יש לי כרגע מודם נתב אלחוטי כתובת 192.168.0.1

אני רוצה להוסיף לו AP נוסף, אבל מטעמי אבטחה אני רוצה שה-AP הנוסף יחלק כתובות ב-Subnet אחר, 192.168.1.1.

הקטע שאני רוצה שבשני הרשתות יהיה אינטרנט.

אפשר לעשות כזה דבר?

192.168.1.1 זה לא subnet זה טווך כתובת ל DHCP.

פשוט תגדיר את זה בציוד עצמו.

כשאתה מגיר subnet mask של 255.255.255.0 אז 192.168.1 ו-192.168.0 יושבים על subnet נפרדים, אין ביניהם תקשורת Layer 2, וחייבים Router בין שני ה-Subnet-ים.

ברגע שאני מגדיר את הנתב כ-192.168.1.1 הוא אומנם מחלק כתובות של 192.168.1 ב-DHCP אבל האינטרנט לא פועל.

אתה מבלבל פה

גם 192.168.1.0 וגם 192.168.1.1 הן כתובות בטווך רשת שהיא classfull והיא class c.

למה שאתה מתכוון, אם הבנתי נכון, זה ה default gateway שהוא שאר היציאה החוצה.

הוא לא מבלבל שום דבר...

ל-2 הרשתות אולי יש אותו סאבנט קלאס, אבל זה לא אומר שהם באותו הסאבנט...

אני לא חושב שאתה יכול לעשות את זה בלי מנגנון NAT נוסף, או VLAN, וקשה לי להאמין שבנתב ביתי תמצא את האפשרויות האלה.

(אלא אם כן תתקין עליו קושחה צד שלישי שמספקת אותן)

עריכה: לא שמתי לב שאתה מדבר על ציוד נוסף (חשבתי שמדובר בנתב בודד משום מה) - במקרה הזה נסה את עצת הסלט כאן למטה..

אם אתה רוצה אבטחה ולעשות את הדברים בצורה קלה, פשוט תשתמש בנתב נוסף בתור הAP כאשר החיבור מהנתב הראשון הוא למבואת הWAN של השני.

ככה הנתב השני יגשר בין הרשתות השונות בלי לשבור את הראש עם אפשר ככה או אי אפשר ככה והאם יש כתובות מתנגשות.

ככה אתה גם יכול להיות בטוח שאין תנועת אטרנט בין החלקים ברשת.

עריכה: וואי לקחת לי מלא זמן לכתוב את ההודעה הזאת... ואין לי כוח לערוך אחרי ההודעה שלי קידני

גם אם מדובר ברשתות אפשר לבצע ניתוב סטאטי ביניהן, אבל שוב אין פה שום קשר ל subnet mask.

אני אפרט קצת יותר

המודם נתב ראוטר אלחוטי שמחובר ל-ADSL הוא Asus AM604g שמשמש בתור AP מוצפן ב-subnet עם כתובת 192.168.0

אני צריך להרים נתב AP נוסף לא מוצפן שיספק אינטרנט למחשבים ניידים, לשם כך יש לי מודם נתב ראוטר ECI B-Focus 352+.

אני רוצה שהניידים המחובר ל-ECI יהיו מבודדים מהרשת שמוצפנת ולא תהיה להם גישה קשה למשאבים הפרטיים ב-subnet המוצפן.

הבעיה הראשונה היא ש-ECI (וגם ל-ASUS) אין כניסת WAN ככה שלחבר את הנתב הראשון לשני דרך ה-WAN ולהגדיר "חייגן" מסוג Dynamic DHCP לא אפשרי.

הבעיה השניה היא שאין לי ציוד נוסף ואני גם לא מתכוון לרכוש ציוד רק לשם כך.

רעיונות?

אני אמשיך להשקיע מחשבה בעניין, אבל נראה לי שעם הציוד שיש לך זה לא אפשרי. :-\

ניצחתי!

ה-ASUS מחובר לקו הטלפון של ה-ADSL עם חייגן PPPoE

Asus AM604g

IP - 192.168.0.129

Subnet - 255.255.255.0

DHCP - 192.168.0.101 - 192.168.0.127

ECI B-Focus 352+

IP - 192.168.0.128

Subnet - 255.255.255.128

Gateway - 192.168.0.129

Primary DNS - 192.168.0.129

DHCP - 192.168.0.130 - 192.168.0.200

עריכה - מסיבה לא ברורה כנראה שהפסדתי

משום מה מחשב שמחובר ל-AP השני ומקבל כתובת 192.168.0.130 255.255.255.128 מצליח לעשות ping למחשב ב-ap הראשון עם כתובת 192.168.0.100

כל הזין

זה עוד יותר מוזר, כשאני עושה tracert מהמחשב ב-AP השני למחשב ב-AP הראשון אני רואה שזה עובר דרך ה-ASUS, כלומר ה-ASUS מקבל את החבילה (כמו שרציתי) אבל מחליט לזרוק אותה חזרה לתוך הרשת המקומית.

בעסה אמיתית מה שהולך פה.

ומה קורה אם לקוח של הרשת הלא מוצפנת מגדיר ידנית נטמסכ של 255.255.255.0?

הוא יקבל גישה לרשת המוצפנת

בכל מקרה הרשת תהיה פתוחה להתקפת MITM ע"י ARP poisoning של משתמש מהרשת הפתוחה.

אתה חייב להפסיק את בקשות הARP מלעבור בין חלקי הרשת ע"מ לקבל אבטחה, מצד שני אתה רוצה מעבר תקשורת IP. הדרך הכי קלה לעשות את זה - נתב NAT.

הרשת לא צריכה להיות מוגנת נגד פריצות, היא רק צריכה להיות מוגנת נגד המשתמש הפשוט.

בגדול שלא יהיה מצב שמישהו ב-AP הפומבי נכנס ל-network naberhood ורואה את שאר המחשבים