wi-fi GUEST distribuita su più router DD-WRT

piffi

Salve a tutti,
la mia intenzione è realizzare una rete wi-fi GUEST distribuita con solo accesso a internet e isolata dalla mia rete LAN e WI-FI principale. Essendo l'area da coprire parecchio estesa ci sono più router collegati fra loro tramite cavo ETH che sono già configurati per realizzare la mia wi-fi principale. Su ogni router è installato una versione DD-WRT del firmware e tutti hanno la WAN disabilitata perché l'accesso ad internet è fornito da un router principale (di proprietà del gestore) con IP: 192.168.1.14 che funge da gateway e sul quale gira anche il server DHCP della rete principale.
Sul primo router di questa rete distribuita è installata la versione del firmware: DD-WRT v3.0-r58389 std (09/20/24) e ho configurato un Virtual Access point (VAP) denominato wl1.1 con indirizzo IP: 192.168.20.22 e SSID: wi-fi_GUEST
ho abilitato il DNSMasq e ho aggiunto i seguenti "Additional DNSMasq Options"

dhcp-option=wl1.1,3,192.168.20.22
dhcp-option=wl1.1,6,192.168.1.14,8.8.8.8

inoltre nella sezione DHCPD (Multiple DHCP Server) ho configurato il DHCP 192.168.20.22/24 start: 100 Max: 50

infine sullo startup ho configurato questo comandi:
iptables -I INPUT -i wl1.1 -p udp --dport 67 -j ACCEPT # DHCP Client
iptables -I INPUT -i wl1.1 -p udp --dport 53 -j ACCEPT # DNS
iptables -I INPUT -i wl1.1 -p tcp --dport 53 -j ACCEPT # DNS

iptables -I FORWARD -i wl1.1 -d 192.168.1.0/24 -j DROP

iptables -I FORWARD -i wl1.1 -d 192.168.1.14 -j ACCEPT

iptables -t nat -I POSTROUTING -o br0 -j SNAT --to $(nvram get lan_ipaddr)

Questa rete wi-fi GUEST da sola sembra funzionare correttamente ma adesso non so come configurare gli altri router affinché la altre reti wi-fi GUEST (generate dai rispettivi Virtual Access Point) utilizzino il DHCP del primo 192.168.20.22. Potete aiutarmi? Oppure avete altre idee per ottenere lo stesso risultato??

Grazie a tutti.

denny86

piffi
Sugli altri router DD-WRT la configuri uguale uguale.
Altrimenti dovresti avere una vlan e uno switch managed con un centro stella almeno L3.

pattagghiu

guarda non tocco ddwrt da anni e anni (da quando mi sono spostato su openwrt), quindi ti rispondo solo concettualmente: non c'è nessun problema ad avere wifi suddiviso su diversi nodi e segregato dal resto della rete. Su ciascun nodo bridgi la connessione wifi con la sua vlan, insieme al tuo router "principale" che funge da uscita dalla vlan verso la rete normale. tutto qua. chiaramente il traffico di questa vlan lo devi far girare taggato. e tra l'altro nessuno dice che quegli AP debbano servire solo questa rete: io a casa ho 3 wifi diverse attestate sugli stessi openwrt e segregate l'una dalle altre (su tre vlan differenti gestite dal router principale)

piffi

grazie pattagghiu,
che concettualmnete fosse fattibile lo immaginavo anche io ma mi manca la parte più operativa. Sul router principale non posso agire perchè c'è il fw originale (dato che il router non è il mio ma del gestore). Ho modo di mettere le mani solo sui router satelliti dove c'è installato DD-WRT.
Quello che mi manca è come dire alla seconda interfaccia virtuale di rete di usare il server DHCP del primo router satellite. Non voglio impostare tanti DHCP perchè altrimenti quando un client si disconnette da un router satellite ad un'altro deve cambiare indirizzo IP e avrei sicuramente problemi di disconnessione.

Grazie

pattagghiu

ora non ti sto capendo più però.
hai un router dell'isp. evabbè. Dietro hai un secondo router ddwrt. Già dire se lo usi come principale o per altro farebbe comodo (se lo vuoi usare come principale, il primo potresti anche usarlo in bridge - se te lo concede - sennò in doppio nat che vabbè, non sarà il massimo, ma almeno funziona.
Sul router ddwrt avrai quindi 3 zone (ci sono le zone in ddwrt?): 1) wan (la connessione verso il router dell'isp) 2) LAN (la tua rete interna) 3) guest (la rete guest).
Sulle reti 2 e 3 avrai 2 server dhcp. La rete 2 sarà non taggata, la rete 3 sarà sotto la vlan (numero che vuoi te) taggata. Dovrai settare sul firewall gli accessi delle zone alle altre zone, ma non hai molto altro da fare.
dove ti sei bloccato?

pattagghiu

da che mondo è mondo il traffico taggato passa dagli switch non vlan-aware.

piffi

Grazie a tutti per le risposte,
provo a descrivere meglio la mia architettuta: ho un router dell'ISP che fa da gateway e da server DHCP per tutta la mia rete sia LAN che WI-FI che si trova sulla subnet 192.168.1.xx. Poi ci sono altri 5 router satelliti con fw DD-WRT (con WAN disabled) collegati tutti ad uno switch (unmanaged) che funge da centro stella a cui è collegato anche il router dell'ISP. La rete LAN e WI-FI principale funziona senza problemi. Ora su uno di questi router satelliti (quelli con dd-wrt) ho attivato un Virtual Access Point (wl1.1) su una subnet diversa 192.168.20.xx e ho configurato anche il relativo DHCP che gira (a differenza di quello principale) sullo stesso router satellite. Poi tramite delle regole sul firewall ho permesso al VAP wl1.1 solo l'accesso ad internet.
Vorrei fare la stessa cosa anche su gli altri router satelliti ma condividendo il server DHCP secondario che ha come IP: 192.168.1.20.22
Spero di essere stato più chiaro.
Avendo uno switch unmanaged credo che l'idea di VLAN separate non è percorribile giusto?? I comandi che ho dato sono corretti secondo voi??
Grazie a tutti

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile