3Jul
Compartir su Wi-Fi con los invitados es lo más educado que se debe hacer, pero eso no significa que quiera darles acceso abierto a toda su LAN.Siga leyendo mientras le mostramos cómo configurar su enrutador para SSID duales y crear un punto de acceso separado( y seguro) para sus invitados.
¿Por qué quiero hacer esto?
Existen varias razones muy prácticas para querer configurar su red doméstica para tener puntos de acceso dual( AP).
El motivo de la aplicación más práctica para la mayoría de las personas es simplemente aislar la red de su hogar para que los invitados no puedan acceder a las cosas que desea permanecer en privado. La configuración predeterminada para casi todos los puntos de acceso / enrutadores domésticos de Wi-Fi es usar un solo punto de acceso inalámbrico y cualquier persona autorizada para acceder a ese AP tiene acceso a la red como si estuvieran conectados directamente al AP a través de Ethernet.
En otras palabras, si usted le da a su amigo, vecino, huésped de la casa o
quien haya la contraseña de su Wi-Fi AP, también les ha dado acceso a su impresora de red, cualquier recurso abierto en su red, dispositivos no seguros activadossu red, y así sucesivamente. Es posible que solo haya querido dejar que revisen su correo electrónico o jugar un juego en línea, pero les ha dado la libertad de recorrer el lugar que quieran en su red interna.Ahora, aunque la mayoría de nosotros no tiene hackers maliciosos para sus amigos, eso no significa que no sea prudente configurar nuestras redes para que los invitados permanezcan donde pertenecen( en el lado libre de acceso a Internet de la valla)y no pueden ir a donde no están( en el lado del servidor doméstico / acciones personales de la valla).
Otra razón práctica para ejecutar un AP con dos SSID es la capacidad no solo de restringir dónde puede ir el AP invitado, sino cuándo. Si usted es un padre, por ejemplo, que quiere restringir qué tan tarde su hijo puede permanecer despierto dinking en la computadora, puede poner su computadora, tableta, etc. en el AP secundario y establecer restricciones en el acceso a Internet para todo el submarino-SID después, digamos, a las 9 p.m.
¿Qué necesito?
Nuestro tutorial de hoy está enfocado en usar un enrutador compatible con DD-WRT para lograr SSID duales. Como tal, necesitará las siguientes cosas:
- 1 enrutador compatible DD-WRT con una revisión de hardware adecuada( le mostraremos cómo verificarlo)
- 1 copia instalada de DD-WRT en dicho enrutador
Esta no es la única forma deconfigure SSID duales para su red doméstica. Vamos a ejecutar nuestros SSIDs en el omnipresente enrutador inalámbrico de la serie Linksys WRT54G.Si no desea pasar por la molestia de flashear el firmware personalizado en su viejo enrutador y realizar los pasos de configuración adicionales, podría:
- Adquirir un enrutador más nuevo que admita SSID dual recién salido de la caja, como el ASUS RT-N66U.
- Adquiera un segundo enrutador inalámbrico y configúrelo como un punto de acceso independiente.
A menos que ya posea un enrutador que admita SSID duales( en cuyo caso puede omitir este tutorial y simplemente leer el manual de su dispositivo), estas opciones son menos que ideales ya que tiene que gastar dinero extra y, en el casode la segunda opción, haga un montón de configuraciones adicionales, incluida la configuración del AP secundario para no interferir y / o superponerse con su AP primario.
A la luz de todo eso, estábamos más que contentos de utilizar el hardware que ya teníamos( el enrutador inalámbrico de la serie Linksys WRT54G) y omitir el gasto de efectivo y el ajuste adicional de la red Wi-Fi.
¿Cómo sé que mi enrutador es compatible?
Hay dos elementos críticos de compatibilidad que debe verificar para tener éxito con este tutorial. La primera, y la más elemental, es verificar que su enrutador en particular tenga soporte DD-WRT.Puede visitar la base de datos del enrutador de la wiki DD-WRT aquí para verificar.
Una vez que haya establecido que su enrutador es compatible con DD-WRT, debemos verificar el número de revisión del chip de su enrutador. Si tiene un enrutador Linksys realmente viejo, por ejemplo, podría ser un enrutador reparable perfectible en todos los sentidos, pero es posible que el chip no sea compatible con SSID duales( lo que hace que sea fundamentalmente incompatible con el tutorial).
