Autoriser l'accès sur le reseau invité à seulement une partie de mon reseau local

[cadkey]

Bonjour,
Le reseau invité permet d'autoriser ou non les invités à acceder à mon reseau local en Wifi.
Je souhaiterais n'autoriser l'accès aux invités qu'à une partie de mon reseau local Wifi, seulement le system audio composé de deux appareils audio (via chromecast)
Je voudrais que le reste de mon reseau local, Box android, Google home, ne soit pas accessible via le reseau invité.
Y-a-t-il une solution svp?
Merci

Modifié le 1 septembre 2021 par cadkey

[cadkey]

Personne ne sait si c'est possible ou non?

[oracle7]

@cadkey

Bonjour,

Sans garantie mais essaies de créer deux règles de pare-feu (dans l'ordre) :

1. En source les @IP du sous-réseau invité et en destination autoriser les deux seules @IP des appareils audio sur le réseau local wifi
2. En source les @IP du sous-réseau invité et en destination interdire/refuser toutes les @IP sur le réseau local wifi

Cordialement

oracle7😉

[cadkey]

@oracle7merci pour ta réponse, je n'avais pas du tout pensé à des regles de parefeu
Je pense avoir confguré comme tu m'as indiqué les deux regles du parefeu de mon routeur. Cela ne change rien à priori.
Pour mieux exprimer ma demande:
- un smartphone connecté à mon reseau wifi principal, l'application spotify sur ce telephone voit tous mes appareils chromcast de mon reseau.
- un smartphone connecté à mon reseau wifi invité, l'application spotify sur ce telephone ne voit pas mes appareils chromcast si 'autoriser les invités à acceder à mon reseau local' n'est pas coché
- un smartphone connecté à mon reseau wifi invité, l'application spotify sur ce telephone voit TOUS mes appareils chromcast si 'autoriser les invités à acceder à mon reseau local' est pas coché
C'est ce dernier cas que je voudrais changer en ne permettant de voir que 2 appareils chromecast sur ip 192.168.1.131 et 192.168.1.132 et pas les autres.

[oracle7]

@cadkey

Bonjour,

il y a 32 minutes, cadkey a dit :

Je pense avoir confguré comme tu m'as indiqué les deux regles du parefeu de mon routeur. Cela ne change rien à priori.

Attention, que Spotify ait une vue sur tous les équipements chromcast est une chose, qu'il y accède en est une autre ! Donc le but des règles de pare-feu est de bloquer l'accès pas de rendre invisible ces équipements, non ? Bon Ok ce serait mieux aussi qu'ils ne les voient pas, mais là je ne sais pas comment faire.

Je suis quand même étonné que ce type de filtrage sur les @IP ne marche pas. As-tu essayé en mettant en source tout le sous-réseau invité (192.168.3.0/24) ?

Par ailleurs, le problème avec le réseau invité c'est justement les invités "extérieurs". Pour les invités "intérieurs" (donc connus), il faudrait regarder aussi du coté du filtrage par @MAC. Mais je crains que ce ne soit global (donc idem la case à cocher pour autorise l'accès au LAN). De plus cela me paraît de toutes façons impossible pour les invités "extérieurs" dans la mesure où tu ne vas pas leur réclamer leur @MAC quand ils arrivent chez toi ,pour aller compléter le filtrage puis les retirer quand ils sont partis. Cela deviendrait vite ingérable !

Sinon, comme cela, je n'ai pas d'autre idée en magasin pour l'instant, désolé.

Cordialement

oracle7😉

Modifié le 1 septembre 2021 par oracle7

[cadkey]

il y a 44 minutes, oracle7 a dit :

Je suis quand même étonné que ce type de filtrage sur les @IP ne marche pas. As-tu essayé en mettant en source tout le sous-réseau invité (192.168.3.0/24) ?

Non,je ne savais pas définir le sous-reseau, donc j'ai rentré la plage d'adresse 192.168.2.2 à 192.168.2.255
Dans mon cas, je suppose que le sous-réseau invité est ainsi:

Modifié le 1 septembre 2021 par cadkey

[cadkey]

Je dois faire une erreur dans le sous reseau invité car ça ne change absoluement rien.

[church]

Bonsoir,

Pour moi, ce que tu veux faire n'est pas géré par le reseau invité : soit tous les appareils se voient, soit tu les isoles les uns des autres une fois connectés au reseau invité.

[cadkey]

il y a 17 minutes, church a dit :

Bonsoir,

Pour moi, ce que tu veux faire n'est pas géré par le reseau invité : soit tous les appareils se voient, soit tu les isoles les uns des autres une fois connectés au reseau invité.

Mon problème n'est pas que les appareils sur le reseau invité (192.168.2.xxx) se voient ou pas. Je veux que les appareils sur le reseau invité ne puissent se connecter (et éventuellement uniquement voir) que sur deux appareils sur mon reseau local (192.168.1.231 et 192.168.1.232) et pas sur les autres dont 192.168.1.212 par exemple
Je pense que l'idée de @oracle7esr très bonne, mais je dois mal l'appliquer car je ne maitrise pas les sous reseaux.

