这是一个创建于 235 天前的主题,其中的信息可能已经有所发展或是发生改变。
想隔离下,成为两个安全域
现在是混用的,有办法改造么?
 |
1
comlewin 2025 年 5 月 27 日
家用路由器基本上都不支持静态路由表,https://v2ex.com/t/1093348#reply23
|
 |
2
totoro625 2025 年 5 月 27 日
最简单的方法是,家里的设备访问的 WiFi 路由器上设置 DHCP ,homelab 内虚拟机全部挂载到另一个 openwrt 上,这样就天然隔离开了
|
 |
3
yinmin 2025 年 5 月 27 日 via iPhone
如果你的需求是让部分 wifi 设备只能上网不能访问局域网,开启无线路由器的 guest 网络即可。
guest 网络有特殊安全性,导致有些 lot 设备不能配置 guest 网络,你手机 wifi 共享配成 guest 网络一样的 ssid 和密码,能让 lot 设备连上 guest 同名的 ssid ,之后关闭手机 wifi 共享就行了 |
 |
4
TATQAQTAT 2025 年 5 月 27 日
最方便的是设置两个 vlan ,一个放 homelab 相关,一个其他设备,
还可以让两个 vlan 对应两个不同的 wifi ssid ,用哪个连哪个,印象里能刷 openwrt 的无线路由都支持这么搞。 |
 |
5
kuanat 2025 年 5 月 27 日
理论上隔离广播域可以在二层用 vlan 交换机做,也可以三层用路由器做。
楼上说 wifi 路由器的 guest 实现方式是 vlan 子网划分和独立 dhcpd 服务。 可以在支持 openwrt 的路由器上自行实现类似的功能。 |
 |
6
yanqiyu 2025 年 5 月 27 日
买支持多 lan 的路由器(或者软漏油),在路由器上设置防火墙规则不允许不想要的互访就行
|
 |
7
exiaohao 2025 年 5 月 27 日
猜你想要:防火墙
1 )免费的 PfSense 、OPNSense 2 )硬件 FortiGate 、PaloAlto 、CheckPoint 啥的 如果是简单单向不想给访问,如果条件允许 网关开在三层交换机上,写个 ACL 就好了 |
 |
8
kapr1k0rn 2025 年 5 月 27 日
只是隔离 wifi 和 homelab ,不用 vlan, openwrt 配置策略就行,具体方式可以问 LLM 。
|
 |
9
ajyz 2025 年 5 月 27 日
普通路由器很难,顶多 Wi-Fi 上用访客网络做隔离,但这种隔离功能很有限,譬如无法做到局域网内特定设备访问或隔离部分设备的互联网访问之类。企业路由或软路由的话很简单,这也是我换掉领势的原因之一,当初觉得 HomeKit 路由( MX/AX4200 支持 HomeKit 安全路由)功能很强,实际各种难用
|
 |
10
ID404 2025 年 5 月 27 日
上闲鱼买台二手的防火墙,两个网口分两个安全域,有互访需要做策略放通,没需求做策略禁止。
|
 |
11
LaFayette 2025 年 5 月 27 日
路由器换成 ikuai 的,京东 100 多块钱,homelab 设备用 ip 分为一组,禁止访问 homelab 的分为一组,然后添加一个禁止访问的策略;另外 wifi 也可以设置禁止访问内网。
|
 |
12
WhatTheBridgeSay 2025 年 5 月 27 日
用不上 VLAN ,OpenWrt 开两个网络接口配置不通的 DHCP 网段就行
|
 |
13
anubu 2025 年 5 月 27 日
非常好的一个延伸。现在智能设备多了,各种莫名其妙漏洞也多了,家庭内网二层网络的访问控制就很有必要了。商用的交换机和 AP 似乎都支持端口隔离,家用的话按 mac 或 ip 划分独立 vlan 似乎是个简单的方案。
|
 |
14
kaedeair 2025 年 5 月 27 日
cidr+防火墙或者 cidr+网管交换机
|
 |
15
neroxps 2025 年 5 月 27 日
综上所述,懂得自然懂,不懂的怎么讲弄都看不懂。
openwrt 、mikrotik 、 类 Linux 路由(爱快) 都能满足。 但隔离后又可能需要安全互访,又需要集成度高,可配置性强。那就只有 openwrt mikrtok 之流。爱快那些还是有居多局限性。即使你买一台商用的防火墙,也可能无法满足家用的场景和需求(因为商用防火墙只做防火墙功能) 家用的产品,如果对网络配置需求旺盛,那么只有瑞士军刀类的产品才能满足。不会出现我期望配置某个功能,但当前的设备软件达不到我要的效果。 但是复杂的配置意味着使用难度高,使用门槛高的问题。对网络原理不熟悉,可能连最基本的拨号上网都配不懂 NAT 也搞不懂(因为可配置的方法太多了,看着教程有可能配成不适合自己的方案) |
|
16
neroxps 2025 年 5 月 27 日
例如 Tplink 那种商业路由 ER 系列的,连最基本的源地址路由都不支持。还敢叫自己定位是企业级路由。佩服。底层是 openwrt 只是软件没做出来而已。然后固件一大堆 bug ,更新到公开下载最新的固件,依然存在 DHCP 分配的租约 9999 年的问题。哪家企业敢用。
|
 |
17
pusheax 2025 年 5 月 27 日
把路由器刷一个 OpenWRT 吧,自带的 VLAN 和防火墙功能可以满足你的需求。
不建议用 DHCP 划不同子网的方式,很容易被绕过。VLAN 的安全性会好很多。 |
 |
18
lucienlin18 OP @yinmin 有点意思,我试试
|
Select Language