3Jul
Partager votre Wi-Fi avec vos invités est la chose la plus polie à faire, mais cela ne veut pas dire que vous voulez leur donner un large accès à l'ensemble de votre réseau local. Continuez à lire pendant que nous vous montrons comment configurer votre routeur pour les doubles SSID et créer un point d'accès séparé( et sécurisé) pour vos invités.
Pourquoi est-ce que je veux faire ceci?
Il y a plusieurs raisons très pratiques pour vouloir configurer votre réseau domestique pour avoir deux points d'accès( AP).
La raison de l'application la plus pratique pour le plus grand nombre de personnes consiste simplement à isoler votre réseau domestique afin que les invités ne puissent pas accéder aux choses que vous souhaitez garder privées. La configuration par défaut de presque chaque point d'accès / routeur Wi-Fi domestique consiste à utiliser un seul point d'accès sans fil et toute personne autorisée à accéder à ce point d'accès a accès au réseau comme si elle était connectée directement au point d'accès via Ethernet.
En d'autres termes, si vous donnez votre mot de passe à votre point d'accès Wi-Fi à votre ami, voisin, invité ou , vous leur avez également donné accès à votre imprimante réseau, aux partages ouverts sur votre réseau, aux périphériques non sécurisésvotre réseau, et ainsi de suite. Vous avez peut-être juste voulu les laisser vérifier leur email ou jouer à un jeu en ligne, mais vous leur avez donné la liberté d'errer où ils veulent sur votre réseau interne.
Maintenant, même si la majorité d'entre nous n'a certainement pas de pirates informatiques malveillants pour ses amis, cela ne veut pas dire qu'il n'est pas prudent de configurer nos réseaux pour que les clients restent là où ils sont( côté accès gratuit à internet)et ne peut pas aller où ils ne le font pas( du côté du serveur personnel / partages personnels de la clôture).
Une autre raison pratique pour exécuter un point d'accès avec deux SSID est la capacité non seulement de restreindre l'endroit où l'AP invité peut aller, mais aussi quand. Si vous êtes un parent, par exemple, qui veut limiter la durée de votre enfant à rester debout sur l'ordinateur, vous pouvez mettre son ordinateur, tablette, etc. sur le point d'accès secondaire et définir des restrictions sur l'accès à Internet pour l'ensemble du sous-marin.-SSID après, disons, 21h00.
De quoi ai-je besoin?
Notre tutoriel d'aujourd'hui est axé sur l'utilisation d'un routeur compatible DD-WRT pour atteindre deux SSID.En tant que tel, vous aurez besoin des choses suivantes:
- 1 routeur compatible DD-WRT avec une révision matérielle appropriée( nous allons vous montrer comment vérifier)
- 1 copie installée de DD-WRT sur ce routeur
Ce n'est pas la seule façon deConfigurez deux SSID pour votre réseau domestique. Nous allons faire fonctionner nos SSID sur l'omniprésent routeur sans fil Linksys WRT54G.Si vous ne voulez pas passer par les tracas du firmware personnalisé clignotant sur votre ancien routeur et faire les étapes de configuration supplémentaires, vous pouvez à la place:
- Acheter un routeur plus récent qui prend en charge les deux SSID dès la sortie de la boîte comme le ASUS RT-N66U.
- Achetez un second routeur sans fil et configurez-le comme un point d'accès autonome.
Sauf si vous possédez déjà un routeur qui prend en charge deux SSID( auquel cas vous pouvez ignorer ce didacticiel et lire simplement le manuel de votre périphérique), ces deux options sont loin d'être idéales car vous devez dépenser de l'argent supplémentaire et, dans le casde la deuxième option, faites un tas de configuration supplémentaire, y compris la configuration du point d'accès secondaire pour ne pas interférer avec et / ou se chevaucher avec votre point d'accès principal.
