ルータのポートまたは無線AP同士を共有したくない

1つのルータから8か所それぞれ異なる方向に分岐していて、それぞれの先に無線AP1～8を設置するのですが、
各無線APに接続しているユーザ同士が共有されないようにするにはどうしたらよいでしょうか。
例えば、無線AP1に接続しているユーザが共有フォルダ設定等していても、無線AP2に接続しているユーザから見る事ができないように。
できれば存在も知られない方がベストです。

こんな風にできればお互いが見えないのでしょうか。
無線AP1は192.168.1.*
～
無線AP8は192.168.8.*

実現するためには機器の選定から必要ならおススメ例等教えていただけると助かります。

ちなみに、回線はフレッツ光にNTTレンタルのルータが起点となります。
ルータから変更しないといけないとしても対応可能です。

No.10 回答者： lupan344 回答日時： 2016/03/24 19:27

有線LANは遮断出来ないので、AP間は通信できてしまいますね。

完全に遮断するには、クライアントをゲストモードでアクセスさせる必要がありますが、細かい設定をする為のゲスト登録は、5台までしか出来ないので、APにアクセスできる台数が制限されます。
NECなどは、かなり細かい設定が出来るようです。

No.9 回答者： lupan344 回答日時： 2016/03/24 01:09

WHR-1166DHP2の場合は、プライバシーセパレーター機能があるので、2.4GHz、5GHzの両方で、プライバシーセパレーター機能を有効にすれば、無線端末間の通信は出来ません。

ただし、有線LANには接続出来てしまいます。

この回答へのお礼

ありがとうございます。
しかし失礼ながらその回答は誤りだと思いました。
下記URL参照できますでしょうか。
http://buffalo.jp/download/manual/html/air851/ro …

同一無線APに接続している機器間の通信は遮断できますが、
別無線AP上の機器との通信はできるとのこと。
ルータか無線AP上の設定だけで私の要望は満たせないという結論になりますでしょうか？

お礼日時：2016/03/24 10:21

No.8 回答者： lupan344 回答日時： 2016/03/21 15:42

単純に、それぞれのアクセスポイントで、クライアント間通信無効の設定を行えば良いのでは無いでしょうか?

クライアント間の通信を行う必要が無いのなら、これが一番簡単ですよ。（有線LANでつながるクライアントは無いんですよね？）
アクセスポイントとクライアント間のIP設定はDHCPでも固定IPでもかまいません。（ただし、アクセスポイントによっては、固定IPの方が安定する場合もあります）

この回答へのお礼

ありがとうございます！
各機器は固定IPにしてます。
BUFFALO WHR-1166DHP2を想定していますが、クライアント間の通信無効にする設定ってお判りでしたら教えていただけると嬉しいです。

お礼日時：2016/03/23 10:25

No.7 回答者： yokohamahope 回答日時： 2016/03/20 16:59

No.5です。

お礼にある内容は可能であると思います。出来れば後々のメンテナンスを考えると無線ルータのアドレスはDHCPで配布を受けるより固定値を設定したほうが良いでしょう。無線ルータにログインする時等にアドレスは固定されていたほうが楽ですから。
（我が家では固定的に設置しているPCやプリンタ、TV、レコーダはすべて固定IPにしています）

この回答へのお礼

ありがとうございます。
私も普段、固定機器のIPは手動設定しています。
助かりました。

お礼日時：2016/03/22 10:44

No.6 回答者： zircon3 回答日時： 2016/03/18 12:29

No.4です。

> 下記の機器のみ手元にある場合
> ・NTTからレンタルするホームゲートウェイ/ひかり電話ルータ(PR-500KI)×1
> ・無線AP(BUFFALO WHR-1166DHP2)×8
>
> これで異なる無線AP間の通信は一切行われない、という環境を作ることは技術的に可能でしょうか？

