acces wifi limité surf

[bruce]

bonjour à tous

je me creuse la tete depuis un moment, et j'en suis venu à vous demander de l'aide car je suis bloqué.
vous allez me dire que je suis un psychopathe de la sécurité après ça... lol

j'ai le routeur netgear avec un ssid A + un point d'accès wifi ssid A, wifi avec lequel je masque le ssid + une liste blanche des adresses mac.
j'accède à mes ressources lan depuis ce wifi

maintenant, j'ai créé sur le point d'accès wifi un ssid B réservé aux invités, wifi avec lequel je souhaite leur donner seulement accès au surf.

Comment puis je faire?

Merci d'avance pour votre aide

Cordialement

[ShovelHead]

Mon point d'accès (TP Link) gère aussi 4 SSID sur 4 VLANs différents. Comme mon point d'accès est raccordé sur mon switch manageable qui gère aussi les VLAN, le réseau invité (donc ma sortie réseau de mon switch) est paramétré pour n'avoir accès qu'à internet.

[bruce]

Le vlan est une solution
Le point d'accès wifi le gère
Mais pas le routeur NETGEAR knet
On peut aussi faire un acl mais encore une fois le NETGEAR ne sait pas le faire

Ou alors je change carrément le routeur NETGEAR knet par un routeur wifi cisco

[ShovelHead]

Perso j'ai un switch TP Link SG1016DE car j'ai besoin de nombreux ports RJ45 (et encore il faudrait que je passe sur un 24) et qui gère les VLAN. Après la solution de changer de routeur par un gérant directement les VLAN pourquoi pas.

Sinon pour la question de départ, je ne trouve pas que tu sois un psychopathe de la sécurité. C'est surtout ceux qui ne le font pas qui sont des inconscients 

[bruce]

le switch que j'ai gère les vlan
mais tant que le routeur ne sait pas le faire...

[ShovelHead]

J'ai un netgear et ça fonctionne très bien mes VLAN

[bruce]

Je n'en doute pas
Mais la c'est le NETGEAR de knet avec leur firmware
Et impossible de gérer les vlan donc
A moins de le flasher avec le firmware dd-wrt

[ShovelHead]

J'ai le même Netgear que toi, celui de K-Net et il ne gère rien, sauf que ca ne pose aucun souci, car c'est mon switch qui gère les VLAN. Mon Netgear arrive sur un port pour la connexion internet qui est dispatchée sur mon réseau en fonction des différents réglages de mon switch.
Mais je ne suis pas expert en réseau, loin de là.

[miky01]

Ben pour les paranos, vous achetez un AP pro, ca gère de multiples Vlan, multiples SSID, un serveur Radius avec possibilité de faire une identification avec un token RSA, ou par SMS...

Maintenant si vous avez peur que vos invités vous volent vos photos de famille, il y a des solutions comme la 4G (http://www.tvnt.net/forum/images/smilies/Banane01.gif)

PS:Ca sert pas a grand chose de cacher un SSID, ca se trouve en 3 minutes avec le bon soft...

[ShovelHead]

PS:Ca sert pas a grand chose de cacher un SSID, ca se trouve en 3 minutes avec le bon soft...

Et c'est encore moins long si tu es devant chez moi car il n'est pas masqué, j'ai juste effacé sur la photo ;-)

[bruce]

Ben pour les paranos, vous achetez un AP pro, ca gère de multiples Vlan, multiples SSID, un serveur Radius avec possibilité de faire une identification avec un token RSA, ou par SMS...

Maintenant si vous avez peur que vos invités vous volent vos photos de famille, il y a des solutions comme la 4G (http://www.tvnt.net/forum/images/smilies/Banane01.gif)

PS:Ca sert pas a grand chose de cacher un SSID, ca se trouve en 3 minutes avec le bon soft...

c'est pas faux
mais c'est pas tant des invités en lesquels j'ai pas confiance
c'est juste pour me protéger des kikous qui veulent jouer les mister robot en herbe
oui on peut faire de l'usurpation de mac adress, oui on peut trouver un ssid masqué, oui on peut cracker une clé wpa2
et c'est pour ces raisons que je souhaite mettre un minimum de sécurité pour les données accessible sur mon lan, et je parle pas de photos de famille
après rien n'est inviolable, kali linux nous le prouve bien...

[Hugues]

J'ai le même Netgear que toi, celui de K-Net et il ne gère rien, sauf que ca ne pose aucun souci, car c'est mon switch qui gère les VLAN. Mon Netgear arrive sur un port pour la connexion internet qui est dispatchée sur mon réseau en fonction des différents réglages de mon switch.
Mais je ne suis pas expert en réseau, loin de là.

Faut bien que ton réseau invité soit relié à un routeur, lequel est-il ?

Ton VLAN il doit bien arriver quelque part, sur un routeur qui gère les VLAN

Ou alors tous tes VLAN arrivent untag sur ton routeur et ça ne sert à rien

[ShovelHead]

Mon réseau invité (point d'accès TP-Link) est relié à mon switch (port 2 du switch). Le port 1 de mon switch est relié à une sortie de mon routeur. Tout le reste part sur mes prises de la maison. Ce qui est sur le VLAN 1 à accès à tout (internet + réseau, les 16 ports sont untag), alors que le VLAN 2 est tagué 2 et untag 1 (accès internet + point d'accès). Le VLAN 2 n'a donc accès qu'à internet et pas au reste du réseau (et c'est testé fonctionnel depuis longtemps).
Sauf si tu me dis que ça ne devrais pas fonctionner. J'avais suivi un tuto à l'époque pour le paramétrage donc me demande pas maintenant pourquoi j'ai fait comme ça 

[bruce]

mais dans ce cas le point d'accès invité ne sert qu'aux invité

mon point d'accès, qui a une IP unique, a 2 SSID, un pour les invités et un pour le foyer
dans l'interface d'admin de ce point d'accès je peux associer un ssid à un vlan (linksys lapn300)

[ShovelHead]

C'est exactement comme moi avec mon TP-Link (voir première photo que j'ai posté).
2 VLAN, un pour chaque SSID, et qui ont des accès différents. Le tout géré par mon switch.
Voir le petit dessin de mon installation (qui fonctionne comme ça depuis un bon moment).