¿Cuál es la mejor forma de configurar WiFi pública sin dar acceso al resto de mi red?

Sé cómo hacer esto ... Simplemente no sé cómo hacerlo con pf.

1. Olvídese de la parte inalámbrica, lo que queremos hacer es hacer dos LAN que estén aisladas una de la otra. Luego puede agregar el punto de acceso inalámbrico al de la LAN.
2. Obviamente, para 2 LAN's, necesitarás 3 puertos Ethernet en tu caja de OpenBSD.
3. Vea lo siguiente para los tipos de reglas que necesita hacer. enlace

Ahora, no sé pf .. pero, básicamente necesitas ...-

1. Reenvíe todo desde LAN1 y LAN2 a WAN utilizando NAT.
2. Firewall openbsd de LAN2, y déjelo abierto para LAN1.
3. Abra varios puertos para dhcp y dns.

La forma "simple" es una NIC adicional en su enrutador OpenBSD y un segundo AP, que es probablemente un desembolso de $ 50. Pero si no quieres gastar dinero, o estás haciendo esto más para aprender que cualquier otra cosa, entonces ...

DD-WRT admite VLAN (LAN virtuales) y VWLAN (LAN inalámbricas virtuales), y puede tener DHCP separado en las diferentes VLAN. Para configurar el DHCP en las LAN V (W) y las reglas de filtro de ip para el tráfico permitido entre las VLAN y la WAN (o entre las diferentes VLAN), debe usar los "comandos de inicio" en lugar de hacerlo todo a través de la WebUI de administración. . Ver por ejemplo enlace , enlace .

DD-WRT también admite el enlace troncal VLAN 802.1q, que permite que el tráfico de varias VLAN compartan un solo puerto Ethernet / cable / NIC, aunque el soporte para esto depende del conjunto de chips / placa / dispositivo específico: vea el enlace anterior . OpenWRT tendrá características similares. La mayoría de los enrutadores de consumo / SOHO no expondrán dichas características en su firmware de reserva, por supuesto.

Supongo que desea mantener OpenBSD como su enrutador de puerta de enlace. No sé OpenBSD, pero es casi seguro que admite VLAN y 802.1q troncalización VLAN. Por lo tanto, puede usar DD-WRT / OpenWRT en su AP / puente inalámbrico y configurar una VWLAN para el wifi "invitado", puenteada a una VLAN correspondiente, más la WLAN normal puenteada a la VLAN normal, con 802.1q etiquetado en la " LAN / WAN "(que se encuentra en ambas VLAN) que conecta el AP al enrutador de OpenBSD. Configure OpenBSD con las mismas VLAN / etiquetas y configure las reglas pf según sea necesario.

Cada VLAN estará en una subred diferente (por ejemplo, 192.168.1.0/24 y 192.168.2.0/24), pero cada una tendrá una única NAT en la WAN. Deberá configurar DHCP en cada subred de VLAN, presumiblemente en OpenBSD (o podría usar el AP para proporcionar DHCP para la subred "huésped", supongo).

Solo un SMoC (simple cuestión de configuración) ...

Con cualquiera de las soluciones también querrás un poco de QoS / aceleración, probablemente en tu caja de OpenBSD. (Se podría acelerar el DD-WRT WAP - DD-WRT tiene alguna funcionalidad de QoS), pero no conocería el tráfico por cable en la red interna, por lo que estaría limitado en el alcance de la QoS / priorización de tráfico que podría hacer cumplir)

Muchos enrutadores / AP Wi-Fi SOHO más nuevos pueden manejar fácilmente los requisitos 2 & 3, con uso de una red "Invitada". Sin embargo, el requisito 1 probablemente requerirá algún firmware personalizado en el enrutador / AP y / o software especializado en algo colocado como proxy / firewall en su red.

Para resolver de manera más adecuada todos los requisitos, desearía tener dos AP separados (uno para Invitado, uno para "Interno"), con un firewall capaz de manejar la limitación de ancho de banda colocada entre el AP Invitado y el resto de la red.