pawelkw Opublikowano 10 Listopada 2012 Zgłoś Udostępnij Opublikowano 10 Listopada 2012 Witam, Napotkałem na dość karkołomne zagadnienie i zastanawiam się czy jest możliwe jakiekolwiek jego rozwiązanie. Mam sieć skonfigurowaną na dwóch ruterach: PIERWSZY: TPlink TL-WR1043ND zainstalowany "za" modemem wifi aktywne, dostęp jedynie dla określonych komputerów (filtrowanie mac) DRUGI: TPlink TL-WR543G zainstalowany "za" pierwszym ruterem wifi dostępne dla wszystkich Teraz główna część - staram się skonfigurować drugi ruter w taki sposób aby pozwalał po podpięciu jedynie na dostęp do sieci WWW, bez możliwości monitorowania zasobów spod pierwszego rutera (widoczne komputery / udostępnione pliki) Docelowo taka opcja miałaby ukrywać wszystkie urządzenia komunikujące się z pierwszym ruterem, tak aby użytkownicy pracujący na drugim nie mieli żadnej możliwości dostępu do przechowywanych "tam" plików (np przy użyciu netscan'a) Czy istnieje jakaś realna możliwość skonfigurowania tego tak aby nie zmieniać kolejności ruterów, nie ingerować bezpośrednio w urządzenia pracujące "pod" pierwszym ruterem (z wyjątkiem drugiego rutera) i nie być skazanym na każdorazową ingerencję w urządzenia mające się podłączać pod drugi ruter? Z góry dziękuję za pomoc Odnośnik do komentarza
DawidS28 Opublikowano 10 Listopada 2012 Zgłoś Udostępnij Opublikowano 10 Listopada 2012 Skonfiguruj dwie osobne podsieci. Jedną na TL-WR543G (np. 192.168.0.0/24) i z niej przez DHCP przydzielaj adresy swoim komputerom w WiFi. Ustaw interfejs WAN na pobieranie adresu z DHCP z TL-WR1043ND albo przypisz statyczny (z podsieci tworzonej przez ten pierwszy router, np. 192.168.1.0/24). Ustaw bramę domyślną na adres TL-WR1043ND, który ma w podsieci 192.168.1.0/24. W teorii powinieneś stracić teraz dostęp do hostów, które są podpięte do pierwszego routera i będą w podsieci 192.168.1.0/24. W praktyce, jeśli to nie zadziała, bo na pierwszym routerze jest odpalony jakiś dynamiczny routing, to w instrukcji do TL-WR1043ND gdzieś ok. strony 70 jest opis mechanizmu Access Control, który pozwala na ukrywanie hostów: http://www.tp-link.com/Resources/document/TL-WR1043ND_V1_User_Guide.pdf Odnośnik do komentarza
pawelkw Opublikowano 11 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 11 Listopada 2012 (edytowane) Dzięki za pomoc. Postaram się powalczyć z tym w poniedziałek. Jeśli nie uda się opcja z konfiguracją pierwszego routera (spięty z dużą ilością PC o stałych adresach filtrowanych po mac) być może uda się zmusić Access Control by traktował wybrane zasoby po stronie 1043nd jak domeny i blokował dostęp od strony routera 543n. Na mój rozum powinna być możliwość zablokowania dostępu z 1043nd dla 543n po adresie tego drugiego (192.168.3.101) Dam znać co/czy się udało. Jednak nie udało się. Nie mogę zmienić "miejsca" dla routera 1043nd (np przepiąć 543n przed niego) ani też edytować jego ustawień, ponieważ jest dość mocno skonfigurowany do pracy z oprogramowaniem monitoringu i wymiany danych. Jedyna opcja to najwyraźniej skonfigurowanie komputerów aby udostępniały pliki wyłącznie na "hasło" Edytowane 12 Listopada 2012 przez pawelkw Odnośnik do komentarza
pawelkw Opublikowano 17 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Jednak udało się zablokować dostęp. Załączyłem szkic z opisem sieci i adresów. Użyłem mechanizmu Access Control tak aby dla wszystkich urządzeń podłączonych do nieporządanego routera blokował dostęp do adresów IP znajdujących się za routerami które chciałem zabezpieczyć, niezależnie od użytego portu (wybrałem zakres od 1 - 5000) Na chwilę obecną zabezpieczenie działa. Zapytania o urządzenia podają brak wyników (testowałem m. in. Netscanem) a ponadto próba dostania się bezpośrednio do konkretnego adresu z zakresu chronionych skutkuje zerwaniem połączenia dla urządzeń z których pada zapytanie. Dziękuję za pomoc. Odnośnik do komentarza
DawidS28 Opublikowano 17 Listopada 2012 Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Ok. Zamykam temat jako rozwiązany w takim razie. I taka prośba na przyszłość: edytowanie postów powoduje, że nie mam pojęcia o tym, że ktoś odpisał. Jeżeli jest coś ważnego do dodania, a dotychczasowy ostatni post informuje "napiszę później, co to dało", to najlepiej pisać nowy pod stopem. Przyjdę, przeczytam, zepnę w jeden i odpowiem. A tak, to nawet nie wiem, czy ktoś coś zrobił. To taka drobna uwaga do wszystkich. Odnośnik do komentarza
Rekomendowane odpowiedzi