[meateron]

Имеется 2 сети - public (wifi) и private (локалка и некоторые клиенты wifi, им ip с резервации а dhcp выдаётся).

Адресация пусть будет private 10.0.0.0, public 10.0.1.0

Разграничены на роутере firewall правилом.

Прикол в том, что можно подключаться к wi-fi public и менять ip в настройках подключения на адрес из private пула и получать доступ куда не хотелось бы его получать.

Как бы защититься от изменения ip адреса клиентом wi-fi сети?

[Saab95]

Можно сделать 2 виртуальные точки доступа с разными паролями, и в каждую выдавать свою сеть.

В настройках DHCP сервера можно включить привязку арп к макам, если отключите арп на интерфейсе (установите репли онли), тогда работать будут только те, кому выдали адреса. Если кто-то поставит себе руками, работать не будет.