No.1に以下のように書きましたとおり可能と考えます。

> > LANを8つに分け、それぞれのLANに接続されているPCは同じLAN内のPCしか見えず、あとはインターネットが使えるのみ、、、という形にされたいのでしたら書かれておられるようにネットワークを分け、ネットワーク間のルーティングを行わなければよいと思います。

この回答へのお礼

ありがとうございます

お礼日時：2016/03/22 10:43

No.5 回答者： yokohamahope 回答日時： 2016/03/18 11:23

２段のルータで対応でしょうか。

（安易な回答かもしれませんのでご容赦を）
＞こんな風にできればお互いが見えないのでしょうか。
＞無線AP1は192.168.1.*
＞～
＞無線AP8は192.168.8.*
基本的には上記のように設定し、ネットワーク間のルーティングを行わなければお互いは遮断できると思います。

１）1つのルータから8か所それぞれ異なる方向に分岐していて
　ここのルータでは８つのネットワーク間のルーティングを行わない。

２）それぞれの先に無線AP1～8を設置する
　ここのルータはルータモードで起動し、アクセスポイントとDHCPサーバ機能とする。
　製品としては市販のブロードバンドルータでいけるでしょう。自身のIPアドレスとDHCP配布アドレスの範囲をきっちり設定すればいけると思います。

この回答へのお礼

ありがとうございます。
仰ることから、下記の設定が可能でしょうか？

NTTレンタルのルータ(PR-500KI)
　→例えば192.168.0.1プロバイダ接続設定のみ、DHCPはON

無線ルータ1(WHR-1166DHP2を想定)
　→PR-500KIからDHCPでIPを配布されLAN側IPは例えば、192.168.0.2を取得
　　DHCP 開始IP 192.168.1.2～で、WiFi端末は例えば、192.168.1.2を取得

無線ルータ2(WHR-1166DHP2を想定)
　→PR-500KIからDHCPでIPを配布されLAN側IPは例えば、192.168.0.3を取得
　　DHCP 開始IP 192.168.2.2～で、WiFi端末は例えば、192.168.2.2を取得
・
・
・
無線ルータ2(WHR-1166DHP2を想定)
　→PR-500KIからDHCPでIPを配布されLAN側IPは例えば、192.168.0.4を取得
　　DHCP 開始IP 192.168.8.2～で、WiFi端末は例えば、192.168.8.2を取得

よろしくお願いいたします。

お礼日時：2016/03/18 11:47

No.4 回答者： zircon3 回答日時： 2016/03/18 10:09

> 何も考慮しない設定だったとしたら、

> 192.168.1.2の端末から192.168.1.3に通信出来てしまいますよね。

　先に書いたように192.168.1.3にサーバ・アプリケーションが起動していて、192.168.1.3自身で何のアクセス制限も行っていなければ出来ます。
　不特定多数が使用する環境であることを承知して使用する際に、そのよな設定にしておくことは192.168.1.3の所有者の責任です。

> 部屋Bの方がフォルダを共有設定していたとしたら、部屋Aの方から読まれてしまいますよね。

　192.168.1.3でアクセスしてくる全員に対し、「読み」なり「読み書き」なりを開放していたら出来ます。
　上に書きましたように全員に対して読みなり読み書きなりのアクセスを許すのか、特定のユーザに対してのみそれらを許すのかは192.168.1.3の所有者が自身の責任で行う物で、通信環境を提供する側が立ち入る問題では無い、、、というのが不特定多数に対して通信環境を提供する場合の私の考え、というか理解です。
　不特定多数が利用する環境でそれを行うのでしたらSSIDを部屋ごとに設け（無線ルーターや親機を部屋ごとに設置）るのではなく、特定のネットワーク・アプリケーション機能を使えないようにする、つまりルーター等で使用させたくない機能のTCPなりUDPなりのポートを閉じるのだと思います。

で。引用が前後してしまいますが。。。

> こちらの要求はしっかり固まってるつもりです・・・
> 確定してる条件は
> ・回線はフレッツ光1回線のみ
> ・各部屋へはLANケーブルを配線できるが、ユーザはWiFiのみ
> ・各部屋の方はWiFi接続でネットができるが他にアクセス不可
> ・回線の所に無線APを設置しても各部屋には電波は届かない
> それだけです。

　えっと。。。(^^;
　でしたら「各部屋に有線LANの口を用意する」で終われないのでしょうか？
　そこから先は各部屋を利用する方の自由だと。
　私ならまずそうします。

　どうしても無線環境の提供まで行う場合、1フロアの天井裏がつながっているなら親機を1台配し、各部屋の天井裏にアンテナ線を通します。木造あるいはコンクリートでも天井裏の厚い遮蔽物が無いならフロア面積によっては親機＋中継器だけで行けるかもしれません。
　2フロア以上なら同じことをフロア毎に行います。
　そして施設内での有線部分の混雑を出来るだけ避け、セキュリティー的にも少し貢献する目的で終端装置のLAN側にスイッチを設け、各フロアからのLANケーブルをここにつなぎます。こうすれば例えば1階の人がインターネットを使用している際、この人の下りのパケット（インターネット上のサーバーからこの人のPCへの帰りのパケット）が2階や3階のLANケーブルまで流れることを防げ混雑緩和が図れます。
　で。SSIDには命名規約を設け、この施設の無線環境であることが利用者によくわかるようにします。そしてパスワードは全親機同じとし、「こういう名前の一連のアクセスポイントのうち電波が一番強い物をご利用いただくとより快適にインターネットをお使いいただけます」とします。
　自分ならそのようにし、そこから先のセキュリティーは利用者の自己責任だとします。

この回答へのお礼

回答ありがとうございます。

ご親切に相談に乗っていただき、大変ありがたいのですが、
知りたい事から離れていってしまうので、
質問をもっと具体的にシンプルにします。

下記の機器のみ手元にある場合
・NTTからレンタルするホームゲートウェイ/ひかり電話ルータ(PR-500KI)×1
・無線AP(BUFFALO WHR-1166DHP2)×8

これで異なる無線AP間の通信は一切行われない、という環境を作ることは技術的に可能でしょうか？
不足機器を追加するのは可能です。

お礼日時：2016/03/18 11:24

No.3 回答者： zircon3 回答日時： 2016/03/17 20:44

No.2です。

最初のご質問の内容から見直しました。
結果、、、要求仕様がまとまっていないように見えます。
少なくとも個人ではない、恐らく何かしらの組織の施設への無線LAN環境の構築を考えられておられるのだと思いますが、本当に必要な機能、求められる環境がまとまっていない、、、あるいはまだ投稿に書かれていないように感じます。

少なくとも無線LANですと隣接する部屋の電波を完全に遮断することは困難です。
また、部屋ごとにSSIDを分け、接続パスワードも別にして隣接する部屋の親機への接続を出来ないように図ると複数の部屋を利用する場合に不便ですし、何度も利用するうちに自然と複数の部屋のパスワードを知ることになります。後者に関しては定期的にパスワードを変更することである程度の対応は可能ですが十分とは言えません。
不特定多数を相手にする場合は逆にSSIDは1個で、各部屋にアンテナを設置する方が現実的と思われます。
その場合、接続しているPCのセキュリティですが、PC上で使用する通信アプリケーションは基本的にクライアント・ソフトウェアであってサーバ・ソフトウェアではありません。サーバ・ソフトウェアは何時来るか分からないクライアントからの接続要求を待っているソフトウェアですが、クライアント・ソフトウェアは操作者からの指示で必要な時に特定のサーバに対して通信を起こし、要求したサーバからの応答を受け取るソフトウェアです。要求していない相手からの通信を受ける機能はありません。
ですので接続されているのが見えても悪意を持った攻撃手段を持たない限り容易くPC内の情報を取り出すことは出来ません。
で。Windowsなどのファイル共有はまさにサーバー型の機能ですが、「このフォルダの内容はこのマシンのこのユーザからだったら、読んでもいいよ（or書いてもいいよor読み書きしていいよ）」と設定するものです。
ですのであるPCの特定フォルダを誰かに公開するかどうかはそのPCの所有者の思いであってネットワーク環境の提供者が決めるものではないと考えます。

