[IT Network-hoquyettam] Cấu hình truy cập AP khác LAN được cấp bởi DHCP server — 0962996876 — tamhq2

Đề: Phương thức triển khai mạng 2025 rất được ưu ái là Modem DHCP -> AP (Accesspoint)

Tình huống tạo dựng: Modem có nhiều LAN, mỗi LAN DHCP riêng. vd:

LAN A có GW 192.168.1.1 -> DHCP: 192.168.1.0/24

LAN B có GW 192.168.5.1 ->DHCP: 192.168.5.0/24

-> Wi-fi AP sẽ được gắn vào LAN A có IP là 192.168.1.99 theo lẽ thường… Nhưng người quản trị cố tình che giấu AP đi. Thế là khai láo IP AP đi thành 10.155.8.99

Kết quả: người trong LAN 192.168.1.0/24 và cả LAN 192.168.5.0/24 không vào được IP AP. Scan IP cũng khó tìm ra.

-> Chỉ người quản trị biết được địa chỉ IP để truy cập mà thôi. Nhưng vấn đề lại phát sinh với người quản trị, từ LAN 192.168.1.0/24 không ping được đến IP AP 10.155.8.99

\=> Nếu anh ta muốn vào, anh ta phải kiếm 1 cái máy trong LAN 192.168.1.0/24 và cả LAN 192.168.5.0/24. Tiến hành set tĩnh IP theo đúng thông số IP GW của AP đã cấu hình “láo” trước đó. Thế là anh ta có thể truy cập menu AP và cấu hình bình thường.

\=> Cách làm này okay nhưng khá bất tiện vì khi set tĩnh, tức là bản thân anh ta từ 2 LAN 192.168.1.0/24 và cả LAN 192.168.5.0/24 cũng không đi ra được internet.

Okay. Hướng dẫn cấu hình trên modem doanh nghiệp, để truy cập IP AP láo mà không cần set tĩnh vào máy tính client.

B1: Xét đến LAN đầu tiên. rõ ràng bạn thấy modem có nhiều LAN, không chỉ một. vd LAN 192.168.1.0/24 đã gắn wi-fi AP ở port 2. LAN 192.168.5.0/24 IP AP 10.155.8.99 (LAN 10.155.8.0/24 hay 10.155.8.99/32)

B2: Người ở LAN nào cần truy cập AP? vd 192.168.5.0/24 cần ping đến AP 10.155.8.99 -> Bạn cần tạo 1 rule fw cho phép scr từ 192.168.5.0/24 đến dst 10.155.8.99

B3: Chuyển destination IP từ 10.155.8.99 → IP thật của AP (cũng tức là 10.155.8.99). Tức là cần 1 DNAT cho chính nó ở đây. (Bởi vì là AP nên bạn chỉ set có IP, không muốn set GW trên AP, do đó bạn cần có DNAT để làm nó trên modem thay vì trên wifi AP)

B4: NAT traffic từ 192.168.5.0/24 → 10.155.8.99 (Masquerade)

B5: Thêm route để đường đi chính xác qua LAN/GW nào vd LAN/GW A 192.168.1.0/24 đến 10.155.8.99/32)

p/s: Người quản trị có thể dùng VLAN để tách biệt hoàn toàn mạng và không cần set IP “láo”.