3Jul
Das Teilen Ihres WLANs mit Gästen ist nur die höfliche Sache, aber das bedeutet nicht, dass Sie ihnen weit offenen Zugriff auf Ihr gesamtes LAN geben möchten. Lesen Sie weiter, wie wir Ihnen zeigen, wie Sie Ihren Router für Dual-SSIDs einrichten und einen separaten( und sicheren) Zugangspunkt für Ihre Gäste erstellen.
Warum möchte ich das tun?
Es gibt mehrere sehr praktische Gründe dafür, Ihr Heimnetzwerk mit Dual-Access-Points( AP) einzurichten.
Der Grund für die praktischste Anwendung für die meisten Personen ist, dass Sie Ihr Heimnetzwerk so isolieren, dass Gäste nicht auf Dinge zugreifen können, die privat bleiben sollen. Die Standardkonfiguration für fast alle Wi-Fi-Access-Point- / Router-Heimnetzwerke besteht in der Verwendung eines einzigen Wireless-Access-Points. Jeder, der auf diesen Access-Point zugreifen darf, erhält Zugriff auf das Netzwerk, als wären sie direkt über Ethernet mit dem AP verbunden.
Mit anderen Worten, wenn Sie Ihrem Freund, Nachbarn, Hausgast oder
das Passwort für Ihren WLAN-Zugang geben, haben Sie ihm auch Zugang zu Ihrem Netzwerkdrucker, allen offenen Freigaben in Ihrem Netzwerk, ungesicherten Geräten gewährtIhr Netzwerk und so weiter. Vielleicht wollten Sie sie nur ihre E-Mails abrufen lassen oder ein Spiel online spielen, aber Sie haben ihnen die Freiheit gegeben, sich in Ihrem internen Netzwerk frei zu bewegen.Nun, während die meisten von uns sicherlich keine bösartigen Hacker für Freunde haben, bedeutet das nicht, dass es nicht ratsam ist, unsere Netzwerke so einzurichten, dass Gäste dort bleiben, wo sie hingehören( auf der freien Internet-Zugangsseite des Zauns).und kann nicht dorthin gehen, wo sie es nicht tun( auf dem Homeserver / Personal Shares Seite des Zauns).
Ein weiterer praktischer Grund für die Ausführung eines AP mit zwei SSIDs ist die Möglichkeit, nicht nur zu beschränken, wohin der Gast-AP gehen kann, sondern wann. Wenn Sie zum Beispiel als Elternteil festlegen möchten, wie lange Ihr Kind auf dem Computer herumstehen kann, können Sie seinen Computer, sein Tablet usw. auf den sekundären Zugangspunkt legen und Beschränkungen für den Internetzugang für das gesamte Untersystem festlegen-SSID nach, sagen wir, 21 Uhr.
Was brauche ich?
Unser Tutorial konzentriert sich heute auf die Verwendung eines DD-WRT-kompatiblen Routers, um doppelte SSIDs zu erreichen. Als solche benötigen Sie folgende Dinge:
- 1 DD-WRT-kompatibler Router mit einer entsprechenden Hardware-Revision( wir zeigen Ihnen, wie Sie das überprüfen)
- 1 installierte Kopie von DD-WRT auf dem Router
Dies ist nicht die einzige MöglichkeitRichten Sie doppelte SSIDs für Ihr Heimnetzwerk ein. Wir werden unsere SSIDs vom allgegenwärtigen Wireless Router der Linksys WRT54G-Serie ausführen. Wenn Sie sich nicht die Mühe machen möchten, benutzerdefinierte Firmware auf Ihrem alten Router zu flashen und die zusätzlichen Konfigurationsschritte durchzuführen, können Sie stattdessen:
- Einen neueren Router kaufen, der Dual-SSIDs wie das ASUS RT-N66U.
- Erwerben Sie einen zweiten WLAN-Router und konfigurieren Sie ihn als eigenständigen Access Point.
