebo do něj povede přípojka internetu.)
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod soban 18. 7. 2012 13:47

A nebo pokud chcete větší bezpečnost pořiďte si TP-LINK TL-WR1043ND do kterého klidně můžete nahrát openwrt a uplně wifi odříznout od ostatní sítě i s vlastním firewallem, pak můžete mít wifi na prodejně i pro zákazníky.....

Ovšem pak vám to asi bude muset nastavit nějaký odborník kdo se v tom více vyzná.....
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod vladimir 19. 7. 2012 06:32

Jako varianta na vytvoření dvou oddělených částí sítě mne teď ještě napadl nějaký switch s port-managementem, třeba Netgear GS105E. Výhoda oproti routeru je, že neprovádí NAT překlad adres. Zapojil by se mezi přívod internetu a stávající switch a AP by se zapojilo do jednoho z jeho portů, který by byl nakonfigurovaný jako jiná virtuální síť než prodejna.

(AP s funkcí AP isolate vyjde samozřejmě levněji.)
vladimir
Expert
Uživatelský avatar

Další stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků