Possibile limitare le connessioni wireless in una lan al solo internet?

[Gio-555]

Salve a tutti
Ho letto in giro sul forum e mi sembra che un argomento simile non sia già stato trattato (spero, nel caso vogliate scusarmi e chiudere!)...quindi vi espongo la situazione:

Situazione attuale:
Ho una piccola rete locale cablata composta da 5 cliente + 1 server.
I client lavorano su una cartella convisiva del server e, a loro volta, hanno delle risorse condivise tra loro (qualche cartella, stampanti).
Non sono impostate ne password ne controllo degli accessi, questo vuol dire che da qualsiasi computer è possibile accedere a qualunque risorsa della rete.
L'accesso ad internet è garantito da un modem/router adsl.

Di cosa dispongo:
- Modem/router adsl Atlantis Land ADSL2+ VPN Firewall (cod. A02-RA440)
- Access point Atlantis Land NetFly WAP 108 (cod. A02-WAP-54G)
- Switch D-Link DGS-1016D

Cosa vorrei fare:
Vorrei dare la possibilità a operatori esterni (clienti, fornitori, rappresentanti...) dotati di un portatile con connettività wireless di usufruire solo del collegamento adsl (previa fornitura del chiave wep), impedendo nel contempo di poter sfogliare ed accedere alla risorse della rete cablata locale per ragioni di riservatezza. Tenete presente che l'access point avrà solo questo scopo: nessun computer dell'ufficio si collegherà mai via wireless.
E' una cosa fattibile con l'hw che ho?

Possibili soluzioni che già conosco:
- Impostare password alle risorse condivise. (sarebbe la cosa più logica, lo ammetto!)
- Utilizzare uno switch con supporto vlan
-Sottoscrivere una adsl dedicata al solo wireless, svincolandola dalla lan cablata.


Grazier per qualsiasi consiglio!
Un saluto,
Giorgio

[rob66]

se il router te lo consente potresti abilitare alla LAN i soli MAC dei tuoi pc

[Gio-555]

Era una cosa che avevo provato a fare, ma non è servita
Il router supporta il filtro sui mac ma avendo solo 4 porte ethernet non lo uso come switch. E' collegato al d-link da 16 porte, per cui il router in se non filtra nulla.
L'ideale sarebbe dire allo switch d-link cosa filtrare...ma è un semplice "unmanaged"...

[rob66]

all'AP è possibile assegnare un IP statico e poi utilizzare il suo server DHCP per creare un'altra classe di ip?

mi spiego meglio, mettiamo che il tuo router sia 192.168.0.1 con un range da 50 ip per il DHCP server (quindi avrai da 192.168.0.2 a 192.168.0.52 disponibili) puoi assegnare all'AP un ip 192.168.0.52 come gateway e DNS 192.168.0.1 ma come range da assegnare ai pc che si collegano a lui 192.168.2.xxx.

spero di essere stato chiaro

Tut, Pegaso, Alfonso, Outatime ditemi se ho scritto cavolate oppure se l'ho azzeccata (almeno in parte)

[Gio-555]

Chiarissimo!
E' una prova che non avevo mai preso in considerazione in quanto non pensavo che il dhcp potesse assegnare una classe di ip diversa da quella dell'apparato che lo integra...!
Vado subito a mettere in pratica il tuo consiglio, se funzionasse sarei a posto!

[rob66]

Ho letto il manuale dell'AP ed in teoria la cosa è fattibile

[Harry_Callahan]

Quote:

Originariamente inviato da rob66

Tut, Pegaso, Alfonso, Outatime ditemi se ho scritto cavolate oppure se l'ho azzeccata (almeno in parte)

ti sei dimenticato di me e BTS

anche con IP di classe diversa il router farà routing

tutti i PC si vedranno

[Harry_Callahan]

Quote:

Originariamente inviato da rob66

Ho letto il manuale dell'AP ed in teoria la cosa è fattibile

ma non funzionerà

ascolta,

resetta l'AP, metti la chiave WEP, collegalo al routerone e segui questa guida:

http://www.clearnet.com.au/Billion_VLANS.html

logicamente devi scegliere solo la porta ETH attaccato all'AP

edit: il DHCP sull'AP deve rimanere disabilitato

[rob66]

Quote:

Originariamente inviato da Harry_Callahan

ti sei dimenticato di me e BTS

anche con IP di classe diversa il router farà routing

tutti i PC si vedranno

hai ragione mi sono scordato di te e BTS.... chiedo venia

ma sei sicuro che non funzionerà? su classi diverse di IP non dovrebbero vedersi

[Harry_Callahan]

Quote:

Originariamente inviato da rob66

ma sei sicuro che non funzionerà? su classi diverse di IP non dovrebbero vedersi

in teoria si, nella pratica no, perchè il router 440 fa routing indipendemente dalla classe IP

il cavalliere alato e il sottoscritto hanno perso delle ore su questo argomento

la soluzione è utilizzare un CISCO, tempo fa ricordo un intervento degli esperti CISCO(hmetal se non ricordo male), con i CISCO è possibile bloccare il routing tra IP di classe diversa

[Gio-555]

Quote:

Originariamente inviato da rob66

Ho letto il manuale dell'AP ed in teoria la cosa è fattibile

Ho provato a settare il dhcp con classe 192.168.1.X (ip ap e lan cablata 192.168.0.X) ma ricevo l'errore

Quote:

The ip address and the start ip address are not in the same domain

Peccato, era una bella idea comunque, grazie!

