iT邦幫忙

1

如何在公司網路內加入客戶專用的無線路由器, 並防止客戶存取公司資源

會客室打算加入一台 TP-Link 的無線路由器,
LAN設為: 192.168.100.1 MASK 255.255.255.0
WAN設為: 172.16.0.200 MASK 255.255.255.0, GW: 172.16.0.254
DHCP 將會分派 192.168.100.10-192.168.100.50
TP-Link 的 WAN 接口接駁了 172.16.0.0/255.255.255.0 的網路線

Internet--[路由器 172.16.0.254]--172.16.0.200[TP-Link]192.168.100.1--)))無線網路

現在取得 192.168.100.10 - 50 的客戶能夠存取 172.16.0.0 網路的所有電腦及伺服器
請問如何能夠令客戶能上網,但防止客戶存取公司的電腦呢?
謝謝

slime iT邦大師 1 級 ‧ 2016-04-12 23:27:55 檢舉
會客室的網路線請直接對 Internet ....
ping320 iT邦新手 4 級 ‧ 2016-04-13 17:12:33 檢舉
樓上正解, 直接將會客室的網路直連對外網路就好,不需要把內網的當成分享器的WAN端
yyliu iT邦研究生 2 級 ‧ 2016-04-14 21:00:06 檢舉
贊同
不管是固定 IP 或 PPPoE ,再弄一個無線 IP 分享器接在小烏龜上就好了嘛,不要把事情複雜化!
因為不知道訪客是熊還是虎的,設備有沒有問題.建議公司同仁與外來訪客的手機或平板等設備,只能連 Guest 的無線網路,一來與公司內網切開,無安全疑慮,再來也可減輕內網防火牆的負擔.
8
mytiny
iT邦大師 1 級 ‧ 2016-04-12 18:42:33

小弟並不熟TP-Link 的無線路由器
但是按防火牆規則來說
先封鎖(或拒絕)所有192.168.100.X往172.16.0.X的所有IP
再允許192.168.100.X做Nat往Wan(Internet)就可以了
這樣訪客就不能存取公司內部任何172.16.0.X網段

但說回來,企業這樣用無線網路
並不是很好的辦法,因為訪客有可能不在固定一處
這部分等版大以後想知道再聊

1
wonton
iT邦高手 6 級 ‧ 2016-04-13 09:36:45

有幾個做法,您參考一下

A. 如果公司的 Internet 有空的固定 IP 可以用,可以直接將 TP-Link 連接到小烏龜上,並將 WAN 設定為固定 IP 直接上網,不要透過 172.16.0.254 (172.16.0.254 如果可以綁定多 IP 的話,記得取消給 TP-Link 的固定 IP)。

B. 如果一定要將 TP-Link 接到 172.16.0.254 的話,router 應該可以設定多網段,將某個 port 設定為 192.168.100.X,再將 TP-Link LAN port 接到 172.16.0.254 剛設定好的那個 port,最後再利用 routing table 或是防火牆規則隔絕掉即可。 (WAN port 不用接,只是把 TP-Link 當作無線 AP,做為一個 Hub 而已)

C. 如果 TP-Link 無法接到 172.16.0.254,只能接在 router 後面的 hub 上面,那就只能在 TP-Link 上設定防火牆了,只是便宜的無線路由器不一定有防火牆功能就是了。

3
mutualpak
iT邦研究生 5 級 ‧ 2016-04-13 09:55:48

我目前已在使用,做法是用內部IP可以上網的接IP分享器WAN,IP分享器設定自動發IP範圍不要與內網同,這樣連上無線的設備可以上網,但IP與內網段不同,故無法存取內網任何資源。

derek0916 iT邦新手 5 級 ‧ 2016-04-13 10:20:26 檢舉

你試試看PING內部的IP還是可以PING的到的,使用IP也可以進入內部的網路資料匣。
假設內部的IP是192.168.10.X,無線基地台分配的IP是192.168.20.X,
從無線基地台連線的電腦可以連到192.168.10.X哦!!

mutualpak iT邦研究生 5 級 ‧ 2016-04-15 09:35:32 檢舉

你可以設192.168.10.x ,無線基地台分配IP:10.x.x.x的網段來用,怎麼連到呢?

derek0916 iT邦新手 5 級 ‧ 2016-04-18 11:22:49 檢舉

我以為你會去試,我們看圖比較快。

2
pis520
iT邦新手 3 級 ‧ 2016-04-13 16:24:13

我的做法是直接將WIFI切開不可以跟區網連線,但你的機器內有沒有這個功能,就要自己看一下嘍~

2
chenry
iT邦新手 5 級 ‧ 2016-04-13 23:02:29

我們公司是有很大的公共空間讓非公司人員使用wifi,於是獨立申請一路ADSL再接上各個WIFI分享器。

2
danielp2
iT邦新手 4 級 ‧ 2016-04-14 17:12:46

有幾個方案可以試試

1,最直接是公司資源文件要設使用者權限,部分重要文件可以加密。 window右鍵就可以加,properties>Security>Edit>Add。

2,ROUTER是另外加的話可以完全獨立入modem, 最安全已經分開兩組網絡。

1
ray1212345
iT邦新手 5 級 ‧ 2016-04-16 13:18:23

1.不改變架構
TP-Lnik 設定Policy 阻擋.

2.Router來當無線網斷gateway,
policy從Router來管制,
TP-Link改接LAN,
DHCP 的gateway要指向Router.

3.切VLAN透過802.1Q不同VLAN ID發不同網段IP,
這是最理想的.

我要發表回答

立即登入回答