Sofern Sie nicht bereits einen Router besitzen, der Dual-SSIDs unterstützt( in diesem Fall können Sie dieses Tutorial überspringen und nur das Handbuch für Ihr Gerät lesen), sind beide Optionen weniger als ideal, da Sie zusätzliches Geld ausgeben müssen, und in diesem Fallvon der zweiten Option, machen Sie eine Menge zusätzlicher Konfiguration, einschließlich des Einrichtens des sekundären AP, um sich nicht mit Ihrem primären AP zu überschneiden und / oder zu überlappen.
Angesichts all dessen waren wir mehr als glücklich, Hardware zu verwenden, die wir bereits hatten( den drahtlosen Router der Linksys WRT54G-Serie) und den Kassenaufwand und die zusätzliche WLAN-Optimierung auszulassen.
Woher weiß ich, dass mein Router kompatibel ist?
Es gibt zwei wichtige Kompatibilitätselemente, die Sie überprüfen müssen, um mit diesem Lernprogramm Erfolg zu haben. Die erste und einfachste ist, zu überprüfen, dass Ihr bestimmter Router DD-WRT-Unterstützung hat. Sie können die Router-Datenbank des DD-WRT-Wiki hier überprüfen.
Sobald Sie festgestellt haben, dass Ihr Router mit DD-WRT kompatibel ist, müssen wir die Revisionsnummer Ihres Router-Chips überprüfen. Wenn Sie zum Beispiel einen wirklich alten Linksys-Router haben, könnte es sich in jeder Hinsicht um einen leistungsfähigen Router handeln, aber der Chip unterstützt möglicherweise keine Dual-SSIDs( wodurch er grundsätzlich nicht mit dem Tutorial kompatibel ist).
Hinsichtlich der Revisionsnummer des Routers gibt es zwei Kompatibilitätsgrade. Einige Router können mehrere SSIDs ausführen, aber sie können die SSIDs nicht in eindeutige absolut eindeutige Zugriffspunkte aufteilen( z. B. eine eindeutige MAC-Adresse für jede SSID).In einigen Situationen kann dies bei einigen WLAN-Geräten zu Problemen führen, da sie nicht sicher sind, welche SSID( da beide die gleiche MAC-Adresse haben) verwendet werden sollte. Leider gibt es keine Möglichkeit vorherzusagen, welche Geräte sich in Ihrem Netzwerk nicht gut verhalten werden. Daher können wir Ihnen nicht empfehlen, die in diesem Tutorial beschriebene Technik zu meiden, wenn Sie ein Gerät haben, das diskrete SSIDs nicht unterstützt.
Sie können die Revisionsnummer überprüfen, indem Sie eine Google-Suche nach dem spezifischen Modell Ihres Routers zusammen mit der Versionsnummer auf dem Informationsetikett( normalerweise auf der Unterseite des Routers) durchführen. Wir haben jedoch festgestellt, dass diese Technik unzuverlässig ist. Etiketten können falsch verwendet werden, online veröffentlichte Informationen über das Modell und das Herstellungsdatum können ungenau sein usw.)
Die zuverlässigste Möglichkeit, die Revisionsnummer des Chips in Ihrem Router zu überprüfen, besteht darin, den Router abzufragen, um das herauszufinden. Um dies zu tun, müssen Sie die folgenden Schritte ausführen.Öffnen Sie einen Telnet-Client( entweder ein Mehrzweckprogramm wie PuTTY oder den grundlegenden Windows-Telnet-Befehl) und Telnet zur IP-Adresse Ihres Routers( z. B. 192.168.1.1).Melden Sie sich mit Ihrem Administrator-Login und -Passwort beim Router an( beachten Sie, dass Sie bei einigen Routern, auch wenn Sie "admin" und "mypassword" eingeben, sich beim webbasierten Verwaltungsportal des Routers anmelden, "root" eingeben müssen"Und" mypassword "um sich über Telnet anzumelden.
