残りのネットワークへのアクセスを許可せずにパブリックWiFiを最適にセットアップする方法

「シンプルな」方法は、OpenBSDルーターと2番目のAPに追加のNIC=おそらく50ドルの出費です）ですが、お金をかけたくない場合、またはこれをさらに行う場合他の何よりも学ぶこと...

DD-WRTはVLAN（仮想LAN）とVWLAN（仮想無線LAN）をサポートしており、異なるVLANで個別のDHCPを使用できます。 V（W）LANにDHCPを設定し、VLANとWAN（または異なるVLAN間））間で許可されるトラフィックのipfilterルールを設定するには、「起動コマンド」を使用する必要がありますすべてを管理WebUIで行うのではなく、例 http://www.dd-wrt.com/wiki/index.php/Multiple_WLANs 、 http：//www.dd -wrt.com/wiki/index.php/VLAN_Support 。

DD-WRTはまた、802.1q VLANトランキングをサポートします。これにより、複数のVLANからのトラフィックが単一のイーサネットポート/ケーブル/ NICを共有できるようになります-これのサポートは特定のチップセット/ボード/デバイス：前のリンクを参照してください。OpenWRTには同様の機能があります。ほとんどのコンシューマー/ SOHOルーターは、もちろん、そうした機能を自社のファームウェアに公開しません。

私はあなたがOpenBSDをゲートウェイルーターとして使いたいと思います。 OpenBSDは知りませんが、ほぼ確実にVLANと802.1qをサポートしますVLANトランキング。したがって、AP /ワイヤレスブリッジでDD-WRT/OpenWRTを使用して、VWLANを「ゲスト」wifi、対応するVLANにブリッジされ、さらに通常のWLANが通常のVLANにブリッジされ、APをOpenBSDルーターに接続する「LAN/WAN」ポート（両方のVLANにあります）に802.1qタグが付けられます。OpenBSDを構成します。同じVLAN /タグを使用し、必要に応じてpfルールを設定します。

各VLANは異なるサブネット（たとえば、192.168.1.0/24と192.168.2.0/24）にありますが、それぞれはWANに対して単一のNATのみが行われます。設定する必要がありますおそらくOpenBSD上の各VLANのサブネット上のDHCP（または、APを使用して「ゲスト」サブネットにDHCPを提供できると思います）。

単なるSMoC（設定の簡単な問題）...

どちらのソリューションでも、おそらくOpenBSDボックスで、QoS /スロットリングも必要になるでしょう。 （DD-WRT WAPでスロットルを行うことができます-DD-WRTにはいくつかのQoS機能があります-しかし、内部ネットワーク上の有線トラフィックについては認識しないため、QoS /トラフィックの優先順位付けの範囲が制限されます実施する。）

多くの新しいSOHO Wi-Fiルーター/ APは、「ゲスト」ネットワークを使用して、要件2および3を簡単に処理できます。ただし、要件1ではおそらく、ルーター/ APのカスタムファームウェアや、ネットワークのプロキシ/ファイアウォールとして配置されたものに専用のソフトウェアが必要になる可能性があります。

すべての要件を最も適切に解決するには、2つの個別のAP（1つはゲスト用、もう1つは「内部」用）を用意し、ファイアウォールがゲストAPとネットワークの他の部分との間に配置された帯域幅スロットルを処理できるようにします。