Modifié le 1 septembre 2021 par cadkey

[MilesTEG1]

il y a 9 minutes, cadkey a dit :

Mon problème n'est pas que les appareils sur le reseau invité (192.168.2.xxx) se voient ou pas. Je veux que les appareils sur le reseau invité ne puissent voir que deux appareils sur mon reseau local (192.168.1.231 et 192.168.1.232) et pas les autres dont 192.168.1.212 par exemple
Je pense que l'idée de @oracle7esr très bonne, mais je dois mal l'appliquer car je ne maitrise pas les sous reseaux.

Pour moi ce que tu cherches à faire est tout simplement impossible.

Je ne savais pas qu’un périphérique connecté sur le wifi invité pouvait voir le lan car pour moi le réseau invité est cloisonné exprès pour que ça n’arrive pas.

Mais admettons que ce soit possible, c’est soit il voit tout ton lan soit rien.

Je ne vois pas comment fière autrement avec le RT.

 

[cadkey]

il y a 10 minutes, MilesTEG1 a dit :

Mais admettons que ce soit possible, c’est soit il voit tout ton lan soit rien.

C'est une option du RT et ça fonctionne:

Et je pense que comme l'indique @oracle7, pour interdire la connexion à certains peripheriques, une regle de parefeu doit faire l'affaire.
Dans ce cas tous mes peripheriques seraient visibles mais la connexion depuis le reseau invité seraiit limitée à la regle du parefeu.

 

 

Modifié le 1 septembre 2021 par cadkey

[church]

Mon problème n'est pas que les appareils sur le reseau invité (192.168.2.xxx) se voient ou pas. Je veux que les appareils sur le reseau invité ne puissent voir que deux appareils sur mon reseau local (192.168.1.231 et 192.168.1.232) et pas les autres dont 192.168.1.212 par exemple
Je pense que l'idée de [mention=75516]oracle7[/mention]esr très bonne, mais je dois mal l'appliquer car je ne maitrise pas les sous reseaux.

Du coup je reponds bien à ta question . Ce n'est pas possible avec l'option proposée dans le menu dédié au reseau invité. La visibilité et l'accès aux ressources et périphériques connectées au reseau invité ne peuvent pas etre fractionnés. C'est du tout ou rien. L'autre solution technique serait de disposer d'un 3e SSID Wifi pour générer un 3e reseau différent : activer celui de ta box par exemple.

[cadkey]

Donc tu penses qu'une regle de parefeu ne peux pas interdire un peripherique 192.168.2.xxx de se connecter à un peripherique 192.168.1.xxx ?

il y a 24 minutes, MilesTEG1 a dit :

c’est soit il voit tout ton lan soit rien.

Qu'un invité voit tout mon reseau n'est pas très grave. Ce que je voudrais c'est qu'il ne puisse se connecter que à certains peripheriques uniquement.

[.Shad.]

Je ne pense pas que ce soit du tout ou rien. La question c'est de savoir si la règle d'accès général intervient avant ou après la règle de refus. Si elle intervient avant tu ne pourras rien faire, si elle intervient après ça devrait marcher.

Sur un vrai routeur/pf ça se fait facilement.

Modifié le 2 septembre 2021 par .Shad.

[MilesTEG1]

Il y a 9 heures, cadkey a dit :

Donc tu penses qu'une regle de parefeu ne peux pas interdire un peripherique 192.168.2.xxx de se connecter à un peripherique 192.168.1.xxx ?

Qu'un invité voit tout mon reseau n'est pas très grave. Ce que je voudrais c'est qu'il ne puisse se connecter que à certains peripheriques uniquement.

Et bien ce ne serait pas du coté des périphériques qu'il faudrait voir ça ?
Car le RT ne pourra pas empêcher une connexion sur un NAS par exemple.

Et je ne suis pas sûr que tu puisses interdire tout traffic depuis une IP vers une autre IP avec le parefeu, car on m'avait expliqué ici que ce parefeu ne gère que le traffic externe<->interne, pas le interne<->interne...

Moi perso, le wifi invité est quasi jamais allumé, je le met en route que pour certains pour avoir un accès rapide avec un mot de passe simple à taper quand je ne peux pas partager le qrcode du wifi.
Sinon, ils accèdent au wifi normal. Je n'ai jamais eu de soucis avec eux, et à mes périphériques...

C'est quoi que tu veux interdire en accès ? Car j'ai du mal à comprendre ta démarche et ton raisonnement... Tu te fiches qu'ils voient les périphériques mais tu ne veux pas qu'ils y accèdent... Elles sont si peux dignes de confiance ces personnes ?

À mon avis, c'est la stratégie qui est à remettre en question...

[cadkey]

Il y a 12 heures, .Shad. a dit :

Je ne pense pas que ce soit du tout ou rien. La question c'est de savoir si la règle d'accès général intervient avant ou après la règle de refus. Si elle intervient avant tu ne pourras rien faire, si elle intervient après ça devrait marcher.

Sur un vrai routeur/pf ça se fait facilement.

Après différents essais, je pense que cela intervient avant effectivement.