Hay dos grados de compatibilidad con respecto al número de revisión del enrutador. Algunos enrutadores pueden hacer múltiples SSID pero no pueden dividir los SSID en distintos puntos de acceso absolutamente únicos( por ejemplo, una dirección MAC única para cada SSID).En algunas situaciones, esto puede causar problemas con algunos dispositivos Wi-Fi, ya que se confunden en cuanto a qué SSID( ya que ambos tienen la misma dirección MAC) que deberían usar. Lamentablemente, no hay forma de predecir qué dispositivos se comportarán mal en su red, por lo que no podemos recomendarle que evite la técnica descrita en este tutorial si descubre que tiene un dispositivo que no admite SSID discretos.
Puede verificar el número de revisión realizando una búsqueda en Google del modelo específico de su enrutador junto con el número de versión impreso en la etiqueta de información( que generalmente se encuentra en la parte inferior del enrutador) pero hemos encontrado que esta técnica no es confiable( las etiquetas se pueden aplicar incorrectamente, la información publicada en línea con respecto al modelo y la fecha de fabricación puede ser inexacta, etc.)
La forma más confiable de verificar el número de revisión del chip dentro de su enrutador es sondear el enrutador para averiguarlo. Para hacerlo, debe realizar los siguientes pasos. Abra un cliente de telnet( ya sea un programa multiuso como PuTTY o el comando básico de Windows Telnet) y telnet a la dirección IP de su enrutador( por ejemplo, 192.168.1.1).Inicie sesión en el enrutador utilizando su nombre de usuario y contraseña de administrador( tenga en cuenta que para algunos enrutadores, incluso si escribe "admin" y "mypassword" para iniciar sesión en el portal de administración basado en web en el enrutador, es posible que tenga que escribir "raíz""Y" mypassword "para iniciar sesión a través de telnet).
Una vez que haya iniciado sesión en el enrutador, escriba el siguiente comando en el indicador:
nvram show | grep corerev
Esto devolverá el número de revisión del núcleo de los chips en su enrutador en el siguiente formato:
wl0_corerev = 9
wl_corerev =
Lo que significa la salida anterior es que nuestro enrutador tiene una radio( wl0, no hay wl1) y que la revisión del núcleo de ese chip de radio es 9. ¿Cómo interpretas la salida? El número de revisión, en relación con nuestra guía, significa lo siguiente:
- 0-4 El enrutador no admite múltiples SSID( con identificadores únicos o de otro modo)
- 5-8 El enrutador admite múltiples SSID( pero no con identificadores únicos)
- 9+ El enrutador admite múltiples SSID( con identificadores únicos)
Como puede ver en nuestra salida de comando anterior, hemos tenido suerte. El chip de nuestro enrutador es la revisión más baja que admite múltiples SSID con identificadores únicos.
Una vez que haya determinado que su enrutador puede admitir múltiples SSID, deberá instalar DD-WRT.Si su enrutador se envió con DD-WRT o si ya lo instaló, fantástico. Si aún no lo ha instalado, le recomendamos que descargue la versión apropiada del sitio web de DD-WRT y que siga junto con nuestro tutorial: Convierta su enrutador doméstico en un enrutador de alta potencia con DD-WRT.
Además de nuestro tutorial, no podemos enfatizar el valor de la extensa y excelente wiki DD-WRT.Lea en su enrutador particular y las mejores prácticas para flashear allí un nuevo firmware.
Configuración de DD-WRT para múltiples SSID
Usted tiene un enrutador compatible, le ha mostrado DD-WRT, ahora es el momento de comenzar a configurar ese segundo SSID.Al igual que siempre debe flashear el nuevo firmware a través de una conexión con cable, recomendamos encarecidamente que trabaje en su configuración inalámbrica a través de una conexión por cable para que los cambios no fuercen a su computadora inalámbrica fuera de la red.
Abra su navegador web en una computadora conectada al enrutador a través de Ethernet. Navegue a la IP del enrutador predeterminado( típicamente 198.168.1.1).Dentro de la interfaz DD-WRT, vaya a Inalámbrico - & gt;Configuración básica( como se ve en la captura de pantalla anterior).Puede ver que nuestro Wi-Fi AP actual tiene el SSID "HTG_Office".
En la parte inferior de la página, en la sección "Interfaces virtuales", haga clic en el botón Agregar. La sección "Interfaces virtuales" previamente vacía se expandirá con esta entrada rellenada previamente:
Esta interfaz virtual se conecta a su chip de radio existente( tenga en cuenta el wl0.1 en el título de la nueva entrada).Incluso la taquigrafía en el SSID indica esto, el "vap" al final del SSID predeterminado significa Punto de Acceso Virtual. Vamos a desglosar el resto de las entradas en la nueva interfaz virtual.