あげられている旅館の例が適当でなかったのかもしれませんが、少なくとも不特定多数に公開する無線LANなのでしたらSSIDは1個が適当と考えますし、接続するPCのセキュリティーはそのPCの所有者が考慮することと考えます。つまり「アクセスする全員が読み込み可能」という共用フォルダ設定をした機材を不特定多数が利用する環境に不注意につないだ主勇者の責任と考えるものです。
一般的に不特定多数が接続するネットワーク環境ではそういう注意事項が明記されています。

どういった施設への導入を検討されているのかわかりませんが、不特定多数の人が安全かつ快適に使用できる環境をお考えの場合は、こういった掲示板での匿名の誰かの善意にたよるより、やはり業務としてしっかり対応してくれる業者にお声を掛けた方がよろしいかと存じます。

なお、ご存じとは思いますが、無縁機器の製造業者はどこも法人サポートがあります。

http://www.elecom.co.jp/business/service/wifibui …
http://buffalo.jp/products/b-solutions/network-s …

この回答へのお礼

何度もありがとうございます。
とても親切でありがたいのですが、どうしても深読みされて話が遠回りになってる気がします^^;

こちらの要求はしっかり固まってるつもりです・・・
確定してる条件は
・回線はフレッツ光1回線のみ
・各部屋へはLANケーブルを配線できるが、ユーザはWiFiのみ
・各部屋の方はWiFi接続でネットができるが他にアクセス不可
・回線の所に無線APを設置しても各部屋には電波は届かない
それだけです。

仰る通りSSIDを1個としましょう。
当然DHCPですので、
部屋Aの方が接続してきたとき、192.168.1.2が配布されたとします。
次に部屋Bの方が接続し、192.168.1.3が配布されたとします。

何も考慮しない設定だったとしたら、
192.168.1.2の端末から192.168.1.3に通信出来てしまいますよね。
部屋Bの方がフォルダを共有設定していたとしたら、部屋Aの方から読まれてしまいますよね。
それらを防ぎたいのです。

更に例えば、アパート101号室に住んでる方はWiFi環境だとします。
102号室に住んでる方もWiFi環境だとします。
それぞれが自分のWiFiに接続していてもお互いは共有されませんよね。
当然101号室の方は102号室のSSIDが見えたりしますが、それが隣の部屋か上の階の部屋なのか知る由もありませんよね。
(SSIDを隠せる事とか暗号化が解読され得るとかそっちの方の話題ではありません)
皆同じ回線を使うが、各部屋が回線を引いてるかのようにしたいのです。

各部屋に無線APを設置するとかは、そうするしかないかなと思って挙げてるだけで必須ではありません。
お知恵をお貸しいただけると幸いです。

お礼日時：2016/03/17 23:09

No.2 回答者： zircon3 回答日時： 2016/03/17 17:06

No.1です。

> 8つの分岐先のPC設定には関与できず、自由勝手に設定され得る前提とお考えください。

> それぞれのPC所有者が何をどういじろうが、そもそも他の分岐先についてはどうなってるのかさえ知ることができないようにしたいのが理想です。

なるほど。状況はわかりました。
目的自体を考えるとWindows Serverを用いてアカウント管理とアクセス管理を行うのが一番よいように思いますが、それが叶わないのでしたらネットワークを分けることで対処するのが目的にそったことを楽に出来るように思います。使用ネットワーク・アドレスの範囲に制限が有る場合はサブネットで分けてもよいと思います。ただし、その場合はネットワークアドレス（というか使用クラス）によっては接続可能台数の面で問題が無いか確認が必要です。

