AP 1750 AC - SSIDs em redes diferentes para fazer bloqueio de firewall

[sandroalves]

Olá,

Nós temos uma ambiente bem simples com um roteador mikrotik que provê nosso acesso a Internet e distribuição de DHCP para todos nossos computadores. Esse roteador nós não temos acesso pois é entregue pela operadora do link, portanto não temos administração.

Compramos um AP 1750 AC e temos a seguinte necessidade:

1 - Configurar uma rede corporativa
2 - Configurar uma rede visitante

A rede corporativa deverá ter o mesmo acesso que se o computador estivesse conectado na rede local.

A rede visitante deveria ser apenas para uso de Internet e email que utilizam de algumas portas como SMTP em clientes de celular ou até mesmo computadores.

Geralmente nós fazemos isso separando os SSIDs em redes diferentes e no firewall definimos qual rede pode falar com qual e as portas utilizadas.

Nós observamos que esse APP tem uma função de firewall mas, não encontramos opção para criar redes diferentes no AP para atrelar aos SSIDs.

Um abraço.

[RedeHomeOffice]

Olá,

Nós temos uma ambiente bem simples com um roteador mikrotik que provê nosso acesso a Internet e distribuição de DHCP para todos nossos computadores. Esse roteador nós não temos acesso pois é entregue pela operadora do link, portanto não temos administração.

Compramos um AP 1750 AC e temos a seguinte necessidade:

1 - Configurar uma rede corporativa
2 - Configurar uma rede visitante

A rede corporativa deverá ter o mesmo acesso que se o computador estivesse conectado na rede local.

A rede visitante deveria ser apenas para uso de Internet e email que utilizam de algumas portas como SMTP em clientes de celular ou até mesmo computadores.

Geralmente nós fazemos isso separando os SSIDs em redes diferentes e no firewall definimos qual rede pode falar com qual e as portas utilizadas.

Nós observamos que esse APP tem uma função de firewall mas, não encontramos opção para criar redes diferentes no AP para atrelar aos SSIDs.

Um abraço.

Olá, tudo bem?

A regra o senhor gostaria de criar direto no AP ou utilizar a plataforma de gerenciamento WiseFi?

Os SSIDs precisam estar em redes diferentes ou só precisam de acesso limitado?



Ficamos no aguardo de seu retorno,


Suporte Técnico Intelbras
(48) 2106-0006
Chat: http://www.intelbras.com.br/suporte.php
suporte@intelbras.com.br

[sandroalves]

Olá,

como o ambiente é pequeno e não temos servidores para instalar software de gerenciamento (WiseFi), ideal seria configurar no próprio AP.

Se usar o software for uma alternativa para configurar e o AP continuar funcionando sem a necessidade do (WiseFi) , pode ser uma opção a ser avaliada.

Os SSIDs não precisam estar em redes diferentes, precisamos apenas garantir que quem estiver no (SSID Visitante) não ter acesso aos computadores que estão conectados no (SSID Escritorio) e também em que está conectado via cabo.

Exemplo:

- Roteador Mikrotik entrega IPs na faixa (192.168.200.0/24)
- Temos um switch gerenciável que será conectado na porta de rede do roteador para distribuição do DHCP para os computadores da LAN(192.168.200.0/24). Todas as portas desse switch por padrão são modo trunk;
- Vamos conectar o AP no switch ou podemos conectar no roteador direto que irá receber um ip da rede (192.168.200.0/24);
- Precisamos de um (SSID Escritório) que tenha acesso aos computadores conectados no switch gerenciável;
- Precisamos de um (SSDI Visitante) que não tenha acesso aos computadores conectados no switch gerenciável e também nos computadores conectados no (SSID Escritório).

Obrigado.

[RedeHomeOffice]

Olá, tudo bem?

O senhor consegue de fato isolar as duas SSID's que estão sendo criadas.

No momento que o senhor está criando uma nova SSID na interface do AP, mais abaixo nas configurações avançadas fica a opção de isolar a SSID. Basta selecioná-la para isolar as SSID's do AP.

Fico a disposição caso o senhor tenha eventuais dúvidas.

