Nastavení AP pouze pro internet (omezení vnitřní sítě)

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod aa33kk 18. 6. 2019 08:48

Ahoj, používám router ASUS RT-AC1200 G+, který je jako primárně napojený na páteř mého internet providera. V síti mám umístěný další router TP-LINK TL-WR941ND s dynamicky nastavenou IP, vypnutým DHCP a zapojen v režimu AP. Potřeboval bych omezit TP-LINK pouze na sdílení internetu a odstřihnout ho od vnitřní sítě. Půjde to nějak nastavit? Díky za všechny podněty.
aa33kk
Junior

Odeslat příspěvekod JirkaVejrazka 18. 6. 2019 09:20

Obavam se, ze to nejak rozumne nepujde. U inteligentnejsiho zarizeni (UniFi, Mikrotik) by se to udelat dalo, ale tady me nenapada jak. Je ale klidne mozne ze se pletu, TP-Link tak dobre neznam.

Pokud to potrebujes, kup si nejaky levni Mikrotik ( pokud potrebujej jen WiFi, stacil by ti treba https://routerboardy.heureka.cz/mikrotik-rbmapl-2nd/ ) a pak se prijd poradit - tam to pujde.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod Emil Pastelka 18. 6. 2019 11:23

Předně, co znamená "odstřihnout od vnitřní sítě"? Respektive, čeho chcete dosáhnout?
Emil Pastelka
Junior
Uživatelský avatar

Odeslat příspěvekod soban 18. 6. 2019 11:35

Napadá mě pouze jedno řešení.

Ten TP-LINK TL-WR941ND zprovoznit jako router a jeho wan propojit s lan toho asuse na tom TP-LINKU nastavit IP z jiného rozsahu jako přiděluje ten asus.

Příklad asus přiděluje 192.168.0.x tak na TP linku nastavit 10.0.0.y.

Samozřejmě že to není neprůstřelné ale mohlo by to vyhovovat pro IPv4, otázka je IPv6?
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod JirkaVejrazka 18. 6. 2019 11:45

Neni to neprustrelne - pri tomhle nastaveni ta zarizeni "za TP-Linkem" budou moci normalne komunikovat se zarizenimi "pred TP-Linkem" - jen obracene to nepujde.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod hunter21 18. 6. 2019 12:35

Je potrebné vedieť čo sa tým odstrihnutím myslí aby sa dalo navrhnúť správne a lacné riešenie. Bežne stačí router dať do routovacieho režimu, teda presne opačne ako režim AP. Zvyčajne ide len o nemožnosť videnia okolitých počítačov a tlačiarní podľa protokolu SMB. Toto už z princípu použitia routovania nefunguje. Na zdielaný objekt je možné sa ale pripojiť ak vieme adresu a heslo.
hunter21
Pokročilý

Odeslat příspěvekod aa33kk 18. 6. 2019 13:15

Jde mi o to, aby všechny připojené zařízení za TP-LINKem neměli přístup k zařízením připojeným k ASUS.
aa33kk
Junior

Odeslat příspěvekod vladimir 18. 6. 2019 13:35

Dělá se to obvykle přesně naopak - internetovou přípojku bys měl mít k TP-linku, WAN Asusu připojený k LAN TP-linku a Asus v režimu routování. Pak by to fungovalo, jak potřebuješ, automaticky bez nějakého extra nastavování.

Když máš přípojku do Asusu, možná by šlo to blokování v Asusu nastavit v "Network services firewallu", režim blacklist, kdyby TP-link fungoval jako router, pak bys jeho lokální adresu vyplnil jako source, všechny ostatní adresy (nejspíš s vyjímkou IP-adresy Asusu) jako destination, protokololy oba, porty všechny. Vyzkoušej.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod hunter21 18. 6. 2019 13:49

Bežný užívateľ za tplinkom tam prístup nebude mať. Za určitých okolností, ktoré sa využívajú na hromadnú správu (managovanie) staníc za routrom je možné sa na stanicu pripojiť. Z tohoto dôvodu nieje vhodné nechávať zdielanie bez hesla, pretože človek poverený správou a odstraňovaním problémov (administrator) tam prístup musí mať zabezpečený. Okrem toho hesla je potrebné ešte nastaviť na administrátorskej stanici prístup do siete za routrom a to BFU zvyčajne nevie.
hunter21
Pokročilý

Odeslat příspěvekod JirkaVejrazka 18. 6. 2019 13:55

vladimir píše:Když máš přípojku do Asusu, možná by šlo to blokování v Asusu nastavit v "Network services firewallu", režim blacklist, kdyby TP-link fungoval jako router, pak bys jeho lokální adresu vyplnil jako source, všechny ostatní adresy (nejspíš s vyjímkou IP-adresy Asusu) jako destination, protokololy oba, porty všechny. Vyzkoušej.



To by fungovat nemelo - komunikace mezi TP-Linkem a cilovym zarizenim by mela jit na L2, takze L3 filtrovani na Asusu by ji nemelo ovlivnit (a tim padem ani nemohlo zabranit).
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod vladimir 18. 6. 2019 15:02

Pokud by měl za asusem switch, tak ne. Pokud má Asus switchový čip, tak taky ne. Pokud má softwarový switch a komunikace jde přes procesor, pak by to ovlivnit jít mohlo. Asusy neznám, vyzkoušet. Za zkoušku nic nedá.
vladimir
Expert
Uživatelský avatar


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků