Сейчас почти у каждого сотрудника есть какое-нибудь устройство способное подключится по wi-fi. И появляются всё новые и новые устройства. В небольшой компании которой я работаю нет политики по запрету подключения личных устройств к нашей сети wi-fi. Как правило это разные смартфоны, планшеты и реже ноутбуки. И все эти устройства подключенные по wi-fi становились клиентами нашей сети, им были доступны наши внутренние ресурсы - общие папки, сетевые принтеры. Вот это не совсем безопасно, точнее точно опасно. И после того как вирус вымогатель зашифровал документы на общем ресурсе я решил взяться за решение проблем сетевой безопасности.
Компания небольшая, компьютеров 12 штук. Каждый сотрудник сидит за своим компьютером, никаких перемещаемых профилей, удаленных офисов, домена нет (и наверно не надо!). Все находятся в одной рабочей группе и на многих компьютерах открыт гостевой доступ. С точки зрения сетевой безопастности - всё плохо.
Первым этапом я решил всех wi-fi клиентов выделить в отдельную подсеть, и отделить от общей сети по технологии vlan. У нас по всему офису раскиданы разного рода свитчи, имеются две wi-fi точки доступа - Zyxel Keenetic и d-link DIR-300NRU B3. Маршрутизатор d-link DFL 860e, поддерживает технологию vlan из коробки. После прикидки получилось надо получить примерно такую схему.
Как видно из схемы к Zyxel keenetic помимо wi-fi клиентов подключены и простые компьютеры которые должны находиться в рабочей сети. Настраивать начал с dfl 860e, потому как это самая простая часть, да и проверять будет легче. Настроил 2 VLAN - 9, 11. Для VLAN 9 разрешил выход в интернет, для VLAN 11 разрешил выход в интернет и для всех сервисов (all_services) доступ к локальной сети, из локальной сети полный доступ (all_services) к VLAN 11. Настроил дополнительный DHCP сервер который работает на интерфейсе VLAN9 и будет обслуживать wi-fi клиентов. Конфиги DFL 860e не показываю за неимением надобности, тут всё просто(если кому надо обращайтесь на почту).
Потом очередь пришла за zyxel keenetic. Для этого маршрутизатора есть две ветки прошивки 1 и 2. Первая версия прошивки не поддерживает технологию VLAN. Пришлось перепрошить на стабильную вторую версию. Но быстро набросать конфигурацию с помощью мышки не получилось, пришлось засесть за чтения документации. Как сделать помогли статьи №2793 и №3222 с официального сайта. В WEB Интерфейсе я отключил функцию NAT на WAN порту, отключил DHCP сервер. Сконфигурировать zyxel keenetic для работы VLANs в соответствии со схемой приведенной выше можно только через консоль. Сначала сконфигурируем 5 порт(WAN) так что-бы от был транковым для VLAN 9 и 11, и сам порт на выходе тегировал(помечал пакеты) VLAN 9. То есть если на выходе WAN порта появится пакет без vlan метки от автоматически будет принадлежать VLAN 9.
(config)> interface Switch0
(config-if)> port 5
(config-if-port)> access vlan 9
Access vlan identifier saved.
(config-if-port)> mode trunk
Trunk mode enabled
(config-if-port)> trunk vlan 9
Vlan added to trunk
(config-if-port)> trunk vlan 11
Vlan added to trunk
(config-if-port)> exit
(config-if)> exit
(config)> interface Switch0/VLAN9
created interface Switch0/VLAN9.
(config-if)> exit
(config)> interface Switch0/VLAN11
created interface Switch0/VLAN11.
(config-if)> exit
Удаляем Wi-Fi-интерфейс из интерфейса "моста" (bridge), используемого по умолчанию, т.к. Wi-Fi-интерфейс должен входить в VLAN 9. Примерно так для себя я понял фразу из примерной статьи.
(config)> interface Bridge0
(config-if)> no include AccessPoint
Interface released.
(config-if)> exit
Создаем новый интерфейс типа "мост" для объединения интерфейса с VLAN 9 и точки доступа Wi-Fi
(config)> interface Bridge1
created interface Bridge1.
(config-if)> name FromZyWALL
Interface renamed.
(config-if)> inherit Switch0/VLAN9
Interface acquired.
(config-if)> include AccessPoint
Interface acquired.
(config-if)> security-level public
Interface set as public
(config-if)> exit
После этого шага я думал что всё уже настроено и должно работать, поэтому сохранил конфиг и проверил работоспособность сети.
(config)> system config-save
A configuration save request sent.
И через web просмотрел на состояние zyxel keenetic и порадовался. Интерфейс типа "МОСТ" поднялся и получил ip адрес, маску, шлюз от DHCP сервера для VLAN 9 находящимся на DFL 860e. Я настроил wi-fi Подключение в web Инрефейсе, отключил сетевой кабель и подключился по Wi-Fi. Ноутбук подключился и получил все настройки от того же DHCP сервера. Только вот в интернет выйти не смог и связи с локальной сетью не было. Хотя пинг до основного шлюза VLAN 9 был. Отключил wi-fi соединение и через порт LAN1 подключился к настройкам zyxel. Там испытал встроенной командой ping, до основного шлюза пинги ходили, до 8.8.8.8(Google DNS) нет. Посмотрел таблицу маршрутизации на zyxel. Там не было маршрута через новый интерфейс FromZyWALL. Настроил маршур по умолчанию через FromZyWALL. И сеть заработала как надо!
Wi-fi клиенты ходят в интернет нормально и не имеют доступа к ресурсам локальной сети! Опять подключился к консоле zyxel keenetic и настроил 2,3,4 порты в vlan 11. Думал необходимо будет настраивать дополнительно маршруты. Но оказалось все работает и без дополнительных настроек маршрутизации, клиенты подключенные к портам LAN2, LAN3, LAN4 имеют доступ к интернет и к ресурсам локальной сети. LAN1 остался не подключенным к VLAN 11 и VLAN 9, так как я через LAN1 идет доступ к внутреннему интерфейсу zyxel keenetic для конфигурирования. И для VLAN 11 я выделил другую подсеть, что плохо сказалось, не видно компьютеров из локальной сети(пришлось перестраивать samba) и на компьютерах настраивать firewall. Лучше было выделить часть ip диапазона из основной локальной сети.
Привет Андрей.
Интересная и простая схема, получилось главное.
WIFI сети получается разные сделал?
Одна гостевая другая для офисных ПК?
— Сергей · 26 ноября 2013, 14:09 · #
Я не стал настраивать отдельно гостевую wi-fi сеть, хотя zyxel keenetic позволяет сделать 4 отдельные wi-fi сети. Просто всякие iphone клиенты сеть мультикастами заполняют. Хотя и itunes тоже.
— Redduck · 26 ноября 2013, 14:52 · #
так у тебя Вай фай сети разные? Или как происходит фильтрация если имя сети одинаковое?
— Сергей · 26 ноября 2013, 14:55 · #
Я всех wi-fi клиентов выгнал из своей локальной сети! Получилось одна гостевая wi-fi сеть. Если приходят с ноутбукам и им необходим доступ к локальной сети я выдаю провод, хотя да так не удобно, но так как таких клиентов один, два в год в полгода, то терпимо.
— Redduck · 26 ноября 2013, 15:15 · #