Tenho uma configuração de dois roteadores onde meu roteador Linksys Smart WiFi (com rede LAN 192.168.1.0/24) se conecta por meio de uma de suas portas LAN à porta WAN de um roteador TP‑Link ER605. A LAN do roteador TP‑Link é configurada em uma sub-rede separada (192.168.0.0/24) e alimenta um Switch Gerenciado Gigabit de 8 Portas TP‑Link que se conecta aos meus dispositivos.
Atualmente, dispositivos na rede TP‑Link (192.168.0.0/24) podem acessar dispositivos na rede doméstica (192.168.1.0/24), mas o inverso não é verdade. Quero modificar minha configuração para que:
A rede TP‑Link é completamente isolada da rede doméstica (ou seja, dispositivos em 192.168.0.0/24 não conseguem alcançar dispositivos em 192.168.1.0/24). No entanto, dispositivos na rede TP‑Link ainda podem acessar a internet. Estou pensando em usar ACLs ou rotas estáticas/alterações de NAT no roteador TP‑Link para conseguir isso, mas não tenho certeza da melhor abordagem ou dos detalhes de configuração corretos.
Minha configuração atual é a seguinte:
Roteador Linksys Smart WiFi: IP LAN: 192.168.1.1/24 Fornece DHCP para dispositivos em 192.168.1.0/24
Roteador TP‑Link ER605: WAN: Conectado à LAN Linksys e obtendo um IP em 192.168.1.0/24 LAN: Configurado para 192.168.0.1/24 com seu próprio DHCP para 192.168.0.0/24
Switch gerenciável Gigabit de 8 portas TP‑Link: conectado à porta LAN do roteador TP‑Link. Atende dispositivos na rede 192.168.0.0/24
Quais alterações de configuração devo implementar — usando ACLs, rotas estáticas, modificações de NAT ou uma combinação — para impedir que a rede TP-Link acesse a rede doméstica e, ao mesmo tempo, garantir que os dispositivos na rede TP-Link tenham acesso total à Internet?
Qualquer orientação ou exemplos de configurações semelhantes seriam muito apreciados!
A solução mais simples seria trocar o relacionamento entre o LinkSys e o TP-link. Agora mesmo, a porta WAN do TP-link está conectada a uma das portas LAN do Linksys. Em vez disso, mova a porta WAN do Linksys para uma das portas LAN do TP-link. E conecte a porta WAN do TP-link à porta de serviço do seu ISP.
Se você não quiser fazer isso (isso adicionará alguma latência à sua rede doméstica), a próxima maneira mais fácil seria colocar uma regra no TP-link que descarta conexões da origem 192.168.0.0/24 para o destino 192.168.1.0/24. Você precisará de uma exceção para permitir o destino 192.168.1.1, o que deixo para você descobrir.
Pode não ser possível colocar uma regra similar no Linksys, porque internamente todas as portas LAN são interligadas, e o firewall interno não pode interceptar o tráfego interligado, pois ele permanece na LAN. Pode ser possível dividir as portas LAN como portas roteadas individuais ou VLAN'd, mas se e como você pode fazer isso depende dos recursos do modelo Linksys, e também complicará sua topologia de rede.
Tenho uma situação semelhante, onde estou usando um roteador D-Link DIR-655 em vez do seu roteador TP‑Link ER605. Resolvi o problema usando controle de acesso. Seu roteador TP‑Link ER605 também tem controle de acesso, mas o procedimento para configurar é diferente.
Basicamente, instruí o roteador D-Link DIR-655 a sempre proibir o acesso usando qualquer protocolo (ICMP, TCP, UDP) aos endereços de destino 192.168.1.2 a 192.168.1.254 na WAN.