Como configurar o controle de acesso do roteador TP-Link Omada nos modos autônomo e controlador

Uma empresa opera vários departamentos em diversos edifícios. Cada edifício é equipado com um roteador SMB na sala de servidores e um switch em cada andar.

Como posso fazer isso?

Por exemplo, para restringir as ações de usuários específicos no departamento de P&D localizado no 3º andar do Edifício #2, é necessário garantir que esses usuários de P&D possam acessar apenas a rede interna. Para outros usuários do departamento de P&D, não há limitação.

Siga os passos abaixo para configurar a regra de ACL no roteador SMB do Edifício #2; aqui utilizamos o ER8411 como demonstração:

1. Vá em Preferences (Preferências) > IP Group > IP address (Endereço IP) no roteador. Clique em +Add (+Adicionar) para adicionar uma nova entrada de endereço IP.

Especifique o IP Address Range (Intervalo de IPs) como 192.168.0.32-192.168.0.63 para os usuários específicos de P&D, e clique em OK.

Em seguida, especifique o intervalo de endereços IP para toda a rede interna.

2. Defina o IP Group (Grupo de IP) para o endereço IP correspondente em IP Group. Por padrão, existe uma entrada “IPGROUP_ANY” que cobre todos os IPs e não pode ser editada.

3. Vá em Firewall > Access Control (Controle de Acesso), clique em +Add e configure as regras conforme abaixo.

O roteador processa as regras sequencialmente para cada pacote. Na Lista de Controle de Acesso, a regra com o ID menor tem prioridade mais alta. Como o roteador avalia as regras começando pela maior prioridade, certifique-se de que a regra de Permissão (Allow) tenha um ID menor que a regra de Bloqueio (Block).

4. Verificação

Após a configuração, esses usuários do departamento de P&D não conseguirão acessar IPs públicos em nenhum momento.

Todos os departamentos estão na mesma rede e as ações dos usuários do departamento de P&D são limitadas.

Como posso fazer isso?

Por exemplo, para limitar as ações dos usuários do departamento de P&D, é exigido que os usuários de P&D não tenham acesso à internet. Para outros departamentos, não há limitação.

Siga os passos abaixo para configurar; aqui utilizamos o ER8411 como demonstração:

1. Vá em Settings (Configurações) > Profiles (Perfis) > Groups (Grupos). Por padrão, existe uma entrada cobrindo todos os IPs e ela não é editável. Clique em +Create New Group (+Criar Novo Grupo) para adicionar uma nova entrada de grupo.

2. Especifique o nome do grupo de IP como “P&D” e selecione IP Group como o tipo.

Especifique a sub-rede IP como 192.168.0.32/27. A sub-rede representa o intervalo de endereços IP desejado. Neste exemplo, 192.168.0.32 significa o endereço IP e /27 significa o número de bits da máscara. Clique em Apply (Aplicar).

3. Vá em Settings > Network Security (Segurança de Rede) > ACL. Na aba Gateway ACL, clique em +Create New Rule (+Criar Nova Regra).

Especifique o nome como “Negar P&D”, marque Enable (Ativar) no status. Selecione Direction (Direção) como LAN -> WAN, a policy (política) da regra como Deny (Negar), Protocol como All (Todos), “P&D” como o source IP group (grupo de IP de origem), e “IPGROUP_ANY” como o destination IP group (grupo de IP de destino). Mantenha a seção de configurações avançadas como padrão e clique em Create (Criar).

4. Verificação

Após a configuração, esses usuários do departamento de P&D não conseguirão acessar IPs públicos em nenhum momento.

Este artigo demonstra como restringir funcionários para que acessem sites exclusivamente via HTTP na internet a qualquer momento.

Como posso fazer isso?

Siga os passos abaixo para configurar; aqui utilizamos o ER8411 como demonstração:

1. Vá em Firewall > Access Control no roteador. Configure as três entradas a seguir como mostrado.

1) Allow (Permitir) o serviço HTTP para todas as Origens e Destinos.

2) Allow o serviço DNS, pois o serviço DNS sempre funciona em conjunto com o serviço HTTP.

3) Por padrão, todos os serviços são permitidos nas Regras de Acesso. Para bloquear outros serviços, selecione block (bloquear) All Services (Todos os Serviços) por último.