Sobald Sie am Router angemeldet sind, geben Sie den folgenden Befehl an der Eingabeaufforderung ein:
nvram show | grep corerev
Hierdurch wird die Core-Revisionsnummer des / der Chips in Ihrem Router im folgenden Format zurückgegeben:
wl0_corerev = 9
wl_corerev =
Was der obige Ausdruck bedeutet, ist, dass unser Router ein Radio hat( wl0, es gibt kein wl1) und dass die Kernrevision dieses Funkchips 9 ist. Wie interpretierst du die Ausgabe? Die Revisionsnummer bedeutet in Bezug auf unseren Leitfaden Folgendes:
- 0-4 Der Router unterstützt nicht mehrere SSIDs( mit eindeutigen Kennungen oder anderen).
- 5-8 Der Router unterstützt mehrere SSIDs( jedoch nicht mit eindeutigen Kennungen)
- 9+ Der Router unterstützt mehrere SSIDs( mit eindeutigen Kennungen)
Wie Sie aus unserer obigen Befehlsausgabe sehen können, haben wir Glück gehabt. Der Router-Chip ist die niedrigste Version, die mehrere SSIDs mit eindeutigen Kennungen unterstützt.
Sobald Sie festgestellt haben, dass Ihr Router mehrere SSIDs unterstützen kann, müssen Sie DD-WRT installieren. Wenn Ihr Router mit DD-WRT geliefert wurde oder Sie bereits installiert haben, fantastisch. Wenn Sie es noch nicht installiert haben, empfehlen wir, die entsprechende Version von der DD-WRT-Website herunterzuladen und unser Tutorial zu folgen: Verwandeln Sie Ihren Home Router in einen Super-Powered Router mit DD-WRT.
Zusätzlich zu unserem Tutorial können wir nicht den Wert des umfangreichen und hervorragend gepflegten DD-WRT-Wikis betonen. Lesen Sie auf Ihrem speziellen Router und den Best Practices, um dort eine neue Firmware zu flashen.
DD-WRT für mehrere SSIDs konfigurieren
Sie haben einen kompatiblen Router, den Sie mit DD-WRT geflasht haben, jetzt ist es an der Zeit, mit der Einrichtung dieser zweiten SSID zu beginnen. Genauso wie Sie immer neue Firmware über eine kabelgebundene Verbindung flashen sollten, empfehlen wir dringend, an Ihrer drahtlosen Konfiguration über eine kabelgebundene Verbindung zu arbeiten, damit die Änderungen Ihren drahtlosen Computer nicht vom Netzwerk trennen.
Öffnen Sie Ihren Webbrowser auf einem Computer, der über Ethernet mit dem Router verbunden ist. Navigieren Sie zur IP-Adresse des Standard-Routers( normalerweise 198.168.1.1).Navigieren Sie in der DD-WRT-Oberfläche zu Wireless - & gt;Grundeinstellungen( wie im Screenshot oben zu sehen).Sie können sehen, dass unser bestehender Wi-Fi-AP die SSID "HTG_Office" hat.
Klicken Sie unten auf der Seite im Abschnitt "Virtuelle Schnittstellen" auf die Schaltfläche Hinzufügen. Der zuvor leere Bereich "Virtuelle Schnittstellen" wird mit diesem voraufgefüllten Eintrag erweitert:
Diese virtuelle Schnittstelle wird an Ihren vorhandenen Funkchip angehängt( beachten Sie die wl0.1 im Titel des neuen Eintrags).Selbst die Abkürzung in der SSID zeigt dies an, das "vap" am Ende der Standard-SSID steht für Virtual Access Point. Lassen Sie uns die restlichen Einträge unter der neuen virtuellen Schnittstelle aufschlüsseln.
Sie können die SSID nach Ihren Wünschen umbenennen. In Übereinstimmung mit unserer bestehenden Namenskonvention( und um unseren Gästen das Leben leichter zu machen) werden wir die SSID von der Standardeinstellung auf "HTG_Guest" ändern - denken Sie daran, dass unser Haupt-WLAN-Zugangspunkt "HTG_Office" ist.
