3Jul

Kuinka sallia vieras tukiaseman langattomassa verkossa

Wi-Fi-yhteyden jakaminen vieraiden kanssa on vain kohtelias asia, mutta se ei tarkoita sitä, että haluat antaa heille laajan avoimen pääsyn koko lähiverkkoon. Lue, kun näytämme sinulle, miten määrität reitittimen kaksois-SSID-tunnuksille ja luo erillinen( ja suojattu) tukiasema vieraille.

Miksi haluan tehdä tämän?

Kotiverkon perustamista varten on olemassa useita erittäin käytännöllisiä syitä, joilla on kaksi tukiasemaa( AP).

Useimpien ihmisten käytännöllisin sovelluksin yksinkertaisesti eristää kotiverkkoasi niin, että vieraat eivät pääse käsiksi asioihin, jotka haluat pysyä yksityisinä.Lähes jokaisen kodin Wi-Fi-tukiaseman / -reitittimen oletusasetukset ovat yhden langattoman tukiaseman käyttäminen ja kaikki, joilla on oikeus käyttää kyseistä AP: tä, saavat verkkoon pääsyn ikään kuin ne olisi kytketty suoraan AP: hen Ethernetin välityksellä.

Toisin sanoen jos annat ystäväsi, naapuri, vierasvieras tai , kuka tahansa salasana Wi-Fi-AP: lle, olet myös antanut heille pääsyn verkkotulostimeen, kaikki verkossa olevat avoimet osakkeet, vakuudettomat laitteetverkko ja niin edelleen. Olet ehkä halunnut antaa heidän tarkistaa sähköpostinsa tai pelata verkossa, mutta olet antanut heille vapauden vaeltaa missä tahansa he haluavat sisäisessä verkostossasi.

Vaikka suurimmalla osalla meillä ei todellakaan ole haitallisia hakkereita ystäville, se ei tarkoita sitä, ettei ole järkevää perustaa verkostoja niin, että vieraat pysyvät siellä, missä he kuuluvat( aidan ilmainen internetyhteys)ja ei voi mennä minne he eivät( kotipalvelin / henkilökohtaiset osakkeet aita).

Toinen käytännöllinen syy AP: n käyttämiseen kahdella SSID: llä on kyky rajoittaa paitsi, missä vieras AP voi mennä, mutta milloin. Jos olet esim. Vanhempi, se haluaa rajoittaa, kuinka myöhäinen lapsi voi jäädä ylöspäin tietokoneen päälle, jotta voit laittaa tietokoneen, tabletin jne. Toissijaiseen AP: hen ja asettaa rajoituksia internet-yhteyden koko alaosalle-SSSID jälkeen, sanotaan, kello 9.

Mitä tarvitsen?

Meidän opetusohjelmamme on keskittynyt DD-WRT -yhteensopivan reitittimen käyttämiseen kaksois-SSID-tunnusten luomiseen. Sellaisena tarvitset seuraavia asioita:

  • 1 DD-WRT -yhteensopiva reititin, jolla on sopiva laitteiston tarkistus( näytämme, kuinka voit tarkistaa)
  • 1 asennetun DD-WRT-kopion kyseiselle reitittimelle

Tämä ei ole ainoa tapamääritä kaksois-SSID-tunnukset kotiverkostasi. Aiomme ajaa SSID: t pois läsnäolevasta Linksys WRT54G -sarjan langattomasta reitittimestä.Jos et halua käydä läpi vanhan reitittimen Flash-muokattua firmware-ohjelmointia ja tekemällä ylimääräisiä kokoonpanovaiheita, voisit sen sijaan:

  • Osta uudempi reititin, joka tukee kaksois-SSID-tunnuksia aivan ruutuun, kuten ASUS RT-N66U.
  • Osta toinen langaton reititin ja määritä se erillisenä tukiasemana.

Ellei sinulla jo ole reititintä, joka tukee kahta SSID-tunnusta( tässä tapauksessa voit ohittaa tämän opetusohjelman ja lukea laitteen käsikirjan), molemmat vaihtoehdot ovat vähemmän kuin ihanteellinen, koska sinun on käytettävä ylimääräistä rahaa ja,toisen vaihtoehdon, tee joukko ylimääräisiä konfigurointeja, mukaan lukien toissijaisen AP: n asettaminen, joka ei häiritse ja / tai päällekkäistä ensisijaisen AP: n kanssa.