O roteador processa as regras sequencialmente. Na Lista de Controle de Acesso, a regra com ID menor tem prioridade mais alta. Garanta que a regra de Permissão (Allow) tenha um número de ID menor que a regra de Bloqueio (Block).

2. Verificação

Após a configuração, os funcionários não conseguirão acessar a Internet via HTTPS.

Este artigo demonstra como restringir funcionários para que acessem sites exclusivamente via HTTP na internet a qualquer momento.

Como posso fazer isso?

Siga os passos abaixo para configurar; aqui utilizamos o ER8411 como demonstração:

1. Vá em Settings > Profiles > Groups. Por padrão, existe uma entrada cobrindo todos os IPs e ela não é editável. Clique em +Create New Group para adicionar uma nova entrada de grupo.

2. Especifique o nome do grupo de IP-Porta como “escritório”, selecione IP-Port Group como o tipo e escolha IP-Port Range como o tipo de IP-Porta.

Clique em + Add Subnet, especifique as sub-redes IP como 192.168.0.1/24.

Especifique as portas como DNS (53) e HTTP (80), pois o serviço DNS sempre trabalha junto com o HTTP. Em seguida, clique em Apply.

3. Vá em Settings > Network Security > ACL. Na aba Gateway ACL, clique em +Create New Rule.

Especifique o nome como “permitirHTTP”, marque Enable. Selecione Direction como LAN -> WAN, a policy como Permit (Permitir), Protocol como All, “escritório” como o source IP-Port group e “IPGROUP_ANY” como o destination IP group. Clique em Create.

Nota: Apenas gateways Omada com certas versões de firmware permitem definir o status de uma regra ACL como desativado. Certifique-se de que seu gateway suporta o recurso antes da adoção.

4. Especifique o nome da nova regra como “bloquearoutros”, marque Enable. Selecione Direction como LAN -> WAN, a policy como Deny (Negar), Protocol como All, “LAN” como a source network (rede de origem) e “IPGROUP_ANY” como o destination IP group. Clique em Create.

Todas as regras são mostradas abaixo. Note que a regra de permissão deve ser a primeira regra.

5. Verificação

Após a configuração, os funcionários não conseguirão acessar a Internet via HTTPS.

Uma empresa possui dois departamentos: P&D e Marketing, localizados em sub-redes diferentes. O departamento de P&D tem acesso aos computadores de todas as VLANs para backup de dados, enquanto os computadores do Marketing são impedidos de acessar a VLAN de P&D para aumentar a segurança.

Como posso fazer isso?

Siga os passos abaixo para configurar; aqui utilizamos o ER8411 como demonstração:

1. Vá em Network > LAN no roteador, clique em +Add para criar uma nova rede. Defina o IP/Máscara como 192.168.10.1/255.255.255.0, atribua a VLAN 10 à rede e ative o servidor DHCP.

Após salvar, as configurações de rede no roteador ficarão como abaixo.

2. Vá em Network > VLAN para alterar as configurações de VLAN.

Normalmente, após criar uma nova rede, todas as portas LAN do roteador permanecerão como UNTAG (sem tag) na rede padrão e serão automaticamente adicionadas como TAG VLAN na nova rede.

Com base na topologia: um switch não gerenciado é usado para expandir as portas. Altere a porta LAN do Marketing (Porta 4) para UNTAG VLAN 10 e defina o PVID como VLAN 10. Para a porta LAN 5 de P&D, defina como UNTAG VLAN 30 e PVID como VLAN 30.

3. Vá em Firewall > Access Control e clique em +Add para criar a regra abaixo. A interface "LAN -> LAN" significa uma entrada de ACL para tráfego entre redes. Esta regra impede o Marketing de acessar o P&D.

Nota: ACL de estado (Stateful) requer firmware compatível no roteador.

Nota: Recomendamos manter os tipos de estado (states) como padrão.

New (Novo): Corresponde a conexões em estado inicial.

Established (Estabelecida): Corresponde a conexões já estabelecidas com comunicação bidirecional vista pelo firewall.

Invalid (Inválida): Corresponde a conexões que não se comportam como esperado.

Related (Relacionada): Corresponde a sub-conexões associadas a uma conexão principal (ex: FTP).

4. Verificação

Após a configuração, dispositivos na VLAN 10 não podem pinar dispositivos na VLAN 30, mas dispositivos na VLAN 30 podem pinar dispositivos na VLAN 10.