Настройка межсетевого экрана D-Link DFL-260E для выхода гостевой WiFi-точки доступа в интернет

Гостевой точкой доступа уже никого не удивишь, тем более, что это уже по сути "стандартная" услуга на рецепшине для клиентов в любой компании.

"Что бы не слыть "топорной" компанией и быть в тренде" - посыл от руководства.

Наличие такой гостевой WiFi-точки доступа в интернет без доступа к корпоративному сегменту локальной сети для админа тоже плюс:  отпадает головная боль с вечной проблемой безопасности когда сотрудники офиса со своими iPhone, iPad, нетбуками и Android просят пароль к корпоративной WiFi сети дабы "личную почту почитать" )))  А так есть гостевая точка с выходом только в инет (с порезанной скоростью, но об этом мы скромно умолчим), дал им пароль и шарьтесь там хоть до посинения.

И так: задача ясна, сморим что есть под рукой для реализации.

А под рукой есть замечательная рабочая лошадка, с настроенным выходом в инет, межсетевой экран D-Link DFL-260E и двухдиапазонный WiFi-роутер Asus RT-N66U.

Именно благодаря такому набору "железа", а точнее благодаря отличному функционалу такого "железа" задача по создании гостевой WiFi-точки доступа в интернет может быть выполнена двумя путями.  О вариантах чуть-чуть ниже.

Кто знаком с функционалом WiFi-роутера  Asus RT-N66U скажет: "Зачем городить огород, если в роутере есть функция "Гостевая сеть"? Включив и настроив её, можно предоставить выход в интернет через WiFi гостевым клиентам без доступа в локальную сеть". Да, есть такая фишка в Asuse, но в корпоративной сети это не проканает. Потому что своим внешним WAN-интерфейсом  роутер смотрит непосредственно в локальную сеть со всеми вытекающими из этого последствиями. Выход один - изолировать WAN-интрефейс роутера от внутреннего сегмента сети с одновременным выходом в интернет.  Что собственно и можно реализовать на межсетевом экране D-Link DFL-260E: поднимается VLAN, прикручивается жёстко к конкретному физическому порту LAN (у  данной модели D-Link их 5 шт), настраиваются правила маршрутизации для этого порта (ходить только в мир), подключается на этот порт WAN-интерфейс роутера Asus, ну а дальше остаются только вариации на тему кто выдаёт IP-адрес клиенту и в каком режиме работать роутеру (AP или Router).  

Теперь, собственно, о вариантах реализации задачи на этом наборе "железа".  Как я и писал, их два.

Вариант №1
Межсетевой экран D-Link DFL-260E с поднятым и настроенным VLAN + Asus RT-N66U в режиме Router. На WIFi-роутере Asus поднят DHCP-сервер, он управляет выделением IP-адресов для клиентов и собственно выполняет роль роутера, перенаправляя трафик от клиента на межсетевой экран D-Link, а тот, в свою очередь, обеспечивает выход в интернет.

Вариант №2
Межсетевой экран D-Link DFL-260E с поднятым и настроенным VLAN + WiFi-роутер Asus RT-N66U в режиме AP (Access Point). В этом случае на D-Link необходимо поднять DHCP-сервер для VLAN (IP-адреса WiFi клиенты получат от этого DHCP-сервера), а Asus в режиме  AP (Access Point) просто как ретранслятор трафика между VLAN и гостевыми WiFi клиентами.

Проще для реализации, наверное, вариант №1. Но мы "простых путей не ищем" ))))), да и с точки зрения мониторинга этой связки, надёжности и управляемости я предпочту вариант №2.


И так приступим.



Прежде всего делаем резервную копию конфигурации настроек D-Link DFL-260E, ну так на "всякий пожарный".

Настраиваем D-Link DFL-260E
1) В Adress Book создаём объекты, которые будут участвовать в дальнейшей настройке:
  - VLAN2 - подраздел в Adress Book в котором будут создаваться остальные объекты;
  - VLAN2_ip - задаём IP-адрес для виртуального интерфейса;
  - VLAN2_net - задаём параметры для гостевой подсети (в моем случае подсеть для VLAN будет 192.168.2.0/27);
  - VLAN2_dhcp_range - задаём пул адресов, которые будет выдавать DHCP-сервер для гостевых клиентов;
  - Asus_RTN66U_Guest_AP - задаём IP-адрес для гостевой точки доступа

2) В разделе Interfaces --> VLAN cоздаём собственно сам VLAN2 интерфейс

3) Создаём DHCP-сервер для гостевых WiFi клиентов

При создании DHCP-сервера не забываем в его настройках указать DNS-сервера, которые будут передаваться клиенту. 

4) В разделе Static Hosts назначаем IP-адрес для WAN-интерфейса WiFi роутера Asus по его MAC-адресу.

  
5) Создаём сервис http для выхода гостевых WiFi клиентов в интернет. Я ограничился только портами 80 и 443. Остальные порты для FTP, SSH, Torrent не открывал. Этого достаточно чтобы "личную почту почитать".

6) Создаем правило для направления трафика от WiFi гостевых клиентов в интернет и только.

Создаём правило для перенаправления DNS-запросов от гостевых клиентов.

7) Назначаем физический порт LAN на межсетевом экране D-Link для VLAN2. Я выбрал пятый. В этот порт вставляем кабель от WAN-порта WiFi роутера Asus.

8) Режем скорость для гостевого интернета. Данный пункт для кого-то, возможно, и не обязательный, но я "злой админ" ))) и поэтому решил ограничить скорость загрузки в 2Мбит/с, отдачи  в 1Мбит/с на весь VLAN2 для гостевых клиентов.


В разделе Pipes создаём для правила для ограничения скорости входящего и исходящего трафика.

В разделе Pipe Rules описываем правило на какой именно трафик (маршрут) накладывается ограничение по скорости.

Более конкретные настройки правил в разделах Pipes и Pipes Rules описывать не буду, там все прозрачно и логично. Думаю, что у Вас не возникнут затруднения в их настройке.
Вот собственно по настройкам D-Link DFL-260E и все. Осталось только применить все наши настройки нажав Save and Activate в главном меню.


Теперь кратко о настройках WiFi роутера Asus или какого другого WiFi роутера, или WiFi точки доступа. Картинки приводить не буду и так все просто. Если у Вас роутер, то переводим его в режим AP (Access Point). Присваиваем WAN-порту роутера или точки доступа нужный IP-адрес. Да, хоть я выше и прописал какой IP-адрес должен отдать DHCP-сервер моему роутеру, но так мне спокойнее. Поднимаем WiFi-сеть (SSID, канал, метод аутентификации для WiFi - все это уже на Ваше усмотрение). Подключаем кабелем WAN-интерфейс WiFi-роутера к назначенному физическому LAN-порту на  D-Link DFL-260E. Подключаемся по WiFi к нашей созданной гостевой сети и проверяем как выход в интернет, так и отсутствие доступа к сетевым ресурсам внутри корпоративной локальной сети. 


Собственно это и все.


Теперь маленькое теоретическое дополнение в один абзац о том как на WiFi-роутере Asus RT-N66U в домашних условиях создать аналогичную гостевую WiFi-сеть, чтобы Ваши друзья и гости могли выйти со своих гаджетов в интернет, но не видели Ваши домашние сетевые ресурсы.

Все дело в чудной функции роутера Asus RT-N66U которая называется не иначе как "Гостевая сеть". Включив режим "Гостевой сети" на домашнем роутере, можно предоставить выход в интернет вашим гостям, при этом без доступа к вашим домашним сетевым ресурсам.