Kaiken tämän vuoksi olemme olleet tyytyneet käyttämään jo käytössä olleita laitteita( Linksys WRT54G -sarjan langaton reititin) ja ohittamaan käteisen ja Wi-Fi-verkon muokkauksen.

Kuinka tiedän, että reititin on yhteensopiva?

Tässä opetusohjelmassa on kaksi ratkaisevaa yhteensopivuuselementtiä, jotka sinun on tarkistettava. Ensimmäinen ja kaikkein alkeellinen on tarkistaa, että tietyssä reitittimessäsi on DD-WRT-tuki. Voit tarkastella DD-WRT: n reitittimen tietokantaa täällä.

Kun olet varmistanut, että reititin on yhteensopiva DD-WRT: n kanssa, meidän on tarkistettava reitittimen sirun versionumero. Jos sinulla on esimerkiksi todella vanha Linksys-reititin, se voi olla täydellinen huollettava reititin kaikin tavoin, mutta siru ei ehkä tue kaksois-SSID-tunnuksia( mikä tekee siitä pohjimmiltaan yhteensopimattomia opetusohjelman kanssa).

Reitittimen tarkistusnumeron suhteen on kaksi yhteensopivuustasoa. Jotkut reitittimet voivat tehdä useita SSID-tunnuksia, mutta ne eivät voi jakaa SSID-tunnuksia erillisiin ainutlaatuisiin yhteyspisteisiin( esimerkiksi kunkin SSID: n yksilöllinen MAC-osoite).Joissakin tilanteissa tämä voi aiheuttaa ongelmia joidenkin Wi-Fi-laitteiden kanssa, koska ne ovat hämmentyneitä siitä, mitkä SSID-tunnukset( koska molemmilla on sama MAC-osoite) heidän pitäisi käyttää.Valitettavasti ei ole mitään keinoa ennustaa, mitkä laitteet toimivat väärin verkostossasi, jotta emme voi tasoittaa, suosittelemme, että vältät tässä opetusohjelmassa esitetyt tekniikat, jos huomaat, että sinulla on laite, joka ei tue erillisiä SSID-tunnuksia.

Voit tarkistaa versionumeron suorittamalla Google-haun reitittimen tietyn mallin ja tietotunnisteen( yleensä reitittimen alapuolella) olevan versionumeron kanssa, mutta olemme löytäneet tämän tekniikan olevan epäluotettava( etikettejä voidaan käyttää väärin, tuotetiedoissa lähetetyt tiedot ja valmistuspäivä voivat olla epätarkkoja jne.)

Luotettavin tapa tarkistaa sirun tarkistusnumero reitittimessä on todella tarkistaa reititin selvittämään. Jotta voit tehdä tämän, sinun on suoritettava seuraavat vaiheet. Avaa telnet-asiakas( joko monitoimiohjelma, kuten PuTTY tai Windows Telnet -komento) ja telnet IP-osoitteesi reitittimelle( esim. 192.168.1.1).Kirjaudu reitittimeen järjestelmänvalvojan kirjautumistunnuksella ja salasanalla( ota huomioon, että joissakin reitittimissä, vaikka kirjoitat reitittimen web-pohjaiseen hallintaportaaliin kirjautumalla sisään "admin" ja "mypassword", saatat joutua kirjoittamaan "root"Ja" salasanani "kirjautumiseen telnetin kautta).

Kun olet kirjautunut reitittimeen, kirjoita seuraava komento kehotteeseen:

nvram show | grep corerev

Tämä palauttaa reitittimesi sirun ytimen tarkistusnumeron seuraavassa muodossa:

wl0_corerev = 9
wl_corerev =

Mitä edellä mainitulla lähdöllä tarkoitetaan, että reitittimessämme on yksi radio( wl0, ei ole wl1) ja että kyseisen radiosirun ydinversio on 9. Miten tulkitset tulosta? Versio numero ohjauksessamme tarkoittaa seuraavaa:

  • 0-4 Reititin ei tue useita SSID-tunnuksia( yksilöllisin tunnistein tai muutoin)
  • 5-8 Reititin tukee useita SSID-tunnuksia( mutta ei yksilöllisiä tunnisteita)
  • 9+ Reititin tukee useita SSID-tunnuksia( joilla on yksilölliset tunnisteet)

Kuten yllä olevasta komentotuloksestani näet, olemme onnellisia. Reitittimen siru on pienin versio, joka tukee useita SSID-tunnuksia, joilla on yksilölliset tunnisteet.