無線の場合、ご質問に書かれておられたように8台の親機を設置し、それぞれが子機に配布するIPアドレスのネットワーク・アドレスを変えるというのが一番簡単な方法ですが、それぞれの接続パスワードが8つのグループ間で流通しても不正接続が出来ないよう親機側でMACアドレスの制限を掛けることが必須と考えます。それと親機の管理機能のログインパスワードなどの管理ですね。
8つのグループが例えば1フロアの中の机の集まり（島）である場合は島ごとにスイッチングHUB（うるさいことを言わないなら普通のリピータHUB）を設置して有線LANにした方が楽なようにも思います。島をまたがってLANケーブルが引かれたらすぐわかりますから。。。

参考まで。

この回答へのお礼

回答ありがとうございます。
お詳しそうなのでもう少し甘えても良いでしょうか。
あまり情報開示できないので小出しですみません。

恐らくお考えの様な、オフィスフロアの様なものではないです。
極力サーバとか大袈裟な設備はおけません。(必須なら要検討)
民生機器だけで環境を作って、基本的に放置したいのです。

実際とは異なりますが、イメージしやすいような例えで説明します。

例えば8部屋ある旅館の事務所に光回線とルータがあるとお考えください。
・事務所から8部屋の中にLANケーブルで配線。
・各部屋に無線APを設置。予め決めたSSIDと暗号化キーを部屋内に掲示。
・宿泊者はノートでもタブレットでもスマホでも好きなWiFi機器を接続して自由にネットが使える。
・間違っても別の部屋の宿泊者にアクセスできてはならない。
・宿泊者は毎日変わるのでクライアント側の設定は不可とする。
こんな状況だった場合、
事務所にNTT支給のルータ、各部屋にBuffalo等の無線LANルータ(APモード)という環境で実現するのか、
YAMAHA等のルータが必要なのか、サーバが必要なのか等アドバイスを頂ければ幸いです。

お礼日時：2016/03/17 18:54

No.1 回答者： zircon3 回答日時： 2016/03/17 14:43

> 例えば、無線AP1に接続しているユーザが共有フォルダ設定等していても、無線AP2に接続しているユーザから見る事ができないように。

これはアクセス・ポイントの管理ではなく共有フォルダへのアクセス権の設定、アカウントの管理ではないでしょうか？
書かれておられる内容からはそのように見えますが。。。

> こんな風にできればお互いが見えないのでしょうか。
> 無線AP1は192.168.1.*
> ～
> 無線AP8は192.168.8.*

これはネットワークを分けるということでフォルダの共有とは別のお話と考えますが。。。
LANを8つに分け、それぞれのLANに接続されているPCは同じLAN内のPCしか見えず、あとはインターネットが使えるのみ、、、という形にされたいのでしたら書かれておられるようにネットワークを分け、ネットワーク間のルーティングを行わなければよいと思います。

この回答へのお礼

回答ありがとうございます。
認識に齟齬があります。
8つの分岐先のPC設定には関与できず、自由勝手に設定され得る前提とお考えください。
なのでアクセス権の設定に関する質問ではありません。

それぞれのPC所有者が何をどういじろうが、そもそも他の分岐先についてはどうなってるのかさえ知ることができないようにしたいのが理想です。
それが無理なら、せめて仮にフォルダ共有設定をされてしまったとして、覗けない仕組みが第2希望です。

IPの話は、もしかしたらこうするしかないのか？という想像でしかありません。要望が実現するならどうでも良い話です。

もしzircon3さんの仰るように、
解決策がLANを8つに分けないといけないのだとしたら、NTTレンタルのルータで可能なのか、代わりに何を用意しなければいけないのか知りたいです。
よろしくお願いいたします。

お礼日時：2016/03/17 16:29