À la lumière de tout cela, nous étions plus qu'heureux d'utiliser le matériel que nous avions déjà( le routeur sans fil de la série Linksys WRT54G) et de sauter les dépenses d'argent et de réglage du réseau Wi-Fi supplémentaire.
Comment savoir si mon routeur est compatible?
Vous devez vérifier deux éléments de compatibilité cruciaux pour réussir ce tutoriel. Le premier, et le plus élémentaire, est de vérifier que votre routeur particulier a un support DD-WRT.Vous pouvez visiter la base de données du routeur du DD-WRT ici pour vérifier.
Une fois que vous avez établi que votre routeur est compatible avec DD-WRT, nous devons vérifier le numéro de révision de la puce de votre routeur. Si vous avez un vieux routeur Linksys, par exemple, il peut s'agir d'un routeur réparable de toutes les manières, mais la puce peut ne pas supporter les deux SSID( ce qui le rend fondamentalement incompatible avec le tutoriel).
Il existe deux degrés de compatibilité en ce qui concerne le numéro de révision du routeur. Certains routeurs peuvent faire plusieurs SSID, mais ils ne peuvent pas diviser les SSID en points d'accès absolument uniques distincts( par exemple, une adresse MAC unique pour chaque SSID).Dans certaines situations, cela peut causer des problèmes avec certains périphériques Wi-Fi, car ils sont confus quant au SSID( puisque les deux ont la même adresse MAC) qu'ils devraient utiliser. Malheureusement, il n'existe aucun moyen de prédire quels périphériques se comporteront mal sur votre réseau. Nous ne pouvons donc pas vous recommander d'éviter la technique décrite dans ce tutoriel si vous avez un périphérique qui ne prend pas en charge les SSID discrets.
Vous pouvez vérifier le numéro de révision en effectuant une recherche Google pour le modèle spécifique de votre routeur avec le numéro de version imprimé sur l'étiquette d'information( généralement trouvé sur le dessous du routeur) mais nous avons trouvé cette technique non fiable( les étiquettes peuvent être mal appliquées, les informations postées en ligne concernant le modèle et la date de fabrication peuvent être inexactes, etc.)
Le moyen le plus fiable de vérifier le numéro de révision de la puce dans votre routeur est d'interroger le routeur. Pour ce faire, vous devez effectuer les étapes suivantes. Ouvrez un client telnet( soit un programme polyvalent comme PuTTY ou la commande Windows Telnet de base) et telnet à l'adresse IP de votre routeur( par exemple 192.168.1.1).Connectez-vous au routeur en utilisant votre identifiant et votre mot de passe administrateur( sachez que pour certains routeurs même si vous tapez "admin" et "mypassword" pour vous connecter au portail de gestion Web du routeur, vous devrez taper "root""Et" mypassword "pour se connecter via telnet).
Une fois que vous êtes connecté au routeur, tapez la commande suivante à l'invite:
show nvram | grep corerev
Cela renverra le numéro de révision de base de la puce( s) dans votre routeur dans le format suivant:
wl0_corerev = 9
wl_corerev =
Qu'est-ce que la sortie ci-dessus signifie que notre routeur a une radio( wl0, il n'y a pas wl1) et que la révision de base de cette puce radio est 9. Comment interprétez-vous la sortie? Le numéro de révision, en relation avec notre guide, signifie ce qui suit:
- 0-4 Le routeur ne supporte pas plusieurs SSID( avec des identifiants uniques ou autres)
- 5-8 Le routeur prend en charge plusieurs SSID( mais pas avec des identifiants uniques)
- 9+ Le routeur prend en charge plusieurs SSID( avec des identifiants uniques)
Comme vous pouvez le voir à partir de notre sortie de commande ci-dessus, nous avons eu de la chance. La puce de notre routeur est la révision la plus basse qui supporte plusieurs SSID avec des identifiants uniques.
