Koppling av lokalt nätverk till internet med begränsning

Finns flera sätt. Men enklast är om du har fler än en nätverksport på den "yttre" och kopplar den till det lokala nätverket också, du måste dock se till att de har olika subnät. Det går också att uppnå med VLAN, Tunnlar och brandväggar o.s.v. men det kan säkert vara överkurs.

Omöjligt att ge ett bra svar om du inte ger motiveringar och detaljer. Det finns massor av alternativ. I slutändan måste du själv förstå exakt vad du vill åstadkomma och hur du gör det och inget annat.

Ett bra svar utgår från vad du har för prylar tillgängliga och budget för att köpa nytt och du säger inte något om det.

Ett alternativ är att sätta ett extra nätverkskort i bägge burkarna och tilldela statisk IPv4 i bägge ändar där IP-subnätet inte tillhör något av de andra nätverken. Den varianten bör vara i princip omöjlig att klanta till så länge man inte aktiverar routing i den yttre burken. Man behöver förstås testa så att den inre inte kommer åt internet genom den yttre. Här uppkommmer frågan om ”appen” ansluter till en viss domän (uppslag med port 53 DNS) eller IP, eller om den använder mDNS, eller någon annan variant för att hitta sin server. Är servern helt passiv eller broadcastar den något?

En annan variant är att sätta en router med lämpliga brandväggsregler mellan näten. Här uppstår direkt frågan vad det är för typ av trafik som egentligen ska kunna skickas. Behöver appen vara i samma broadcast-domän som sin server?

Om det redan finns en DHCP-server i det icke internetanslutna nätet så kanske det är den burken som även ska agera router/brandvägg mot det yttre nätet? Man får se upp med IPv6 så att det inte slipper igenom.

Annars kanske det är din normala brandvägg som ska agera brandvägg i alla riktningar mellan internet och de två lokala näten (tre brandväggszoner). I så fall gäller det att du har något som inte är för nerdummat för vanliga konsumenter och att du verkligen förstår vad du ska göra och hur. Den varianten plus några dumswitchar är det jag skulle säga är snyggast och flexiblast, men det är som sagt inget man gör med en generisk konsumentrouter och det är lätt att göra bort sig.

Du har inte beskrivit några problem, så gudarna vet vad som bäst löser dem.

@MsaSii förstår inte frågan.

Om du har ett antal datorer som t.ex. är kopplade till en switch och därefter en router. Då har du ett LAN utan någon anslutning till internet. Den dator som ska vara kopplad till Internet kopplar du med t.ex. en sladd till en annan router som i sin tur har uppkoppling mot Internet.

Då har du två LAN, ett med Internet och ett utan ?

Eller vad är det exakt du vill göra ?

Om nu datorn som "inte är med i det lokala nätverket" trots allt fortfarande befinner sig inom lokalerna, ja då skulle jag nog ändå lösa det genom en och samma router.

Skulle jag själv sätta upp detta så skulle jag göra som följande:
* Förse personen med en UniFi Express-router
* Konfigurera routern via UniFi-appen i telefon
* Skapa upp ett "No internet" VLAN/subnät (kryssa i "Isolate Network" samt kryssa ur "Internet Access" under inställningarna för nätet)
* Skapa upp två wifi, ett som terminerar in mot "default"-nätet och som får internet-åtkomst, samt ett wifi som terminerar in mot det isolerade nätverket utan internet

Obs, med ovan konfiguration så kommer den dator som ansluter direkt in på UniFi Express via kabel att hamna i "default"-nätet och får internet-access, medans de övriga bara hamnar i ett isolerat LAN utan internet. Därefter kan du skapa upp statisk IP-reservation för destinations-PC:n så den får en fast plats i nätet, samt öppna för de TCP/UDP-portar som krävs för programvaran. Till skillnad mot diverse andra lösningar, så kräver detta endast en hårdvara och lämnar öppet för utveckling/ändrade behov. Vill man exempelvis ha flera "isolerade"-klienter kabelanslutna så kompletterar du bara med en UniFi-switch och via appen tilldelar det begränsade nätet till önskade portar.

Om enda förutsättningen är att appen kan kommunicera med server på nätet och mot en enhet i sekundärt subnät, ja det är ju i princip exakt vad en Google Chromecast gör, så det lär ju även kunna fungera för din app såvida den är inte är utvecklad av en idiot. x-D

Det var en fantastiskt dålig jämförelse från mitt håll sent om natten, bortse ifrån det. x-D

Men rent krasst, du har alltså egentligen två LAN. Varav ett består utav ett gäng klienter som inte ska få internet-åtkomst, och ett annat LAN där du ha ren enskild klient som ska ha internet-åtkomst. Därtill så behöver en klient i det isolerade LAN:et komma åt en tjänst/applikation på datorn i det öppna LAN:et.

Som andra har beskrivit det, så kan du förstås lösa det genom att låta datorn med tjänsten/applikationen agera brygga mellan öppna och isolerade nätverket genom att ha dubbla nätverkskort i denna. Det andra, och bättre alternativet som jag ser det, är att du i stället förser dig med en riktig brandvägg med VLAN-kapacitet där du skapar upp två VLAN, med brandväggsregler som isolerar det ena VLAN:et/subnätet från internet-åtkomst, och därtill vitlistar en eller flera klienter att prata med datorn i det andra öppna VLAN:et/subnätet. På så vis får du en central placering av trafikstyrningen, genom regelverket i brandväggen.

Vanliga konsument-routrar har sällan möjlighet att göra sådana lite mer avancerade konfigurationer, utan att byta firmware till exempelvis OpenWRT/DD-WRT, nästa därefter hittar vi Mikrotik, EdgeRouter eller pfSense/OPNsense som är kompetenta lösningar, men kräver lite mer inlärning när du även måste lära dig att hantera VLAN ingre/egres hantering via extern switch då inget av det kommer gratis på köpet såsom med UniFi där de har gjort VLAN-hanteringen relativt smärtfri.