Re: Wifi invitados y dhcp

almolo · ‎28-09-2017

Hola:

Revisando lo publicado sobre la wifi para invitados y el Askey, tengo un par de dudas. Planteo mi necesidad y dudas:

En la red tengo un servidor DHCP (windows) que gestiona la peticiones de IP en el rango 192.168.1.150 a 192.168.1.200 y he habilitado la wifi de invitados en el askey. Para que funione, he tenido que hablitar también el DHCP del router con rango 192.168.1.201 a 192.168.1.230, por lo que ahora tengo dos DHCP en la red. ¿hay alguna manera de hacer los siguiente?

- Las conexiones wifi a la red de invitados (SSID = INVITADOS) han de recibir la ip del DHCP del router (entre la 192.168 .1.201 y la 1.230).

- Las conexiones wifi a la red NO de invitados (SSID = OFICINA) han de recibir la ip del DHCP del servidor windows (192.168.1.150 a 1.200)

Esto plantea el problema que no sé quien está asignando las ip, si el servidor windows o el router. Con lo que me encuentros equipos de oficina en el segmento 201-230, ocupando ip destinadas a invitados.

El objetivo es tener como dos redes aisladas, una para las oficinas, en la que los equipos se vean y puedan colaborar y otra de invitados en la que únicamente tengan acceso a Internet.

Veo en el askey que tiene posibilidad de dos direcciones de LAN pero no se utilizarlo. La idea sería que INVITADOS recibiera ip de un rango diferente y pudiera salir a Internet utilizando la segunda dirección LAN del router (digamos 192.168.2.1) para lo que el DHCP del router sólo debería asignar IP a los que se conectan con el SSID invitados y debería hacerlo en el rango 192.168.2.2 a192.168.2.200, por ejemplo.

¿Hay alguna manera de configurar esta situción: que el DHCP del router sólo funcione para los que se conectan vía wifi a través del SSID = INVITADOS?

Gracias de antemano y saludos.

zobex · ‎28-09-2017

Hola @almolo a mi lo unico que se me ocurre , es que la red de tu empresa trabaje con otra subred , asi no se solaparía con el dhcp y el rango que da askey a la red de invitados , y asi tiene una seguridad extra al saber que los equipos de la wifi de invitados no saben acceder a la otra subred de la empresa, y otra opción mucho mas fácil es comprar un router neutro de 15€ y ponerlo después del askey y ahí configurar el dhcp a tu gusto para los equipos de invitados.

Theliel · ‎29-09-2017

Buenas @almolo

Es muy mala idea tener dos servidores DHCP corriendo para asignar a la misma red. Es algo que siempre se debería de evitar.

Si lo que quieres es tener dos redes totalmente independientes, usa dos redes independientes, ya sea con dos segmentos de red distintos o a través de VLAN. En teoría el ASKEY lo permite y digo en teoría porque en la práctica nunca me he puesto a pelearme con él...

La idea es "sencilla", separar la conexión de invitados del bridge y crearla como un grupo nuevo (no recuerdo como se llamaba ahora mismo la opción de memoria). Una vez creado el grupo nuevo, podrás seleccionarlo en LAN y asignar una red diferente a la principal. Pero repito, eso es teoría, las opciones están, otra cosa es que te lo permita hacer o no de fallos.

Otra opción como apunta el compañero @zobex es, si por el motivo que sea tienes que usar un servidor DHCP, compra cualquier switch y listo, te creas una red independiente con todas las de la ley y que el servidor Windows rutee.

Técnicamente hablando, sí, sería posible configurar el Router para que las asignaciones DHCP sólo las asignase a la interfaz WIFI invitados, o lo que es lo mismo, bloquear el tráfico DHCP hacia abajo. Seguramente, precisamente porque usas la red de invitados WIFI, es necesario tener habilitado el servidor DHCP, porque dicha interfaz se quiere que sea independiente, y el Router la separará del Bridge principal, con lo que las peticiones DHCP de abajo no le llegan.

Puedes Crear filtros nuevos en el FW, que eso si lo permite la interfaz Web. Presuponiendo que la red WIFI invitado la segrega del bridge principal puedes hacer un pequeño truco... siempre y cuando esa presunción sea cierto claro. Primero creamos una regla general que afecte a br0 y podemos llamar bridge, tipo egress (saliente) y que tenga por defecto una política de permitir todo. A este momento realmente no afecta en nada, pero eso permite ahora especificar filtros sobre dicha regla.

Acto seguido solo tendrías que crear un filtro sobre dicha regla para bloquear las respuestas DHCP. Con eso debería, en teoría repito, bloquear las propias respuestas DHCP que el mismo router genera hacia abajo, y en teoria, no afectar a las que asigna a la red invitado.

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

almolo · ‎29-09-2017

Gracias a ambos por las respuestas. Mientras trato de poner en práctica y evaluar vuestras sugerencias, se me ocurrió otro "truco", a ver qué os parece. He activado el filtrado Mac en el Askey para el SSID OFICINAS, de manera que el DHCP del Askey realmente solo está asignado direcciones a las llamadas wifi que le entran por el SSID INVITADOS. ME falta aislar (seguramente con la idea del router barato) las solicitudes que llegan por cable, para que no vean el DHCP del askey y sólo el del servidor. ¿Sabéis para que sirve la segunda IP de LAN del Askey?

Soporte Fibra y ADSL

Wifi invitados y dhcp