Wi-Fi маршрутизатор маскирует IP-адреса
У меня есть вопрос новичка касательно маршрутизации и точек доступа Wi-Fi.
Фон
У меня есть главный коммутатор (катализатор Cisco 2950), который находится позади моего маршрутизатора / брандмауэра. На этом коммутаторе у меня есть прослушивание IDS (snort) на порте span, который отражает весь трафик, входящий и выходящий из сети. У меня также есть беспроводной маршрутизатор Linksys WRT54G, обеспечивающий беспроводную связь, чей "интернет-порт" также подключен к коммутатору.
Сеть сегментирована на две подсети: xx1.1/24 для проводной части сети и xx2.1/24, предоставленные linksys ap для беспроводной сети.
вопрос
Моя проблема заключается в том, что при просмотре предупреждений от snort любой трафик из сети xx1.1 может быть отнесен к фактическому компьютеру за моей сетью, но трафик, исходящий от компьютера на моем маршрутизаторе Wi-Fi, имеет исходный (или целевой) IP-адрес точки доступа. сам.
Теперь я понимаю, что это потому, что маршрутизатор Wi-Fi является маршрутизатором и, как таковой, действует именно так, как он предназначен.
Вопрос
Мне нужно предоставить беспроводной доступ, но вместе с тем предоставить IDS представление о фактических машинах источника / назначения в беспроводной сети. Но я не уверен, если это возможно. Есть ли функция / технология / режим, которые можно найти на маршрутизаторах Wi-Fi, которые позволят мне расширить сеть xx1.1? Нужно ли заменять маршрутизатор Wi-Fi другим оборудованием?
Рассмотренные варианты
Я посмотрел на следующие варианты:
Включение порта маршрутизатора Wi-Fi для мониторинга трафика в сети xx2.1/24. Мой текущий маршрутизатор Wi-Fi не обеспечивает возможности диапазона / зеркалирования и не поддерживает измененные образы прошивки.
Установка роутера Wi-Fi в каком-то "режиме", который позволяет ему не "маршрутизировать" трафик. Мое оборудование в настоящее время имеет режим шлюза и режим маршрутизатора. Оба режима вызывают одну и ту же проблему. Есть ли другой "режим", который может быть доступен на других точках доступа Wi-Fi уровня потребителя?
Приобретаете аппаратное обеспечение, которое не маршрутизирует трафик, но обеспечивает беспроводной доступ? Это вообще существует?
Я понимаю, что это сложный вопрос с несовершенной информацией. Полный ответ был бы фантастическим, но чего-то, что выводило меня на правильный путь, было бы более чем достаточно. Спасибо, что дочитали до конца!
2 ответа
У вас есть две локальные сети вместо одной. Если вы не сделали этого по какой-либо причине, измените его так, чтобы у вас была только одна локальная сеть.
Отключите сервер DHCP WRT54G. Локальной сети нужен только один DHCP-сервер.
Подключите один из портов LAN WRT54G к одному из портов 2950. Отключите порт Internet/WAN - этот маршрутизатор будет подключен только к вашей локальной сети.
Пусть любые устройства, подключенные к WRT54G, получат новые IP-адреса от маршрутизатора в вашей локальной сети.
Если трафик от вашей AP все имеет IP-адрес AP, то он делает больше, чем маршрутизация: кажется, что это NATting. Другими словами, адреса, которые он дает беспроводным клиентам, являются частными для этой сети, и все они преобразуются AP в один адрес.
У меня нет WRT54G, но из крошечного поиска в Google я понимаю, что вы не можете отключить NAT без потери функциональности DHCP-сервера. С другой стороны, вам повезло иметь точку доступа, которая хорошо поддерживается сторонней прошивкой. Если вы сможете установить прошивку DD-WRT (или одного из других проектов), у вас будет гораздо больше контроля над вашим устройством.