Коллеги.
Хочется перед переходом к практике прояснить немного теории.

Итак есть некая локальная сеть 192.168.0.0 netmask 255.255.255.0 со шлюзом в инет 192.168.0.1
Есть желаение оснастить сеть устройством беспроводного доступа для гостей. Т.е. задача - пустить гостя в инет, но не разрешить ему обращаться к локальным ресурсам в сети, да и вообще их видеть.

Мое предложение - добавить в сеть роутер, настроить ему LAN типа 192.168.100.0 netmask 255.255.255.0 и добавить в firewall правило вроде:
allow from 192.168.100.2-192.168.100.254 to 192.168.0.1
deny from 192.168.100.2-192.168.100.254 to 192.168.0.2-192.168.0.254
Т.е.разрешить хостам из "гостевой" сети обращаться только к шлюзу локальной сети и запретить им обращаться к любому другому хосту из локальной сети.

Я прав?

не очень понятно.
вы собираетесь на роутере поставить LAN с сеткой 192.168.100.0/24 а на WAN что будете назначать? ip из 192.168.0.0/24 ? NAT за NAT получится, может с ума сойти.

если пишете правила на рутере раздающем wifi тогда
allow from 192.168.100.2-192.168.100.254 to 192.168.0.1
имхо не нужна строка - 192.168.0.1 это шлюз по умолчанию для рутера раздающего wifi и пакеты туда должны будут по любому уходить.

при возможности назначать несколько ip на LAN шлюза имеет смысл следующая схема.
на LAN интерфейсе шлюза поднять вторую подсеть, запретить пересылать пакеты между подсетями
поставить точку доступа с ip из второй подсети, указав в качестве шлюза по умолчанию ip LAN (из второй посети) интерфейса шлюза.
такая схема идеологически правильная и администрировать ее легче будет )

вы собираетесь на роутере поставить LAN с сеткой 192.168.100.0/24 а на WAN что будете назначать? ip из 192.168.0.0/24 ?
Да.
NAT за NAT получится, может с ума сойти.
Да чему там сходить?...
при возможности назначать несколько ip на LAN шлюза имеет смысл следующая схема.
на LAN интерфейсе шлюза поднять вторую подсеть, запретить пересылать пакеты между подсетями
поставить точку доступа с ip из второй подсети, указав в качестве шлюза по умолчанию ip LAN (из второй посети) интерфейса шлюза.
такая схема идеологически правильная и администрировать ее легче будет )
Тоже интересная мысль.
Но дело в том, что существующий шлюз - слишком тупой для таких вещей... (а может быть - и не тупой, пойду rtfm-мить). Значит, поменяю на правильный роутер. В первой локальной подсети все остается по-прежнему, а вторая получается гостевой. Если подберу правильный роутер, то еще и ограничения по ширине канала в гостевой подсети поставить смогу. Соответственно - в гостевой подсети поставлю нужное кол-во AP (не роутеров).

Да.
Да чему там сходить?...


был у меня предыдущей работе dlink dir 320 что-ли, стоял за циской 2811
поднимал отдельный wifi сегмент как раз для аналогичных целей.
с таким же логическим конфигом как и вы.
пока на циске для ip назначенного на wan dlink не назначил static NAT - ничего не работало )
пришлось потратить внешний ip для sNAT, ибо имевшийся у меня dlink в режим точки доступа не желал переходить.

Ну в общем, да... неисповедимы пути...

кстати о выборе рутера.
если будете шейпить трафик и общее колво клиентов будет (каждая точка как клиент + ethernet клиенты, для них хоть трафик и не шейпится, но ресурс проца будет потрачен на определение - шейпить, не шейпить) больше 10-12 лучше забыть про soho рутеры, слишком большая нагрузка получается.

я сейчас вовсю декстопы старенькие использую качестве рутеров - накатил туда pfSense и рули из вебморды )
по производительности (даже если P3 800 mhz + 256 mb) много лучше чем soho dlink или иже с ним.

Я бы поставил 3 роутера: 1-для гостей, 2-для внутренней сети, 3- для интернета. И больше ни о чем думать не надо. Роутеры стоят копейки-даже дешевле стареньких компов- про энергопотребление и шум я вообще молчу.

Я бы поставил 3 роутера: 1-для гостей, 2-для внутренней сети, 3- для интернета. И больше ни о чем думать не надо. Роутеры стоят копейки-даже дешевле стареньких компов- про энергопотребление и шум я вообще молчу.
стесняюсь спросить - зачем роутер для внутренней подсети и отдельный роутер для интернета?

Даешь каждому пользователю по персональному роутеру!

стесняюсь спросить - зачем роутер для внутренней подсети и отдельный роутер для интернета?

Чтобы не мучиться с настройками и разграничениями прав. Обычный роутер (не WiFi) стоит рублей 500?

Даешь каждому пользователю по персональному роутеру!

У меня был такой опыт. Ложил сетку в бизнес-центре. Руководство БЦ закупило роутеры для каждого офиса и все их пришлось ставить - типа так положено. Кол-во компьютеров никого не волновало.

Чтобы не мучиться с настройками и разграничениями прав. Обычный роутер (не WiFi) стоит рублей 500?
эээ, все равно не понял. не понятно, зачем третий рутер?

есть у меня выход в инет.
подключаю рутер, к рутеру через свич подключаю ethernet сегмент с обычными пользователями, ну и точку доступа для беспроводного сегмента где подключены пользователи с ноутбуком (если нужно).
политика доступа в инет для сотрудников фирмы одна - что для wifi что для проводного сегмента и задается на рутере.

даже если я решусь на такой шаг как NAT за NAT то подключаю еще один роутер для создания гостевого сегмента wifi

получается два рутера, никак не три.

У меня был такой опыт. Ложил сетку в бизнес-центре. Руководство БЦ закупило роутеры для каждого офиса и все их пришлось ставить - типа так положено. Кол-во компьютеров никого не волновало.

сравнение предоставление доступа в инет для сотрудников фирмы (с гостевым сегментом) и конфигурация сети для продажи доступа в инет юрлицам как бы не уместны, ибо задачи разные.

эээ, все равно не понял. не понятно, зачем третий рутер?

есть у меня выход в инет.
подключаю рутер, к рутеру через свич подключаю ethernet сегмент с обычными пользователями, ну и точку доступа для беспроводного сегмента где подключены пользователи с ноутбуком (если нужно).
политика доступа в инет для сотрудников фирмы одна - что для wifi что для проводного сегмента и задается на рутере.

даже если я решусь на такой шаг как NAT за NAT то подключаю еще один роутер для создания гостевого сегмента wifi

получается два рутера, никак не три.

Да, тут соглашусь - два будет достаточно.