Quiero ampliar mi wifi de un piso a otro, y que las redes sean independientes, es decir
Es algo parecido al aislamiento de equipos que tienen algunas wifis publicas.
La conexion entre redes será mediante unrepetidor o ap en la red 2.
Que necesito configurar en el repetidor para aislar las redes?
Los equipos conectados a la red 1 no ven los de la red 2 y viceversa
Eso se llama Vlans tienes que configurar ambos en Ap Bridge Mode y en el segundo Vlan con otro rango de IPS y listo.
Bueno no es tan sencillo, eso es a nivel de capa 2. Pero luego en el router que de salida a internet, tiene que configurar las rutas de los equipos de la red 2. Eso, o en la red 2 hacer nat. Y aun así sin un firewall el acceso de una red a otra no estrían bloqueados, siempre estará el router encaminando el tráfico de una red a la otra si no hay un firewall de por medio bloqueándolo.
Una manera de hacerlo "fácil y barata" es configurar un segundo router con openwrt (cualquiera de los que dan las compañías que tenga soporte vale) en la red 1. Donde la interfaz wan esté en la misma subred que el router principal, con la nat activada y con el tráfico entrante y forward bloqueado (de esta manera no se podrá acceder de la red 1 a la red 2). La interfaz lan será la que de servicio a la red 2 y estará en otra subred. Tendrá permitido todo el tráfico hacia wan excepto los que vayan a la subred de la red 1.
Ejemplo, si el router principal de la red 1 tiene la 192.168.1.1...
Router con openwrt:
Interfaz WAN: ip estática 192.168.1.2, puerta de enlace 192.168.1.1, dns 192.168.1.1. NAT activada.
Interfaz LAN: ip estática 192.168.0.1, DHCP activado (192.168.0.100-192.168.0.254)
Firewall:
WAN > Input (Drop)
WAN > Forward (Drop)
LAN > WAN (Accept)
LAN > 192.168.1.0/24 (en WAN) (Drop)
Para la conexión física, en la red 2 pones un ap en modo cliente transparente o repetidor de la wifi que des desde esa interfaz lan y los clientes que cuelguen de ahí se les asignará una ip desde el router con openwrt de la red 1.
Espero que no sea mucho lio y mas o menos se entienda la idea. Hay otras formas de hacerlo, pero son parecidas.
necesitas un router con firmware DD-WRT, y ponerle en modo repetidor universal (eso sí, usa seguridad WPA2 AES y modo 'N-only')
Luego te digo cómo aislar las dos redes
Lo de aislar las redes es lo que me trae mas intrigado, con los parámetros que tengo que configurar en la red 2.
con los parámetros que tengo que configurar en la red 2.
en el tutorial viene todo muy bien explicado.... (más lo que he dicho).
Ahora, una vez puedas navegar desde los equipos de la red 2.. (en dd-wrt, pon dns 8.8.8.8 y 208.67.222.222 ,p.e...¡no pongas dns tipo 192.168.1.1)
sobre bloquear tráfico hacia tu lan, que digamos tendrá rango 192.168.1.*, debes meter en 'firewall script' de dd-wrt (visto aqui)
iptables -I FORWARD -d 192.168.1.0/255.255.255.0 -j DROP
(no estoy seguro de si hay que permitir acceso a 192.168.1.1 )... si ves que una vez aplicas la regla de arriba, no puedes navegar, por lo menos tendrás que permitir que acceda al router (192.168.1.1), así que añade la siguiente línea al 'firewall script'
iptables -I OUTPUT -d 192.168.1.1 -j accept
un saludo
Gracias por toda la información.
