DD-WRT WLAN separada por LAN

imagenes

Intenté separar mi WLAN de la lan siguiendo este tutorial.

Desafortunadamente, después de que se cambian las configuraciones, DCHP en la WLAN ya no funciona. Supongo que puede tener que ver con la configuración incorrecta del servidor de seguridad, pero no sé por dónde empezar a solucionar problemas.

Yo tambien lo intenté esta guia. También hay algunos comentarios sobre la configuración del firewall, pero no sé cuáles son las configuraciones correctas.

Quiero:

  • Sin acceso desde WLAN a la subred LAN
  • Acceso a Internet desde WLAN

Enrutador

  • Modelo: WRT54GL
  • Firmware: DD-WRT 24 v2 BETA (dd-wrt.v24_usb_generic.bin)

Es uso de oficina.
He creado un grupo para el punto wlan y lo configuré.
Supongo que tiene algo que ver con el firewall.
Tiene a alguien un script de firewall de prueba para obtener el siguiente comportamiento:

Wlan y Lan separados
Wlan tiene acceso a internet + dhcp


Tenemos varias respuestas

La mejor respuesta:

Tuve lo mismo corriendo en mi configuración pre-openwrt linksys dd-wrt-24sp2. esto es lo que logré sacar de una copia de seguridad de nvram:

rc_firewall = EXTIP = `nvram get wan_ipaddr`
iptables -I INPUT -i br1 -m estado --estado NEW -j logdrop
iptables -I INPUT -i br1 -p udp --dport 67 -j ACEPTAR
iptables -I INPUT -i br1 -p udp --dport 53 -j ACEPTAR
iptables -I INPUT -i br1 -p tcp --dport 53 -j ACEPTAR
iptables -I INPUT -i br1 -p udp --dport 1194 -j ACEPTAR
iptables -I INPUT 1 -p udp --dport 1194 -j ACEPTAR
iptables -I ADELANTE -i br0 -o tun0 -j ACEPTAR
iptables -I ADELANTE -i tun0 -o br0 -j ACEPTAR
iptables -I ADELANTE -i br1 -o br0 -m estado --estado NUEVO -j logdrop
iptables -I ADELANTE -i br1 -o br0 -p tcp -d 192.168.1.2 --dport 443 -j ACEPTAR
iptables -I ADELANTE -i br1 -o br0 -p tcp -d 192.168.1.2 --dport 25 -j ACEPTAR
iptables -I ADELANTE -i br1 -o br0 -p tcp -d 192.168.1.2 --dport 22 -j ACEPTAR

br1 es el puente de invitados, que une el wlan secundario y un solo puerto rj-45. 192.168.1.2 es mi servidor principal, al cual permito acceso solo a servicios específicos desde la red de invitados (443, 25 22). Ídem para acceder solo a algunos servicios cruciales en el propio enrutador (67, 53, 1194). tun0 es el adaptador openvpn.

También debe definir mejor qué es “no trabajar”. ¿Las solicitudes DHCP llegan al enrutador? Creo que había dos opciones disponibles para servidores DHCP y DNS, ¿está usando dnsmasq? ¿Está escuchando en todas las interfaces? Habilitar temporalmente syslog en el enrutador, podría hacer que se envíen cosas a otro syslog en ejecución o simplemente cola -f / var / log / messages (probablemente) en el enrutador.


Otra respuesta


Fuente

Leave a Reply