如何设置访客 WLAN？

Question

我想建立一个与我家人使用的网络分开的访客 wifi 网络，以便访客可以访问互联网但不能访问我的家庭网络。

请注意，来自 ISP 的 DSL 路由器真的很愚蠢，并且没有给我任何配置选项。它有一个硬编码的 SSID 和 WPA 密码。该路由器包含（未知）DSL 凭据，因此它必须位于壁式插座和开关之间；我无法更换它，但如果需要，我可以连接一个额外的路由器。

我有一个可以设置的备用 Linksys WRT54G 路由器，但它不支持像 Tomato 这样的自定义固件，所以我必须使用常规配置选项。我可以将此 Linksys 直接连接到 ISP 路由器，也可以连接到交换机，但我认为这没有任何区别。

如何配置网络，使 Linksys 只能访问 Internet，但看不到家庭网络（既不是 LAN 也不是 WLAN）？

我可以分发 ISP wifi 凭据并使用 Linksys 设置家庭网络。
或者我可以自己使用 ISP wifi 并将 Linksys 设置为访客网络。
不确定哪种方式更好。

像上面那样设置它是否有意义，以便 Linksys 充当一种“单向过滤器”，防止 ISP 路由器看到网络的其余部分，但网络可以访问 Internet？为此，将网线从ISP路由器的LAN端口连接到Linksys的WAN端口是否正确？

Answer 1

将 Linksys 路由器的 WAN 端口连接到 ISP 提供的路由器上的 LAN 端口。使用 Linksys 路由器提供的 WLAN 供您自己使用，并为访客提供 ISP 提供的路由器 WLAN 的凭据。

与访客网络相比，这会将您自己的系统置于额外级别的 NAT 之后，这意味着您自己的主机对于访客来说就像普通家庭网络对于 Internet 一样。它还利用了这样一个事实，即几乎所有此类路由器都会将 WAN 侧视为“不受信任”。来宾可能能够访问 Linksys 路由器（他们肯定会知道它在那里），但不能访问它背后的任何东西，假设他们没有设法通过直接修改本地路由表来偷偷摸摸。（我怀疑这对他们有帮助，因为如果他们尝试，他们应该会击中 Linksys 的防火墙，但很难 100% 确定。）

这种方法的主要缺点是您提供了自己无法更改的凭据。另一个潜在的缺点恰恰是它把自己置于两层 NAT 之后，这可能会导致任何依赖连接回原始主机能力的服务出现问题（点对点文件共享是一种可能性） .

你最终会得到类似的东西：

                             +------------+
                             |  Internet  |
                             +------------+
                                    ^
                                    |
        +---------+          +------+-----+
        | Linksys +--------->| ISP router |
        +---------+          +------------+
              ^                     ^
              |                     |
        +-----+---------+    +------+--------+
        | Your network  |    | Guest network |
        |---------------|    |---------------|
        | Your host 1   |    | Guest host 1  |
        | Your host 2   |    | Guest host 2  |
        +---------------+    +---------------+

更好的选择可能是用支持多个独立本地 WLAN 的东西替换 Linksys，将其连接到 ISP 提供的路由器（如果可能，将 ISP 提供的路由器配置为桥接模式），并仅将其用于本地访问（您的自己和来宾”），将其中一个网络分配给您自己使用，将另一个网络分配给来宾使用。这可能是小型企业范围及以上硬件中非常常见的功能，但在消费类硬件中并不常见。例如，Cisco RV220W 允许您配置多达四个独立的无线网络，每个网络都有自己的 SSID、包括加密和密钥设置在内的安全设置以及网段隔离设置. 也就是说，您可以进行设置，当在一个 WLAN 上时您可以访问所有内容，但如果您连接到另一个 WLAN，则只能通过到 WAN，特别是访客 WLAN 无法访问住宅 WLAN，因为路由器或接入点会阻止此类通信。我怀疑它是防弹的，但除非你的威胁模型包括来自政府机构的有针对性的攻击，否则我认为这样的设置会非常安全（如果这是你的威胁模型，你可能不应该首先在这里问。 ...）。

你最终会得到这样的结果：

                             +------------+
                             |  Internet  |
                             +------------+
                                    ^
                                    |
                             +------+-----+
                             | ISP router |
                             +------------+
                                    ^
                                    |
                             +------+-----+
                  +--------->| Your router|<----------+
                  |          +------------+           |
                  |                                   |
          +-------+-------+                   +-------+-------+
          | Your network  |                   | Guest network |
          |---------------|                   |---------------+
          | Your host 1   |                   | Guest host 1  |
          | Your host 2   |                   | Guest host 2  |
          +---------------+                   +---------------+

在每个图中，指的箭头朝向另一个框单元“使用的服务”所指向的框。（例如，“ISP 路由器”使用“Internet”的服务。）

我自己做了一些与后一种情况非常相似的事情，在不同的 VLAN 上有两个 WLAN。我不记得路由器是如何处理有线网络连接的，但我很确定这些也可以分配给选定的 VLAN（并且这样的功能对于这样的产品当然似乎是合理的期望），这意味着您可以结合某些带有给定无线网络的有线端口用于您的住宅网络，并在与您使用的 VLAN 不同的 VLAN 上运行访客网络。如果您选择走这条路线，并且在有线和无线网络上组合和分离流量的能力对您来说是一个重要的考虑因素，您可能应该联系您正在考虑的某些产品的制造商，并具体询问该功能。