Gli.Net FLINT 2 Router - Flera olika isolerade nätverk någon?

Normal vanilj-routing funkar på destination. Du vill routa på källa. Du söker policy based routing.

Eftersom du inte har mer än en burk så bör det vara görbart i OpenWrt om man har koll på det OS:et. GL.iNETs OS är väl någon sorts fork av OpenWrt, så om de inte har förstört för mycket bör det vara görbart där. Annars får du väl köra in OpenWrt.

OpenWrt är ett pussel där man måste förstå alla delar och hur det ska hänga ihop som en helhet. Fördelen är att nästan alla tänkbara pusselbitar finns tillgängliga.

Nedanstående är förstås helt otestat, där jag säkert har massor av fel och har glömt hälften. Börja smått i stället för att följa detta, det är mest en skissartad plan för att du ska tänka själv. Jag hade skippat VPN och satt upp ett enkelt gästnätverk som första steg. Nej, jag tänker inte guida mer, har du inte tålamod att lära dig det här själv så är du inte lämpad att underhålla, testa och felsöka det. Det finns som du märkt goda möjligheter att låsa ute sig själv.

1. Sätt upp dina WAN-interface för Tailscale och NordVPN. Hur man gör det är förstås en historia för sig. wan och wan6 finns från början för den vanliga internetuppkopplingen. Lägg interfacen i varsin (ny) brandvägsszon, namnge brandväggszoner som interface-namn-zon eller liknande.

2. Skapa ett interface vardera för management, guest och iot: static address 192.168.2.1/24, 192.168.3.1/24 osv med DHCP-server. Lägg dem i varsin (ny!) brandväggszon. device kan vara ospecifierat till punkt 3 görs. lan och device:t br-lan (brygga) finns redan, låt dem vara kvar för det normala nätverket, "home".

3. Skapa ett SSID för vardera guest, iot och home. bind dem till motsvarande interface, bind home till br-lan.

4. Skapa brandväggsregler så att rätt intern zon har tillgång till rätt extern zon. Interface som ligger i olika zoner som inte ges tillgång till varandra kommer inte nå varandra. Aktivera "masquerading", dvs NAT för de externa zonerna. Hindra de zoner som inte ska ha access till routern "input"-rättigheter - alla utom management (och där du är uppkopplad...)

5. Gör lämplig PBR-magi med luci-app-pbr för att bestämma vilken utgång respektive lokalt nät ska ha. 192.168.x.1/24 till tailscale-interfacet osv.

6. Flytta ethernet-portarna (devices) till management-interfacet du behöver antagligen skapa en brygga, br-management eller något för att få alla dit på vettigt sätt.

7. Sätt igång och testa att brandväggszonerna kan nå varandra på rätt sätt och bara på rätt sätt.