Lassen Sie Wireless SSID Broadcast aktiviert. Nicht nur, dass viele ältere Computer und Wi-Fi-fähige Geräte nicht sehr gut mit geheimen SSIDs spielen, sondern ein verstecktes Gastnetzwerk ist kein einladendes / nützliches Gastnetzwerk.
AP Isolation ist eine Sicherheitseinstellung, die wir nach eigenem Ermessen aktivieren oder deaktivieren. Wenn Sie AP Isolation aktivieren, wird jeder Client in Ihrem Gast-Wi-Fi-Netzwerk vollständig voneinander isoliert. Aus Sicherheitsgründen ist dies großartig, da es einen böswilligen Benutzer davon abhält, auf den Clients anderer Benutzer herumzustochern. Das ist jedoch eher für Unternehmensnetzwerke und öffentliche Hotspots von Interesse. Praktisch bedeutet das auch, dass wenn deine Nichte und dein Neffe zu Ende sind und sie ein Wi-Fi-verknüpftes Spiel auf ihren Nintendo DS-Einheiten spielen wollen, ihre DS-Einheiten sich nicht sehen können. In den meisten Heim- und Kleinbüroanwendungen gibt es wenig Grund, die APs zu isolieren.
Die Option Unbridged / Bridged in der Netzwerkkonfiguration bezieht sich darauf, ob der Wi-Fi-AP überbrückt wird oder nicht. So kontraintuitiv dies ist, müssen Sie es auf Bridged gesetzt lassen. Anstatt zuzulassen, dass die Router-Firmware den Unlinking-Prozess( eher unbeholfen) handhabt, werden wir alles manuell mit einem saubereren und stabileren Ergebnis auflösen.
Sobald Sie Ihre SSID geändert und die Einstellungen überprüft haben, klicken Sie auf Speichern.
Als nächstes navigieren Sie zu Wireless - & gt;Drahtlose Sicherheit:
Standardmäßig gibt es keine Sicherheit für den zweiten AP.Sie können es vorübergehend für Testzwecke lassen( wir haben es bis zum Ende offen gelassen), um sich zu ersparen, das Passwort auf Ihren Testgeräten einzugeben. Wir empfehlen jedoch nicht, sie dauerhaft offen zu lassen. Unabhängig davon, ob Sie es an dieser Stelle offen lassen möchten oder nicht, müssen Sie auf Speichern und dann auf Einstellungen anwenden klicken, damit die Änderungen, die wir sowohl im vorherigen als auch im vorherigen Abschnitt vorgenommen haben, wirksam werden. Sei geduldig, es kann bis zu 2 Minuten dauern, bis Änderungen wirksam werden.
Jetzt ist es eine gute Zeit, zu bestätigen, dass Wi-Fi-Geräte in der Nähe sowohl die primären als auch die sekundären APs sehen können.Öffnen Sie die Wi-Fi-Schnittstelle auf einem Smartphone ist eine gute Möglichkeit, schnell zu überprüfen. Hier ist die Ansicht von der Wi-Fi-Konfigurationsseite unseres Android-Telefons:
Wir können uns noch nicht mit dem sekundären AP verbinden, da wir noch einige Änderungen am Router vornehmen müssen, aber es ist immer schön, sie beide in der Liste zu sehen.
Der nächste Schritt besteht darin, die Trennung der SSIDs im Netzwerk zu beginnen, indem den Gast-WLAN-Geräten ein eindeutiger Bereich von IP-Adressen zugewiesen wird.
Navigieren Sie zu Setup - & gt;Vernetzung. Klicken Sie im Bereich "Überbrückung" auf die Schaltfläche Hinzufügen.