Une fois que vous avez déterminé que votre routeur peut supporter plusieurs SSID, vous devez installer DD-WRT.Si votre routeur est livré avec DD-WRT ou si vous l'avez déjà installé, fantastique. Si vous ne l'avez pas encore installé, nous vous recommandons de télécharger la version appropriée sur le site Web de DD-WRT et de suivre notre tutoriel: Transformez votre routeur domestique en un routeur super-alimenté avec DD-WRT.
En plus de notre tutoriel, nous ne pouvons pas souligner la valeur du wiki DD-WRT étendu et très bien entretenu. Lisez sur votre routeur particulier et les meilleures pratiques pour y flasher un nouveau firmware.
Configuration de DD-WRT pour plusieurs SSID
Vous avez un routeur compatible, vous y avez flashé DD-WRT, maintenant il est temps de commencer à configurer ce second SSID.Tout comme vous devriez toujours flasher un nouveau firmware sur une connexion filaire, nous vous recommandons fortement de travailler sur votre configuration sans fil via une connexion filaire afin que les modifications ne forcent pas votre ordinateur sans fil hors du réseau.
Ouvrez votre navigateur Web sur un ordinateur connecté au routeur via Ethernet. Accédez à l'adresse IP du routeur par défaut( généralement 198.168.1.1).Dans l'interface DD-WRT, accédez à Sans fil - & gt;Paramètres de base( comme vu dans la capture d'écran ci-dessus).Vous pouvez voir que notre AP Wi-Fi existant a le SSID "HTG_Office".
Au bas de la page, dans la section "Virtual Interfaces", cliquez sur le bouton Add. La section "Virtual Interfaces" précédemment vide va se développer avec cette entrée préremplie:
Cette interface virtuelle est greffée sur votre puce radio existante( notez le wl0.1 dans le titre de la nouvelle entrée).Même la sténographie dans le SSID l'indique, le "vap" à la fin du SSID par défaut signifie Virtual Access Point. Décompressons le reste des entrées sous la nouvelle interface virtuelle.
Vous pouvez renommer le SSID comme vous le souhaitez. En accord avec notre convention de nommage existante( et pour faciliter la vie de nos invités), nous allons changer le SSID par défaut en "HTG_Guest" - souvenez-vous que notre AP Wi-Fi principal est "HTG_Office".
Laissez la diffusion sans fil SSID activée. Non seulement de nombreux ordinateurs plus anciens et périphériques compatibles Wi-Fi ne sont pas très intéressants avec les SSID secrets, mais un réseau invité masqué n'est pas un réseau invité très invitant / utile.
AP Isolation est un paramètre de sécurité que nous laisserons à votre discrétion pour activer ou désactiver. Si vous activez l'isolation AP, chaque client du réseau Wi-Fi invité sera totalement isolé.Du point de vue de la sécurité, c'est super, car cela empêche un utilisateur malveillant de fouiller les clients des autres utilisateurs. Cependant, cela concerne davantage les réseaux d'entreprise et les points d'accès publics. En pratique, cela signifie aussi que si votre nièce et votre neveu sont au bout et qu'ils veulent jouer à un jeu Wi-Fi sur leurs consoles Nintendo DS, leurs unités DS ne pourront pas se voir. Dans la plupart des applications domestiques et de petite entreprise, il n'y a pas de raison d'isoler les points d'accès.
L'option Unbridged / Bridged dans Configuration réseau fait référence au fait que le point d'accès Wi-Fi sera ponté ou non vers le réseau physique. Aussi contre-intuitif que cela soit, vous devez le laisser sur Bridged. Plutôt que de laisser le microprogramme du routeur gérer( plutôt maladroitement) le processus de dissociation, nous allons tout décompacter manuellement nous-mêmes avec un résultat plus propre et plus stable.
Une fois que vous avez modifié votre SSID et vérifié les paramètres, cliquez sur Enregistrer.