Kun olet todennut reitittimen tukevan useita SSID-tunnuksia, sinun on asennettava DD-WRT.Jos reitittimesi toimitetaan DD-WRT: n kanssa tai olet jo asentanut sen, se on fantastinen. Jos et ole vielä asentanut sitä, suosittelemme lataamaan sopivan version DD-WRT -verkkosivustosta ja seuraamalla opetusohjelman mukana seuraavaa: Käännä kotireitittimeesi DD-WRT: n Super-Powered -reitittimeen.

Tutorialimme lisäksi emme voi korostaa laajan ja erinomaisesti ylläpidetyn DD-WRT wikin arvoa. Lue tietyssä reitittimessäsi ja parhaita käytäntöjä, jotka vilkkuvat siellä uutta firmware-ohjelmistoa.

DD-WRT: n konfigurointi useille SSID-tunnuksille

Sinulla on yhteensopiva reititin, josta olet lukenut DD-WRT: n, nyt on aika aloittaa toisen SSID: n määrittäminen. Aivan kuten sinun pitäisi aina vilkuttaa uutta laiteohjelmistoa langallisen yhteyden kautta, suosittelemme langattoman yhteyden muodostamista langallisen yhteyden kautta, joten muutokset eivät pakota langatonta tietokonettasi pois verkosta.

Avaa selaimesi reitittimeen kytketyllä tietokoneella Ethernetin välityksellä.Siirry oletusreitittimeen IP( tyypillisesti 198.168.1.1).Siirry DD-WRT-käyttöliittymässä Wireless - & gt;Perusasetukset( kuten kuvassa yllä).Näet, että nykyisellä Wi-Fi-AP: lla on SSID "HTG_Office".

Napsauta sivun alalaidassa "Virtuaaliset liitännät" -osiossa Lisää-painiketta. Aikaisemmin tyhjää "Virtual Interfaces" -osiota laajennetaan tällä prepopuled-merkinnällä:

Tämä virtuaalinen käyttöliittymä siirretään olemassa olevaan radiospiiriisi( huomaa wl0.1 uuden otsikon otsikossa).Jopa SSID: n pikatoimitus osoitti tämän, oletus-SSID: n lopussa oleva "vap" tarkoittaa virtuaaliyhteyspistettä.Lajittelen loput uudet virtuaalirajapinnat.

Voit nimetä SSID uudelleen haluamaasi asemaan. Nykyisen nimeämiskonseptimme mukaisesti( ja tekemään elämästä mukavasti vieraillemme) aiomme muuttaa SSID: n oletusarvoisesti "HTG_Guest" -muistutukseksi, jonka tärkein Wi-Fi AP on "HTG_Office".

Jätä Wireless SSID Broadcast -toiminto käyttöön. Ei vain monien vanhempien tietokoneiden ja Wi-Fi-yhteensopivien laitteiden kanssa ole kovin mielenkiintoisia salaisten SSID-tunnusten kanssa, mutta piilotettu vierasverkko ei ole kovin kutsuva / hyödyllinen vierasverkko.

AP -eristys on tietoturva-asetus, joka jätetään harkintasi mukaan ottamaan käyttöön tai poistamaan käytöstä.Jos otat käyttöön AP Isolationin, jokainen asiakkaasi Wi-Fi-verkon asiakasohjelma on täysin eristyksissä toisistaan. Turvallisuusnäkökulmasta tämä on hienoa, koska se pitää haitallisen käyttäjän piiloutumasta muiden käyttäjien asiakkailta. Tämä on kuitenkin enemmän huolta yritysverkoista ja julkisista kuormitusalueista. Käytännössä tämä merkitsee myös sitä, että jos veljen ja veljenpoikanen on päättynyt ja he haluavat pelata Wi-Fi-yhteydellä varustettua peliä Nintendo DS -yksiköissään, heidän DS-yksiköt eivät pysty näkemään toisiaan. Useimmissa koti- ja pienyritysten sovelluksissa on vain vähän syytä eristää AP: t.

Verkkokonfiguraatiossa oleva Lyhennetty / sillattu -vaihtoehto viittaa siihen, onko Wi-Fi-AP -silloitettu vai ei fyysiseen verkkoon. Kun tämä on vastakkainasettelu, sinun pitää jättää se Bridgediksi. Sen sijaan, että reitittimen laiteohjelmisto käsittelisi( melko tylsää) irrottamisprosessia, menemme manuaalisesti irti kaikesta itsestämme puhtaammalla ja vakaammalla lopputuloksella.

Kun olet muuttanut SSID-tunnusta ja tarkistanut asetukset, napsauta Tallenna.