[oracle7]

@cadkey

Bonjour,

il y a 20 minutes, cadkey a dit :

je pense que cela intervient avant effectivement.

Juste pour comprendre, tu peux préciser STP comment tu en arrives à cette conclusion ?

Cordialement

oracle7😉

[cadkey]

@oracle7 bonsoir,
J'ai tenté avec mes maigres connaissances en reseau de définir les deux regles du parefeu comme tu me l'as indiqué.
Aucun de mes essais n'a modifié l'accès à mon réseau local depuis le reseau invité.
J'en ai déduit, peut-être à tord, que la configuration du reseau invité primait sur les regles du parefeu.
Je n'ai pas la certitude d'avoir correctement parametré mes regles du parfeu.

Modifié le 2 septembre 2021 par cadkey

[maxou56]

Il y a 15 heures, cadkey a dit :

J'en ai déduit, peut-être à tord, que la configuration du reseau invité primait sur les regles du parefeu.

Bonsoir,

Le Pare-Feu du routeur est pour la, les "WAN" (WAN1, LAN1 configurée en WAN2, 3G/4G, VPN) mais pas pour le, les réseau locaux.

Soit dans le sens WAN > LAN (la majorité des règles)

Soit dans le sens LAN > WAN (plus rarement)

Edit: Par exemple j'ai autorisé la communication entre les 2 sous réseaux et créer une règle pare-feu interdisant les IP du réseau invité (192.168.13.0/24) > le réseau principal (192.168.12.0/24). Cette règle est inefficace je peux toujours accéder au réseau principal depuis l'invité ou voir le "0" qui indique quelle n'est pas utilisée.

 

De plus Chromecast (je ne connais pas) mais si c'est comme airplay, ça ne fonctionne que sur le même sous réseau (ou éventuelle en direct wifi) et donc n'est pas disponible pour le réseau invité, même si on autorise la communication entre les 2 sous réseaux.

Le 02/09/2021 à 07:54, MilesTEG1 a dit :

Moi perso, le wifi invité est quasi jamais allumé, je le met en route

C'est "juste" la diffusion d'un second SSID au niveau "wifi" ça ne change pas grand chose.

Par contre moi j'ai mis le wifi principale de WPA2/WPA3 et le wifi invité en WPA2 et je m’en sers aussi pour des périphériques qui ne gèrent pas le WPA2/WPA3.

Modifié le 3 septembre 2021 par maxou56

[.Shad.]

il y a 11 minutes, maxou56 a dit :

Le Pare-Feu du routeur est pour la, les "WAN" (WAN1, LAN1 configurée en WAN2, 3G/4G, VPN) mais pas pour le, les réseau locaux.

C'est vraiment à l'économie les fonctionnalités...

[cadkey]

il y a 17 minutes, maxou56 a dit :

De plus Chromecast (je ne connais pas) mais si c'est comme airplay, ça ne fonctionne que sur le même sous réseau (ou éventuelle en direct wifi) et donc n'est pas disponible pour le réseau invité, même si on autorise la communication entre les 2 sous réseaux.

Si, Chromecast fonctionne très bien depuis le réseau invité. J'ai bien évidemment testé avant d'ouvrir ce sujet puisque je cherche à restreindre l'accès à certains matériel Chromecast.

[MilesTEG1]

Il y a 9 heures, maxou56 a dit :

Par contre moi j'ai mis le wifi principale de WPA2/WPA3 et le wifi invité en WPA2 et je mens sert aussi pour des périphériques qui ne gèrent pas le WPA2/WPA3.

ha c'est pas bête ça 😄

Je n'ai pas eu de soucis à ce niveau là encore...
Après j'ai séparé les wifi 2,4GHz et 5GHz. Et ce sont souvent les périphériques en 2,4GHz qui sont pas compatibles avec le WPA2/WPA3.

 

edit : ha bah en fait j'avais pas activé le WPA2/WPA3 Personnal...

Je viens de le mettre sur le 5GHz, je vais voir si les périphériques fonctionnent toujours bien avec 🙂

 

Je suppose que ça n'ajoute un intérêt que si j'ai des périphériques wifi qui peuvent gérer le WPA3, non ?

[cadkey]

Il y a 13 heures, maxou56 a dit :

Par exemple j'ai autorisé la communication entre les 2 sous réseaux et créer une règle pare-feu interdisant les IP du réseau invité (192.168.13.0/24) > le réseau principal (192.168.12.0/24). Cette règle est inefficace je peux toujours accéder au réseau principal depuis l'invité ou voir le "0" qui indique quelle n'est pas utilisée.

 

@maxou56 merci.

[oracle7]

@cadkey

Bonjour,

Bah désolé à lors de t'avoir donner une fausse bonne indication, J'étais persuadé que le routeur RT2600 pouvait en faire plus (comme tout routeur digne de ce nom).

Donc je me range à l'argumentaire de @maxou56 vis à vis des modes de filtrages et leur sens.

Cordialement

oracle7😉

[cadkey]

@oracle7
Bonjour,
C'est moi qui te remercie d'avoir répondu.
Ça m'a permis de connaitre un peu plus mon routeur.

Modifié le 3 septembre 2021 par cadkey