Ändern Sie zunächst den ursprünglichen Slot in "br1", lassen Sie den Rest der Werte gleich. Sie werden den oben gezeigten IP / Subnetz-Eintrag noch nicht sehen können. Klicken Sie auf "Einstellungen übernehmen".Die neue Bridge befindet sich im Abschnitt "Bridging" mit den verfügbaren IP- und Subnet-Abschnitten. Stellen Sie die IP-Adresse auf einen Wert außerhalb der IP-Adresse Ihres regulären Netzwerks ein( z. B. Ihr primäres Netzwerk ist 192.168.1.1, also legen Sie diesen Wert auf 192.168.2.1 fest).Legen Sie die Subnetzmaske auf 255.255.255.0 fest. Klicken Sie erneut auf "Einstellungen übernehmen" unten auf der Seite.
Gastnetzwerk zu
überbrücken Hinweis: Danke an Joel, dass er auf diesen Teil hingewiesen hat und uns die Anweisungen zum Hinzufügen zum Tutorial gegeben hat.
Klicken Sie unter "Assign to Bridge" auf "Add".Wählen Sie die neue Bridge, die Sie erstellt haben, aus der ersten Dropdown-Liste aus und verknüpfen Sie sie mit der Schnittstelle "wl0.1".
Klicken Sie nun auf "Speichern" und "Einstellungen übernehmen".
Nachdem die Änderungen angewendet wurden, scrollen Sie noch einmal zum Ende der Seite zum Abschnitt DHCPD.Klicken Sie auf "Hinzufügen".Schalten Sie den ersten Steckplatz auf "br1".Lassen Sie den Rest der Einstellungen unverändert( siehe Abbildung unten).
Klicken Sie noch einmal auf "Einstellungen übernehmen".Sobald Sie alle Aufgaben im Setup abgeschlossen haben - & gt;Networking-Seite sollten Sie für Konnektivität und DHCP-Zuweisung gehen.
Hinweis: Wenn der Wi-Fi-AP, den Sie für Dual-SSIDs konfigurieren, auf einem anderen Gerät betrieben wird( z. B. haben Sie zwei WLAN-Router in Ihrem Heim oder Büro, um Ihre Abdeckung zu erweitern und die Gast-SSID)oben ist # 2 in der Kette) müssen Sie den DHCP in der Services-Sektion einrichten. Wenn das wie Ihr Setup klingt, ist es Zeit, zu den Diensten zu navigieren - & gt;Servicebereich.
Im Abschnitt "Dienste" müssen wir dem Abschnitt "DNSMasq" ein wenig Code hinzufügen, damit der Router den Geräten, die mit dem Gastnetzwerk verbunden sind, dynamisch dynamische IP-Adressen zuweist. Scrollen Sie den Abschnitt DNSMasq nach unten. Fügen Sie im Feld "Additional DNSMasq Options" den folgenden Code ein( abzüglich der # Kommentare, die die Funktionalität jeder Zeile erläutern):
# Aktiviert DHCP auf br1
interface = br1
# Legt das Standardgateway für br1-Clients fest
dhcp-option =br1,3,192.168.2.1
# Stellen Sie den DHCP-Bereich und die Standard-Lease-Zeit für br1-Clients auf 24 Stunden ein.
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Klicken Sie unten auf "Einstellungen übernehmen"der Seite.
Unabhängig davon, ob Sie Technik eins oder zwei verwendet haben, warten Sie einige Minuten, bis die Verbindung zur neuen Gast-SSID hergestellt ist. Wenn Sie eine Verbindung zur Gast-SSID herstellen, überprüfen Sie Ihre IP-Adresse. Sie sollten eine IP innerhalb des Bereichs haben, den wir oben angegeben haben. Auch hier ist es praktisch, mit Ihrem Smartphone zu überprüfen:
Alles sieht gut aus. Der sekundäre AP weist dynamische IPs in einem angemessenen Bereich zu, wir können ins Internet gehen - wir machen hier eine Notiz, ein großer Erfolg.