Seuraavaksi siirry langattomaan - & gt;Langaton tietoturva:

Oletuksena ei ole suojausta toisella AP: lla. Voit jättää sen itsestään tilapäisesti testaustarkoituksiin( olemme jättäneet meidän avoinna loppuun saakka), jotta voisimme tallentaa salasanasi testilaitteissasi. Emme kuitenkaan suosittele jättämään sitä pysyvästi avoimeksi. Haluatko jättää sen avoimeksi vai ei tässä vaiheessa, sinun on napsautettava Tallenna ja sitten Hae asetuksia muutoksille, jotka tehtiin sekä edellisessä osiossa että tämä tulee voimaan. Ole kärsivällinen, se voi kestää jopa 2 minuuttia, jotta muutokset tulevat voimaan.

Nyt on hyvä aika varmistaa, että lähistöllä olevat Wi-Fi-laitteet voivat nähdä sekä ensisijaiset että toissijaiset AP: t. Wi-Fi-liitännän avaaminen älypuhelimella on erinomainen tapa tarkistaa nopeasti. Tässä on näkymä Android-puhelimen Wi-Fi-määrityssivulta:

Emme voi muodostaa yhteyttä toissijaiseen AP: hen vielä, koska tarvitsemme muutama muutos reitittimeen, mutta on aina mukavaa nähdä ne molemmissa luettelossa.

Seuraava askel on aloittaa verkon SSID-tunnusten erottamisprosessi antamalla vieraille Wi-Fi-laitteille ainutlaatuinen IP-osoite.

Siirry kohtaan Asetukset - & gt;Verkottuminen. Napsauta Lisää-painiketta klikkaamalla Bridging-osioa.

Vaihda ensin lähtöpaikka "br1", jätä loput arvot samaa. Et pysty näkemään IP- / aliverkko-merkintää vielä yllä.Napsauta Käytä asetuksia. Uusi silta on Bridging-osassa, jossa IP- ja aliverkko-osuudet ovat käytettävissä.Aseta IP-osoite yhdeksi arvoksi säännöllisen verkon IP-osoitteesta( esim. Ensisijainen verkko on 192.168.1.1, tee tämä arvo 192.168.2.1).Aseta aliverkon peite 255.255.255.0: ksi. Napsauta sivun alalaidassa olevaa "Apply Settings".

Aseta vierasverkko Bridge

: lle Huomaa: kiitos Joel-lukijan osoittamasta tätä osaa ja antamalla meille lisäohjeita opetusohjelmaan.

Valitse "Assign to Bridge" -kohdassa "Lisää".Valitse ensimmäinen luotettava sillesi ensimmäisestä avattavasta valikosta ja liitä se "wl0.1" -rajapintaan.

Klikkaa nyt "Tallenna" ja "Hae asetukset".

Kun muutokset ovat käytössä, siirry sivun alareunaan DHCPD-osioon. Napsauta "Lisää".Vaihda ensimmäinen paikka "br1".Jätä loput asetukset samaksi( kuten alla olevassa kuvakaappauksessa).

Klikkaa "Apply Settings" vielä kerran. Kun olet lopettanut kaikki asetukset Setup & gt;Verkkosivun pitäisi olla hyvä mennä yhteyden ja DHCP-tehtävän.

Huomautus: Jos Wi-Fi-AP: n, jonka olet määrittänyt kaksi SSID-tunnusta, on kakkosasetus toiselle laitteelle( esim. Kotiisi tai toimistossa on kaksi Wi-Fi-reitittimen laajentaa kattavuutta ja olet määrittänyt vieras-SSIDylös on # 2 ketjussa) sinun täytyy määrittää DHCP Palvelu-osioon. Jos tämä kuulostaa asetuksestasi, on aika siirtyä Palvelut - & gt;Palvelut-osio.

Palveluosioon on lisättävä hieman koodia DNSMasq-osioon niin, että reitittimelle annetaan dynaamiset IP-osoitteet asianmukaisesti vierasverkkoon kytkeytyville laitteille. Vieritä alaspäin DNSMasq-osiossa. Liitä seuraava koodi( miinus # kommentit, jotka selittävät kunkin rivin toiminnot):

# Antaa DHCP: n br1: llä
-rajapinta = br1
# Aseta oletusyhdyskäytävä br1-asiakkaille
dhcp-option =br1,3,192,168.2.1
# Aseta DHCP-alue ja oletusleasing 24 tunnin ajaksi br1-asiakkaille
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h

Napsauta "Apply Settings" alareunassasivulla.

