WAN isolation op een router

Beste medetweakers,

een collega moest een gast-netwerkwerk opzetten bij een klant en heeft hiervoor een aantal AP's gekocht en een 3tal wireless routers (d-link dir-615) om het gehele gebouw van dekking te voorzien. De meest simpele weergave is dit:

[internetrouter] (1.1.1.1)
|
[switch] -- Server, werkstations, printers,etc (1.1.1.x)
|
[Wireless router] (wan: 1.1.1.2, lan 2.2.2.1)
|
[Access point] (2.2.2.x)

Hij heeft de routers dus met de WAN poort in het regulieren netwerk geprikt en er dus voor gezorgd dat iedereen bij het regulieren netwerk kan. Volgens mij kunnen ze vanuit het 2.2.2.x subnet alle devices in het 1.1.1.x subnet bereiken.

Hoe kan ik er voor zorgen dat mensen in het 2.2.2.x subnet wel de 1.1.1.1 router kunnen bereiken voor internettoegang maar niet naar de server kunnen met bijv 1.1.1.3? Ik zie in de routers uiteraard geen optie voor 'wan-isolation' staan.

De switches zijn unmanaged helaas.

als ik dhcp op de dlink routers uitzet krijgen de wireless clients geen ip meer (ap's geven dhcp door van de dlink's). Ook het aansluiten van de lan poorten op de switch zorgt ervoor dat ze direct in het subnet zitten als de apparaten die ze nou juist niet moeten kunnen bereiken?

Aangepaste weergave:

[internetrouter - merk X] (1.1.1.1)
|
[switch] -- Server, werkstations, printers,etc (1.1.1.x)
|
[Wireless router - Dlink Dir 615] (wan: 1.1.1.2, lan 2.2.2.1)
|
[Access point - Dlink AP] (2.2.2.x)

Dus nogmaals: WAN van de routers en de 'servers/werkstations/etc' zitten in hetzelfde subnet. De mensen die draadloos verbinden met een access point moeten wel kunnen internet maar niet naar de server/werkstations/etc kunnen.

Ik heb op de internetrouter of switches geen mogelijkheid tot splitsing voor zover mij bekend.

[ Voor 5% gewijzigd door P-e-t-j-e op 30-12-2013 11:41 ]

Ja, dan zou ik dus 2 hosts afschermen maar dat kan alleen als het wan-ip van de routers dicht genoeg bij die 1.1.1.1 liggen en in dit geval zijn de eerste 19 adressen al in gebruik. Dus de 1e router heeft wan 1.1.1.19 en de anderen hoger. Ik kan dit niet zomaar aanpassen aangezien er veel externe en interne systemen op die vaste ipadressen zijn afgesteld.

haha.. el-cheapo moest het niet zijn, gewoon kennisgebrek bij de collega's :-). Even kleine toelichting:

de 'hoofdrouter' is van de provider en is een modemrouter. Het reguliere subnet bestaat uit 128 ipadressen waarvan de meeste statisch en ook niet te wijzigen ivm beveiligde zorgverbinding. Ze gaan dus met hun statische ipadres internet op en worden aan de hand daarvan op bepaalde sites toegelaten.

De hoofdrouter is een zyxel router en ik heb daar nu een ip-alias aangemaakt dat ik de dlink-routers met hen wan in een apart subnet kan zetten. Ik krijg nu echter bij alle ipadressen die ik op de wan van de dlink invul de foutmelding 'invalid ip adresss'. Ik snap er geen drol meer van!

Lan hoofdrouter: x.x.x.x
Lan alias hoofdrouter: 192.168.168.1

Dlink dir-615 nummer1 wan momenteel: x.x.x.x (in subnet van lan hoofdrouter)
Dlink dir-615 nummer1 wan gewenst: 192.168.168.2
Dlink dir-615 nummer1 lan: 192.168.3.1
Dlink dir-615 nummer1 dhcp: .10 tot .99

Alles wat ik bij statisch wan ip invul geeft dezelfde fout: 192.168.0.2, 192.168.168.2, 10.0.0.2, etc

*zucht*