Puede cambiar el nombre del SSID a lo que desee. De acuerdo con nuestra convención de nomenclatura existente( y para hacer la vida más fácil a nuestros invitados), vamos a cambiar el SSID de la configuración predeterminada a "HTG_Guest", recuerde que nuestro principal Wi-Fi AP es "HTG_Office".
Deja habilitada la transmisión de SSID inalámbrico. No solo muchas computadoras antiguas y dispositivos con Wi-Fi no funcionan muy bien con los SSID secretos, sino que una red de invitados oculta no es una red de invitado muy atractiva / útil.
AP Isolation es una configuración de seguridad que dejaremos a su discreción para habilitar o deshabilitar. Si habilita el aislamiento de AP, todos los clientes de su red de Wi-Fi invitados estarán totalmente aislados entre sí.Desde el punto de vista de la seguridad, esto es genial, ya que evita que un usuario malintencionado hurgue en los clientes de otros usuarios. Sin embargo, eso es más una preocupación para las redes corporativas y los puntos de acceso público. En términos prácticos, eso también significa que si tu sobrina y sobrino han terminado y quieren jugar un juego con Wi-Fi vinculado en sus unidades Nintendo DS, sus unidades DS no podrán verse entre sí.En la mayoría de las aplicaciones hogareñas y de pequeñas oficinas, hay pocas razones para aislar los AP.
La opción Unbridged / Bridged en Network Configuration se refiere a si el Wi-Fi AP se unirá o no a la red física. Tan contradictorio como esto es, debes dejarlo configurado en Bridged. En lugar de dejar que el firmware del enrutador maneje( bastante torpemente) el proceso de desvinculación, vamos a deshacer manualmente todo nosotros mismos con un resultado más limpio y más estable.
Una vez que haya cambiado su SSID y revisado la configuración, haga clic en Guardar.
Luego navega a Wireless - & gt;Seguridad inalámbrica:
Por defecto no hay seguridad en el segundo AP.Puede dejarlo como tal temporalmente para fines de prueba( dejamos el nuestro abierto hasta el final) para evitar ingresar la contraseña en sus dispositivos de prueba. Sin embargo, no recomendamos dejarlo permanentemente abierto. Ya sea que opte por dejarlo abierto o no en este punto, debe hacer clic en Guardar y luego en Aplicar configuración para los cambios que hicimos tanto en la sección anterior como en esta para que entren en vigencia. Tenga paciencia, puede tomar hasta 2 minutos para que los cambios surtan efecto.
Ahora es un buen momento para confirmar que los dispositivos Wi-Fi cercanos pueden ver tanto los AP principales como los secundarios. Abrir la interfaz Wi-Fi en un teléfono inteligente es una excelente manera de comprobarlo rápidamente. Aquí está la vista desde la página de configuración de Wi-Fi de nuestro teléfono Android:
. Todavía no podemos conectarnos al AP secundario ya que necesitamos hacer algunos cambios más en el enrutador, pero siempre es bueno verlos a ambos en la lista.
El siguiente paso es comenzar el proceso de separación de los SSID en la red asignando un rango único de direcciones IP a los dispositivos Wi-Fi invitados.
Navegue a Configuración - & gt;Redes. En la sección "Bridging", haz clic en el botón Agregar.
Primero, cambie la ranura inicial a "br1", deje el resto de los valores de la misma. No podrá ver todavía la entrada de IP / subred que se muestra arriba. Haga clic en "Aplicar configuración".El nuevo puente estará en la sección Bridging con las secciones IP y Subnet disponibles. Establezca la dirección IP a un valor fuera de la IP de su red normal( por ejemplo, su red principal es 192.168.1.1, por lo tanto, establezca este valor en 192.168.2.1).Establezca la máscara de subred en 255.255.255.0.Haga clic en "Aplicar configuración" en la parte inferior de la página nuevamente.
Asignar red de invitado al puente
Nota: gracias al lector Joel por señalar esta parte y darnos las instrucciones para agregar al tutorial.
En "Asignar al puente", haga clic en "Agregar".Seleccione el nuevo puente que ha creado desde el primer menú desplegable y vincúlelo con la interfaz "wl0.1".
Ahora haga clic en "Guardar" y "Aplicar configuración".
Después de aplicar los cambios, desplácese hacia la parte inferior de la página una vez más a la sección DHCPD.Haga clic en "Agregar".Cambie la primera ranura a "br1".Deje el resto de la configuración igual( como se ve en la captura de pantalla a continuación).
Haga clic en "Aplicar configuración" una vez más. Una vez que haya terminado todas las tareas en la Configuración - & gt;La página de redes debería ser buena para la conectividad y la asignación de DHCP.