Käytätkö tekniikkaa yksi tai kaksi, odota muutama minuutti yhteyden uuteen vieras SSID-tunnisteeseen. Kun muodostat yhteyden vieras SSID-tiliin, tarkista IP-osoite. Sinulla on oltava IP määritellyn alueen sisällä edellä.Jälleen, on kätevä käyttää älypuhelinta tarkistaa:

Kaikki näyttää hyvältä.Toissijainen AP jakaa dynaamiset IP-osoitteet sopivaan alueeseen, voimme saada Internetissä - olemme tekemässä muistiinpanoa, valtava menestys.

Ainoa ongelma on kuitenkin se, että toissijaisella AP: lla on vielä pääsy ensisijaisen verkon resursseihin. Tämä tarkoittaa sitä, että kaikki verkkotulostimet ja verkko-osuudet ovat edelleen näkyvissä( voit testata sen nyt, yrittää löytää verkko-osuuden ensisijaisverkostasi toissijaisella AP: llä).

Jos haluaa -vieraille toissijaisen AP: n päästä näihin asioihin( ja seuraa opetusohjelman mukana, joten voit tehdä muita kaksois-SSID-tehtäviä, kuten rajoittaa vieras kaistanleveyttä tai jos he saavat käyttää Internetiä)toteutetaan tehokkaasti opetusohjelmalla.

Kuvittelemme, että useimmat teistä haluaisivat pitää vieraitasi verkosta verkossa ja varovasti heittää heidät kiinni Facebookiin ja sähköpostiviestiin. Tällöin on päätettävä prosessi irrottamalla toissijainen AP fyysisestä verkosta.

Siirry hallintaan - & gt;Komentoja. Näet alueet, jotka on merkitty nimellä "Command Shell".Liitä seuraavat komennot, paitsi # comment -rivit, muokattavissa olevalle alueelle:

#Removes vieras käyttö fyysiseen verkkoon
iptables -I FORWARD -i br1 -o br0 -m tila -state NEW -j DROP
iptables -I FORWARD-i br0 -o br1 -m tila -state UUSI -j DROP
#Valitse pääsyn reitittimen config GUI / portteihin
iptables -I INPUT -i br1 -p tcp -dport telnet -j REJECT -tcp-reset
iptables -I INPUT -i br1 -p tcp -portti ssh -j REJECT - siirrä-tcp-reset
iptables -I INPUT -i br1 -p tcp -dport www -j REJECT -hylkää-with tcp-reset
iptables -I INPUT -i br1 -p tcp --portti https -j REJECT - siirrä-tcp-reset

Napsauta "Tallenna palomuuri" ja käynnistä reititin uudelleen.

Nämä ylimääräiset palomuurisäännöt yksinkertaisesti pysäyttävät kaikki kaksi siltaa( yksityinen verkko ja yleisö / vierasverkko) puhumasta sekä hylkäävät asiakkaiden väliset kontaktit vierasverkossa ja telnet, SSH tai web-palvelinportitreitittimen avulla( rajoittaen siten heitä yrittämättä käyttää reitittimen kokoonpanotiedostoja).

Sana komentorivin ja käynnistys-, sammutus- ja palomuurisarjoitusten käytöstä.Ensinnäkin IPTABLES-komennot käsitellään järjestyksessä.Henkilökohtaisten rivien järjestyksen muuttaminen voi merkittävästi muuttaa tulosta. Toiseksi, kymmeniä DD-WRT: n tukemia reitittimiä on kymmeniä ja tiettyä reititintä ja kokoonpanoa riippuen saatat joutua muokkaamaan yllä IPTABLES-komentoja. Skripti toimi reitittimellämme, ja se käyttää mahdollisimman laajoja ja yksinkertaisia ​​käskyjä tehtävän suorittamiseen, joten sen pitäisi toimia useimmille reitittimille. Jos näin ei ole, kehotamme sinua voimakkaasti etsimään DD-WRT-keskustelufoorumissasi olevaa reitittimen mallia ja selvittämään, ovatko muut käyttäjät kokeneet samat ongelmat.

Tässä vaiheessa olet valmis kokoonpanoon ja valmis nauttimaan kahdesta SSID: stä ja kaikista niistä saatavista hyödyistä.Voit helposti antaa vieras salasanan( ja muuttaa sitä toivomalla tavalla), määrittää vierasverkon QoS-säännöt ja muulla tavalla muokata ja rajoittaa vierasverkkoa siten, että se ei vaikuta ensisijaiseen verkkoon vähiten.