仕事上でUTMが間にいてVLANを利用したゲスト用Wifiを用意する場合がでてきまして、どうしたもんかと考えてこんな風にやってみました。
構成機器
メインルーター:YAMAHA RTX830 :192.168.100.1
UTM:VLANを通さないUTM(ブリッジモード) :192.168.100.240
AP:YAMAHA WLX212 :192.168.100.250
<RTX830> – <UTM> – <WLX212> —– 機器類
ゲスト用Wifiなので、基本的な考え方は
・ゲスト用Wifiで接続してる機器類はインターネットに接続できればいい。
・社内の機器類には接続させない。
この2つが大事かなということで
・VLANが必ず必要というのではない。
・たまにお客さんが使う程度なら接続台数は多くなくても良い。(10台程度)
そういう考えだと間にVLANを通さないUTMがいてもなんとかなりそうだと。
基本的な考え方は
・UTMがいるため、すべて同一セグメントで統一する。
・RTX830のDHCPの範囲と被らないDHCPをWLX212でも用意する。
・ゲスト用Wifiでつながってる機器類を社内のネットワークと通信させない(フィルターを掛ける)
・これはWLX212にてDHCPサーバーを用意できることと、
・そのDHCPサーバーを利用できるSSIDを選択できることがわかった。(全適用じゃない)
ので、試してみようかと思ったんです。
上位のRTX830は簡単設定で設定を進めるとDHCPが
192.168.100.11 – 192.168.100.191/24
に、なってるので
WLX212でもう1個 192.168.100.220 – 192.168.100.229/24 の範囲ででDHCPを建ててやればいいかな?と
で、その範囲の機器類から社内の”それ以外”にフィルターを掛けて通信を不可にしてやればいい。
で、実際の設定は
まず、WLX212でDHCPサーバーの設定をする。
・DHCPの範囲をRTX830と被らない場所で10台に設定する。
今回の場合は 192.168.100.221 ~ 192.168.100.230 /24
に設定する。
・IPアドレスの払い出し先を 「無線接続端末のみに払い出し」にする。
次にゲスト用SSIDを作る。
・SSIDを「guest-wifi」(任意)
・VLANID:1のまま
・プライバセーセパレータを「使用する」(ゲスト用機器類間の通信を遮断)
・認証方式:WPA2-PSK/WPA3-SAE(接続できる機器類を多くするため)
・PSK(事前認証鍵)をてきとーに決め
・内蔵DHCPサーバーを「使用する」に変更
これで、WLX212の設定は終了。
次にRTX830にて、社内の機器類との通信をフィルターかけて遮断してやればいい。
(とりあえず受信側だけでいいかな?気になるようなら送信側も掛けてあげればいい)
「詳細設定」→「セキュリティー」→「IPフィルター」LANの「設定」
静的フィルターの「編集」→「新規」で
・タイプ:reject(ログは有り無しはお好きに)
・送信元アドレス: ゲスト用Wifiで接続する機器類のIP
(=WLX212のDHCPサーバーで決めたIP)
・宛先アドレス:社内のネットワーク機器類(ただし、ルーターのアドレス、
ブロードキャストアドレス(xxx.xxx.xxx.255)を除く)
このような設定で確認で追加
できたフィルターを「先頭に追加」で、適用フィルターに追加します。
こうなれば、OKです↓
これで、テストを行って問題なければ終了です。
あと、この場合、通信を許可してる機器類(ルーター等)とかのセキュリティーには気をつけてください。
(パスワードを強固なのに変更する等)
PS.久しぶりの投稿でした・・・