Quote:

Originariamente inviato da Harry_Callahan

ma non funzionerà
ascolta,
resetta l'AP, metti la chiave WEP, collegalo al routerone e segui questa guida:
http://www.clearnet.com.au/Billion_VLANS.html
logicamente devi scegliere solo la porta ETH attaccato all'AP
edit: il DHCP sull'AP deve rimanere disabilitato

Grazie, provo!

[rob66]

ho letto il link che hai postato e penso di aver capito... ora tutto sta a vedere se il router accetta quel parametro da telnet, ma se lo hai postato presumo di si

[Harry_Callahan]

Quote:

Originariamente inviato da Gio-555

Grazie, provo!

prima ho detto devi scegliere solo una porta ETH della guida http://www.clearnet.com.au/Billion_VLANS.html

non vorrei crearti confusione, faccio un esempio:

la guida metti ethernet1 su P3 e P4, tu metti ethernet su 1,2,3 e ethernet1 su 4 e alla porta 4 colleghi solo l'AP

[Harry_Callahan]

Quote:

Originariamente inviato da rob66

ma se lo hai postato presumo di si

utilizzo il 440

[Gio-555]

Quote:

Originariamente inviato da Harry_Callahan

prima ho detto devi scegliere solo una porta ETH della guida http://www.clearnet.com.au/Billion_VLANS.html
non vorrei crearti confusione, faccio un esempio:
la guida metti ethernet1 su P3 e P4, tu metti ethernet su 1,2,3 e ethernet1 su 4 e alla porta 4 colleghi solo l'AP

Certo
Purtroppo pensavo di averer il tempo di provare il tuo consiglio, ma dovrò rimandare a domani il test :-\
Da quello che leggo comunque sarebbe proprio la soluzione giusta, una vlan senza dover prendere uno switch da 500 euro che la gestisca...
Mi chiedo però se il dhcp dell'ap debba essere per forza disabilitato: sarebbe stato comodo lasciare che assegnasse l'ip in automatico al portatile, senza dover spiegare all'"esterno" come fare a configurare la sua scheda.

[rob66]

io resto in attesa perché voglio sapere come finisce la cosa mi interessa imparare cose nuove

ma se il router fa da server DHCP non ti cambia niente, devi solo dare la chiave di accesso per la parte wifi no?

anche perché con la modifica postata da Harry tutti i pc, compresi quelli wifi collegati all'ap avranno la stessa classe di IP ma quelli collegati all'AP potranno solo navigare in internet e non girellare per la LAN

[Harry_Callahan]

Quote:

Originariamente inviato da Gio-555

sarebbe stato comodo lasciare che assegnasse l'ip in automatico al portatile, senza dover spiegare all'"esterno" come fare a configurare la sua scheda.

ci penserà il DHCP del router, per questo non serve il DHCP dell'AP

l'importante che il DHCP sia abilitato lato router

con 2 DHCP abilitati si rischiano problemi di conflitti

[Harry_Callahan]

Quote:

Originariamente inviato da rob66

ma se il router fa da server DHCP non ti cambia niente, devi solo dare la chiave di accesso per la parte wifi no?

esatto

Quote:

Originariamente inviato da rob66

anche perché con la modifica postata da Harry tutti i pc, compresi quelli wifi collegati all'ap avranno la stessa classe di IP ma quelli collegati all'AP potranno solo navigare in internet e non girellare per la LAN

giusto

[Gio-555]

Quote:

Originariamente inviato da rob66

ma se il router fa da server DHCP non ti cambia niente, devi solo dare la chiave di accesso per la parte wifi no?

Quote:

Originariamente inviato da Harry_Callahan

ci penserà il DHCP del router, per questo non serve il DHCP dell'AP
l'importante che il DHCP sia abilitato lato router
con 2 DHCP abilitati si rischiano problemi di conflitti

Avete perfettamente ragione...ragionavo nell'ottica del router col dhcp disattivato così come si trova adesso (gli indirizzi sulla lan cablata sono manuali).
Mi spiace non poter provare subito la soluzione di Harry_Callahan, ma per fare questi "pasticci" non sto usando il A02-RA440 ma un A02-RA3 che non ha la funzione di bridge interface :-\

[Harry_Callahan]

Quote:

Originariamente inviato da Gio-555

Mi spiace non poter provare subito la soluzione di Harry_Callahan

io ringrazio invece il nostro moderatore che mi ha fatto conscere questo fantastico router e anche la procedure per creare le VLAN