Das einzige Problem besteht jedoch darin, dass der sekundäre Zugriffspunkt weiterhin Zugriff auf die Ressourcen des primären Netzwerks hat. Dies bedeutet, dass alle Netzwerkdrucker, Netzwerkfreigaben usw. immer noch sichtbar sind( Sie können es jetzt testen und versuchen, eine Netzwerkfreigabe von Ihrem primären Netzwerk auf dem sekundären AP zu finden). Wenn Sie möchten, dass -Gäste auf dem sekundären Zugriffspunkt auf diese Dinge zugreifen können( und Sie dem Lernprogramm folgen, damit Sie andere Aufgaben mit doppeltem SSID durchführen können, z. B. Gastbandbreite einschränken oder das Internet nutzen dürfen), dann Siewurde effektiv mit dem Tutorial gemacht.
Wir stellen uns vor, dass die meisten von Ihnen Ihre Gäste davon abhalten möchten, in Ihrem Netzwerk herumzustochern und sie vorsichtig dazu zu bringen, sich an Facebook und E-Mail zu halten. In diesem Fall müssen Sie den Prozess beenden, indem Sie den sekundären Zugriffspunkt vom physischen Netzwerk trennen.
Navigieren Sie zu Administration - & gt;Befehle. Sie sehen einen Bereich mit der Bezeichnung "Command Shell".Fügen Sie die folgenden Befehle ohne die # Kommentarzeilen in den bearbeitbaren Bereich ein:
#Entfernt den Gastzugriff auf das physische Netzwerk
iptables -I FORWARD -i br1 -o br0 -m Status --state NEU -j DROP
iptables -I FORWARD-i br0 -o br1 -m Status --state NEW -j DROP
#Entfernt den Gastzugriff auf die Konfigurations-GUI / Ports des Routers
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-mit tcp-reset
iptables -I EINGABE -i br1 -p tcp --dport ssh -j REJECT --reject -mit tcp-reset
iptables -I EINGABE -i br1 -p tcp --dport www -j REJECT -ablehnen-mit tcp-reset
iptables -I EINGABE -i br1 -p tcp --dport https -j REJECT --reject-mit tcp-reset
Klicken Sie auf "Firewall speichern" und starten Sie Ihren Router neu.
Diese zusätzlichen Firewall-Regeln verhindern, dass alles auf den beiden Bridges( privates Netzwerk und öffentliches / Gast-Netzwerk) nicht mehr funktioniert, und lehnen jeden Kontakt zwischen einem Client im Gastnetzwerk und den Telnet-, SSH- oder Webserver-Ports abden Router( und verhindert so, dass sie überhaupt auf die Konfigurationsdateien des Routers zugreifen können).
Ein Wort zur Verwendung der Befehlsshell und der Start-, Herunterfahren- und Firewall-Skripts. Zuerst werden die IPTABLES-Befehle der Reihe nach verarbeitet. Das Ändern der Reihenfolge der einzelnen Linien kann das Ergebnis erheblich verändern. Zweitens gibt es Dutzende von Routern, die von DD-WRT unterstützt werden, und abhängig von Ihrem Router und Ihrer Konfiguration müssen Sie möglicherweise die obigen IPTABLES-Befehle optimieren. Das Skript funktionierte für unseren Router und es verwendet die breitesten und einfachsten möglichen Befehle, um die Aufgabe zu erfüllen, so dass es für die meisten Router funktionieren sollte. Ist dies nicht der Fall, empfehlen wir Ihnen dringend, in den DD-WRT-Diskussionsforen nach Ihrem spezifischen Router-Modell zu suchen, um festzustellen, ob andere Benutzer dieselben Probleme hatten.
An diesem Punkt sind Sie mit der Konfiguration fertig und bereit, doppelte SSIDs und alle Vorteile zu genießen, die mit ihrer Ausführung verbunden sind. Sie können problemlos ein Gastpasswort vergeben( und nach Belieben ändern), QoS-Regeln für das Gastnetzwerk einrichten und das Gastnetzwerk auf andere Weise ändern und einschränken, ohne dass sich dies auf Ihr primäres Netzwerk auswirkt.
