概述
OpenWRT 创建内网隔离网络,实现访客网络内网与主要内网隔离,IoT同样思路。
环境说明:
- 设备 小米路由器3G
- openwrt 版本:24.10.1
OpenWRT 创建Guest访客网络
1.创建访客空网桥设备
从 网络->接口->设备 里面添加一个网桥设备,操作参考下图
除开上图标记的位置配置,其他默认,保存即可。
保存后可以看到刚才添加的网桥设备
2.创建访客接口
从上一步切换到接口界面,点击下面的 添加新接口按钮
防火墙先借用lan的规则
防火墙也可以新建一个。后面讲述。
配置DHCP服务器
如果啥也不懂就点了上面的按钮保存即可
3.创建访客无线网络
网络->无线
添加网络(2.4G/5G信号自主选择,这里以2.4G为例)
常规配置项目:
常规配置项目就配置网络和无线网名称其他默认即可
无线安全
默认是开放式的,谁都可以接入,建议设置个密码(可根据实际需求来哈)
高级设置->配置隔离客户端
保存无线网络设置并应用之前的配置
手机接入测试
对比同一个路由有线连接的电脑网络
可以发现已经实现了不同内网
网络测试:
发现两个虽然不是同一个内网但是由于使用了同一个防火墙规则导致目前还能访问。解决办法就是添加自定义的防火墙规则。接下来创建和应用防火墙规则。
4.创建独立防火墙规则
防火墙
网络 -> 防火墙
默认的防火墙规则
lan 规则
wan规则
添加Guest防火墙
其他默认,保存即可。
提示:其中Masquerading / 又称:IP伪装 一定不要勾选,这个是给wlan口用的
网络规则
添加DNS请求允许规则
高级和Time Restricitions 暂时不用配置,保存即可
添加DHCP请求允许规则
特别提醒:DHCP这个必须开放否则连上网络后一致卡获取IP地址,然后失败。
添加好以后可以在底部看到
5.防火墙应用于Guest网络
在 网络->接口 中编辑lan_guest接口
选择刚才创建的防火墙Guest
然后保存并应用
使用新规则后测试
已屏蔽网络互通,效果达到预期。
6.添加有线访客
前面配置目前只能无线网接入方式接入Guest网络,通过下面配置可以实现有线网接入访客(实际应用可以是某个部门网络)
OpenWrt首页可以查看网口接入情况
目前Windows系统是lan1口接入lan2口闲置,查看Windows IP信息为:
可以看到是172.16.31.1/24的IP
接下来将lan2口划分给Guest网络,使用Windows 接入lan2口实现Guest网络有线接入
释放网桥lan2口
默认情况下,硬路由刷的openwrt官方版,所有lan口都在默认的网桥br-lan下,这里编辑br-lan,将lan2口取消掉
绑定lan2口到br-guest网桥
配置br-guest
从网桥端口未配置勾选到lan2口
保存并应用。
测试有线接入Guest网络
将Windows网口插入路由的lan2口测试
插入后查询ip:
与预期结果一致,已经是Guest网络的IP段地址了。
顺便路由器地址已经无法访问了(因为Guest的目标网络只配置了wlan,也就是只能访问外网)
总结:
通过上面Guest的模式可以在一个路由配置多个内网段,且支持配置相关访问权限。实现如多部门划分等业务。
如生活中的IoT智能设备越来越多,可以把他们单独规划到IoT网络,一是可以保护不被局域网内入侵,二是包含他们不在我们常用网络里面搞事情。
https://www.syntaxspace.com/article/2506201113331623.html
评论