Suporte Técnico Intelbras
(48) 2106-0006
Chat: http://www.intelbras.com.br/suporte.php
suporte@intelbras.com.br

[sandroalves]

Olá,

sim, eu usei essas opções e abaixo informo os resultados:

WIRELESS > Wireless 5 GHz e Wireless 2.4 GHz
(x) Isolação entre SSIDs

WIRELESS > Wireless 5 GHz e Wireless 2.4 GHz > SSID: Visitante
(x) Isolar SSID
(x) Isolar clientes

WIRELESS > Wireless 5 GHz e Wireless 2.4 GHz > SSID: Escritorio
( ) Isolar SSID
( ) Isolar clientes

Resultado:

Problema: Quem está no (SSID: Visitante) se comunica com a rede cabeada.

- (SSID: Visitante) não comunica entre si
- (SSID: Visitante) não comunica com (SSID: Escritorio)
- (SSID: Visitante) comunica com (rede cabeada)
(Rede cabeada) se comunica com (SSID: Escritorio)
- (Rede cabeada) se comunica com (SSID: Visitante)

No modo roteador o resultado é diferente, pois aparece uma opção somente internet:

WIRELESS > Wireless 5 GHz e Wireless 2.4 GHz
(x) Isolação entre SSIDs

WIRELESS > Wireless 5 GHz e Wireless 2.4 GHz > SSID: Visitante
(x) Isolar SSID
(x) Isolar clientes
(x) Somente Internet

WIRELESS > Wireless 5 GHz e Wireless 2.4 GHz > SSID: Escritorio
( ) Isolar SSID
( ) Isolar clientes
( ) Somente Internet

Resultado:

Problema: Quem está na rede cabeada não se comunica com quem está no (SSID: Escritorio).

- (SSID: Visitante) não comunica entre si
- (SSID: Visitante) não comunica com (SSID: Escritorio)
- (SSID: Visitante) não comunica com (rede cabeada)
- (Rede cabeada) não se comunica com (SSID: Escritorio)
- (Rede cabeada) não se comunica com (SSID: Visitante)

Obrigado.

[RedeHomeOffice]

Olá senhor Sandro! Tudo bem?

De fato o isolamento só é feito entre SSID's diferentes, e não na rede cabeada.

Sempre haverá comunicação da lan com o wifi do AP.

Para isolar a rede cabeada do wi-fi, o senhor precisa utilizar uma VLAN no wifi. Criar a VLAN no roteador de borda e gerar o DHCP através dela.

Fico a disposição para solucionar qualquer dúvida!

Suporte Técnico Intelbras
(48) 2106-0006
Chat: http://www.intelbras.com.br/suporte.php
suporte@intelbras.com.br

[sandroalves]

Olá,

o problema que hoje eu não tenho gerencia do meu roteador para fazer isso. Eu preciso adquirir um roteador para fazer essa configuração.

Estou pensando em usa-lo em modo roteador já que consigo de certa forma isolar quem está no visitante não tenha conexão com a rede cabeada.

O que eu perco é a conectividade da rede cabeada com algum dispositivo que está na AP independente de isolamento ou não, mas dependendo do cenário isso pode ser aceito.

Será que se eu retirasse o meu roteador que entrega o DHCP do cenário e mantenho apenas o AP como roteador e ele entregar os IPs para a rede cabeada e também para quem está conectado no AP.

A rede cabeada vai conseguir se comunicar em quem está no AP porque quem vai gerenciar o roteamento agora será o AP e não mais o meu roteador.

Nesse cenário será que o isolamento funciona com a rede cabeada?

Caso sua resposta seja negativa a Intelbras tem algum roteador faça essa configuração de redes com VLAN e inclusive tenha VPN de entrada com baixo custo?

Obrigado.

[RedeHomeOffice]

Olá senhor Sandro! Tudo bem?

Em modo roteador o AP ainda continua com comunicação, da lan dele cabeada para as redes wifi. O isolamento só acontece entre as SSIDs das redes wifi. O que o senhor ganha nesse modo é o isolamento da lan para a wan.

A intelbras não produz roteadores de borda, e portanto não temos roteadores que fornecem VLAN, e atualmente não temos roteadores que fornecem VPN.

Fico a disposição para solucionar qualquer dúvida!

Suporte Técnico Intelbras
(48) 2106-0006
Chat: http://www.intelbras.com.br/suporte.php
suporte@intelbras.com.br