Nota: Si el Wi-Fi AP que está configurando para SSID duales es una copia de seguridad en otro dispositivo( por ejemplo, tiene dos enrutadores Wi-Fi en su hogar u oficina para extender su cobertura y en el que está configurando el SSID invitado)es el n. ° 2 de la cadena) deberá configurar el DHCP en la sección de Servicios. Si esto le parece a su configuración, es hora de navegar a los Servicios - & gt;Sección de servicios.
En la sección de servicios, necesitamos agregar un poco de código a la sección de DNSMasq para que el enrutador asigne direcciones IP dinámicas a los dispositivos que se conectan a la red de invitados. Desplázate hacia abajo en la sección DNSMasq. En el cuadro "Opciones adicionales de DNSMasq", pegue el siguiente código( menos los # comentarios que explican la funcionalidad de cada línea):
# Habilita DHCP en br1
interfaz = br1
# Establezca la puerta de enlace predeterminada para clientes br1
dhcp-option =br1,3,192.168.2.1
# Establecer el rango de DHCP y el tiempo de arrendamiento predeterminado de 24 horas para los clientes br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Haga clic en "Aplicar configuración" en la parte inferiorde la página.
Ya sea que haya utilizado la técnica uno o dos, espere unos minutos para conectarse a su nuevo SSID invitado. Cuando se conecte al SSID invitado, verifique su dirección IP.Debería tener una IP dentro del rango que especificamos con lo anterior. Nuevamente, es útil usar su teléfono inteligente para verificar:
Todo se ve bien. El AP secundario está asignando direcciones IP dinámicas en un rango apropiado, podemos acceder a Internet, estamos haciendo una nota aquí, un gran éxito.
El único problema, sin embargo, es que el AP secundario todavía tiene acceso a los recursos de la red primaria. Esto significa que todas las impresoras conectadas en red, recursos compartidos de red y demás siguen visibles( puede probarlo ahora, intente encontrar un recurso compartido de red desde su red primaria en el AP secundario).
Si quiere que los invitados de en el AP secundario tengan acceso a estas cosas( y están siguiendo junto con el tutorial para poder realizar otras tareas SSID duales como restringir el ancho de banda de los invitados o las veces que pueden usar Internet), entoncesde hecho se hizo con el tutorial.
. Nos imaginamos que a la mayoría de ustedes les gustaría evitar que sus invitados hurguen en su red y los encaminan suavemente hacia Facebook y correo electrónico. En ese caso, debemos finalizar el proceso desvinculándonos del AP secundario de la red física.
Navegue a la administración - & gt;ComandosVerás un área etiquetada como "Command Shell".Pegue los siguientes comandos, sin las # líneas de comentario, en el área editable:
#Elimina el acceso de invitado a la red física
iptables -I FORWARD -i br1 -o br0 -m estado --state NUEVO -j DROP
iptables -I ADELANTE-i br0 -o br1 -m estado --state NUEVO -j DROP
#Remueve el acceso de invitados a la configuración del enrutador GUI / puertos
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-con tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j RECHAZO --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dmit www -j RECHAZO -reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp -dport https -j REJECT --reject-with tcp-reset
Haga clic en "Guardar cortafuegos" y reinicie su enrutador.
Estas reglas adicionales de firewall simplemente impiden que todo en los dos puentes( la red privada y la red pública / invitada) hable y rechace cualquier contacto entre un cliente en la red de invitado y los puertos de telnet, SSH o servidor web enel enrutador( lo que les impide intentar acceder a los archivos de configuración del enrutador).
Una palabra sobre el uso del shell de comandos y los scripts de inicio, apagado y firewall. Primero, los comandos de IPTABLES se procesan en orden. Cambiar el orden de las líneas individuales puede cambiar significativamente el resultado. En segundo lugar, hay docenas de docenas de enrutadores compatibles con DD-WRT y, dependiendo de su enrutador y configuración específicos, es posible que deba ajustar los comandos de IPTABLES anteriores. La secuencia de comandos funcionó para nuestro enrutador y utiliza los comandos más amplios y simples posibles para realizar la tarea, por lo que debería funcionar para la mayoría de los enrutadores. Si no es así, le recomendamos encarecidamente que busque su modelo de enrutador específico en los foros de debate DD-WRT y vea si otros usuarios han experimentado los mismos problemas que usted.
En este momento ya ha terminado con la configuración y está listo para disfrutar SSID duales y todos los beneficios que conlleva ejecutarlos. Puede dar fácilmente una contraseña de invitado( y cambiarla a voluntad), establecer reglas de QoS para la red de invitados y, de otro modo, modificar y restringir la red de invitados de forma que no afecte en lo más mínimo a su red primaria.