openwrt外接多SSID的AP划分VLAN问题请教

flexyangjie

小弟在乡下三层的房子，用一个中兴的W815N AP能过室分系统在每层放置一个吸顶天线做整幢楼的覆盖，主路由是刷了OPEN的MW4530R。这个AP可以多个SSID，并且设置不同的VLAN。有 没有办法设置一个不加密的SSID给客人用呢，让他们通过这个SSID上网，但是不能访问我内网的NAS服务器，并且速度方面也做一下限制。。。。。请教各位大侠，帮忙指点一下。。

player131

看在我也有4530R的份上，帮你解答一下。首先是添加隔离网段的AP。


进入无线管理页面，选择添加。2.4G和5G随便选一个添加都可以。

这里网络选择创建新的网络，名字可以自己命名。我这里示例LAN2。不加密的话，无线安全就不用填写了。

然后进入接口管理。选择刚刚创建的LAN2，点击修改。

协议修改成静态IP

这里的IP地址只要跟你主网段不一样就可以了。我这里示例网段192.168.100.0/24   也就是你分配出来的另一个网段的网关是192.168.100.1。下面的DHCP协议要打开，不然你创建的新WIFI是获取不了IP的。

防火墙设置也要选择创建新区域，名字同样可以随意。我这里是LAN2.

然后进入网络——防火墙，将刚刚创建的防火墙区域LAN2到WAN口的规则修改成如图。也就是跟你之前LAN口到WAN口的规则保持一样就可以了。
然后就大功告成了。再来测试一下。我这里用手机连接到刚创建的AP。

我的电脑网段是192.168.0.X网段的，ping一下手机测试连通性。

无法ping通，隔离网段创建完毕。


至于限速，用自带的防火墙iptables就可以实现，但是有点繁琐，考虑到易用性，建议你使用QOS来进行限速。但是不知道你用的什么固件，带不带QOS，所以就不好介绍了。你只需要把刚创建无线的接口设置一个限制速率就可以了。一般无线接口的名字是wlan*-* ，我刚创建出来的是wlan0-1。

flexyangjie

感谢大侠耐心解答。。刚才吃过中饭就又开始研究了，现在差不多研究成功了。与你的不同的是，我的是外置的企业大功率AP，不是路由器内的。所以操作上有点不同，，，稍后（或者晚上）我再把详细的设置过程分享出来供有类似需求的同学参考。现在要去做别的事情了。

nowandthen

player131 发表于 2017-3-20 15:01
看在我也有4530R的份上，帮你解答一下。首先是添加隔离网段的AP。

如何让手机（192.168.100.101）不能访问路由器首页（192.168.0.1：80）
注：防火墙可以屏蔽192.168.100.1：80，不能屏蔽192.168.0.1：80

player131

nowandthen 发表于 2017-3-20 16:59
如何让手机（192.168.100.101）不能访问路由器首页（192.168.0.1：80）
注：防火墙可以屏蔽192.168.100. ...

iptables -A INPUT -s 192.168.100.0/24 -d 192.168.0.1 -p tcp --dport 80 -j DROP

nowandthen

player131 发表于 2017-3-20 17:40
iptables -A INPUT -s 192.168.100.0/24 -d 192.168.0.1 -p tcp --dport 80 -j DROP

没有效果啊。
虽然现在已经没有人来骚扰我了，但这问题的确困扰快一年了。
Openwrt如何禁止访客网络（guest ssid）查看到路由器的设置首页？

player131

我试了是没问题的啊
你检查一下你的防火墙，自定义的规则有没有生效  出现在INPUT那一栏。

nowandthen

我在启动项里加了一行，没有效果。
自己打命令也不行。

player131

player131 发表于 2017-3-20 18:19
我试了是没问题的啊
你检查一下你的防火墙，自定义的规则有没有生效  出现在INPUT那一栏。

那你一定是有其他的规则影响了iptables的处理。规则在的话是肯定会生效的。但是如果在filter表之前 放行了流量的话，那filter的规则就没用了。另外我刚给你的规则，放在第1位才是生效的，放在第3位就没用了，因为是按顺序处理的，你都已经accept了，后面的drop就无效了。
iptables有5个链: PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING,
               4个表: filter,nat,mangle,raw.
               4个表的优先级由高到低的顺序为:raw–>mangle–>nat–>filter
所以你这个问题需要全面检查。

nowandthen

刚注意到有人的石像鬼也有不能隔离网关的现象。也许是我这个版本潘多拉的问题，因为数据包是0。中继的话，一直在上网流量也是0。
对坛友的热心帮助表示非常感谢！

nowandthen

已确认是HG255D潘多拉r1147固件的问题。
刚刚用路由宝刷2017.01.03的潘多拉，直接在防火墙里设就可以了。

nowandthen

player131 发表于 2017-3-20 19:50
那你一定是有其他的规则影响了iptables的处理。规则在的话是肯定会生效的。但是如果在filter表之前 放行 ...

会不会跟HWNAT有关？
另外，你的规则写在rc.local后，在HG255D本就是第一行（权当HG255D有bug暂不管），路由宝里反而是最后一行(而且没有序号了)，没有作用，如何排序？难道是另一bug?



______________________________________

把上级路由器（其实就是HG255D）重启后，你的规划自动排序到第一位了，起作用了。为什么？？？

player131

nowandthen 发表于 2017-3-20 20:28
会不会跟HWNAT有关？
另外，你的规则写在rc.local后，在HG255D本就是第一行（权当HG255D有bug暂不管）， ...

你不早说你开了HWNAT，硬件NAT跟iptables完全冲突的。数据包直接就被HWNAT接管了，不干防火墙的事。

8112803

xue学习了 涨姿势

nowandthen

因为hg255d开了hwnat，很多跟iptables有关的插件也好好的，如adbyby、mwan3、ss等，所以就一直错觉了。