Kerio - Как отсечь клиентов wifi от локальной сети?

Vexel · Отправлено: **06:02, 26-07-2012** | #2

Цитата grapher:

Как отсечь весь трафик с вафли к локальным компам, но при этом сохранить доступ в инет на вафле? »

Поставьте между свиnчом 1-го этажа и точкой доступа дополнительный роутер, который имеет настройки файервола-фильтра, позволяющие отсечь доступ к определенным IP адресам.
(пример, http://forum.oszone.net/thread-238490.html )

grapher · Отправлено: **08:52, 26-07-2012** | #3

О, спасибо за совет!
Теперь другая мысль родилась... Что если wifi-роутер вместо точки доступа поставить. То есть от свича в WAN порт роутера. В настройках доступа в интернет на роутере прописать вручную его адрес/подсеть, адрес шлюза, адрес сервера DNS. На роутере включить DHCP с диапазоном адресов и подсетью отличными от корпоративной и раздавать эти адреса по вафле. Это может спасти ситуацию? Вроде так с вафли нельзя будет попасть в корпоративную сеть без проброса портов на роутере?

cameron · Конфигурация компьютера

нет ничего проще.
три влана на свитче:
- internet
- internal
- wifi
соотно на "внутреннюю" сетевушку kerio приходит 2 (вообще конечно можно вообще одной сетевушкой обойтись, раз уж вланы

) - wifi и internal
соотно internal - 192.168.1.0/24, а wifi - 192.168.2.0/24 с нужными перенастройками DHCP на WiFi.
без правил прохождения траффика в файерволе керио - всё, алес, никто никого не видит.

или, если есть ещё внешние IP - то просто один влан на свитче и роутер вместо AP.

grapher · Отправлено: **12:58, 26-07-2012** | #5

Всем огромное спасибо за поддержку. Решение нашел. Пока временно, но в моей ситуации помогло. На свиче первого этажа включил сегментацию трафика. Теперь порт свича, к которому подключена точка доступа "нюхает" только порт, по которому заведена ветка с третьего этажа. При этом интернет есть на вафле, а локалку теперь не видно. Пинги к компам на первом/третьем этаже с вафли не ходят. На точке доступа указал адрес шлюза и адрес DNS-сервера(тоже адрес шлюза, т.к. на шлюзе в Керио запущен и настроен DNS-сервер). Пробовал VLAN настроить, чет не вышло))) Не разобрался пока с тегированием портов. Но эта операция предстоит в обозримом будущем.

Может кто подскажет, есть ли "подводные камни" при использовании сегментации трафика? В моем случае в плане доступа к корпоративной сети с клиентов wifi.