Naviguez sur Wireless - & gt;Sécurité sans fil:
Par défaut, il n'y a pas de sécurité sur le deuxième point d'accès. Vous pouvez le laisser temporairement à des fins de test( nous avons laissé le nôtre ouvert jusqu'à la fin) pour vous éviter d'entrer le mot de passe sur vos appareils de test. Nous ne recommandons cependant pas de le laisser ouvert en permanence. Que vous choisissiez de le laisser ouvert ou non à ce stade, vous devez cliquer sur Enregistrer puis sur Appliquer les paramètres pour les modifications que nous avons apportées dans la section précédente et sur celle-ci pour prendre effet. Soyez patient, cela peut prendre jusqu'à 2 minutes pour que les changements prennent effet.
Maintenant, c'est un bon moment pour confirmer que les périphériques Wi-Fi à proximité peuvent voir les points d'accès principaux et secondaires. Ouverture de l'interface Wi-Fi sur un smartphone est un excellent moyen de vérifier rapidement. Voici la vue de la page de configuration Wi-Fi de notre téléphone Android:
Nous ne pouvons pas encore nous connecter au point d'accès secondaire car nous devons apporter quelques changements au routeur, mais c'est toujours agréable de les voir tous les deux dans la liste.
L'étape suivante consiste à commencer le processus de séparation des SSID sur le réseau en attribuant une plage unique d'adresses IP aux périphériques Wi-Fi invités.
Accédez à Configuration - & gt;La mise en réseau. Sous la section "Bridging", cliquez sur le bouton Ajouter.
Tout d'abord, changez l'emplacement initial en "br1", laissez le reste des valeurs identiques. Vous ne serez pas en mesure de voir l'entrée IP / sous-réseau vue ci-dessus pour le moment. Cliquez sur "Appliquer les paramètres".Le nouveau pont sera dans la section Pontage avec les sections IP et Sous-réseau disponibles. Définissez l'adresse IP à une valeur sur l'adresse IP de votre réseau normal( par exemple, votre réseau principal est 192.168.1.1, alors faites cette valeur 192.168.2.1).Définissez le masque de sous-réseau sur 255.255.255.0.Cliquez sur "Appliquer les paramètres" au bas de la page à nouveau.
Assigner le réseau d'invité au pont
Note: merci au lecteur Joel d'indiquer cette partie et de nous donner les instructions à ajouter au tutoriel.
Sous "Affecter au pont", cliquez sur "Ajouter".Sélectionnez le nouveau pont que vous avez créé dans la première liste déroulante et associez-le à l'interface "wl0.1".
Maintenant, cliquez sur "Enregistrer" et "Appliquer les paramètres".
Une fois les modifications appliquées, faites défiler vers le bas de la page une fois de plus jusqu'à la section DHCPD.Cliquez sur "Ajouter".Changez le premier emplacement en "br1".Laissez le reste des paramètres identiques( voir la capture d'écran ci-dessous).
Cliquez sur "Appliquer les paramètres" une fois de plus. Une fois que vous avez terminé toutes les tâches dans le Setup - & gt;Page de réseautage, vous devriez être bon à aller pour la connectivité et l'attribution de DHCP.
Remarque: Si le point d'accès Wi-Fi que vous configurez pour les deux SSID fonctionne sur un autre périphérique( par exemple, vous avez deux routeurs Wi-Fi dans votre maison ou bureau pour étendre votre couverture et celui que vous définissez le SSID invitéup on est # 2 dans la chaîne), vous devrez configurer le DHCP dans la section Services. Si cela ressemble à votre configuration, il est temps de naviguer vers les services - & gt;Section des services.
Dans la section services, nous devons ajouter un peu de code à la section DNSMasq afin que le routeur attribue correctement des adresses IP dynamiques aux périphériques se connectant au réseau invité.Faites défiler la section DNSMasq. Dans la boîte "Additional DNSMasq Options", collez le code suivant( moins les # commentaires expliquant la fonctionnalité de chaque ligne):
# Active DHCP sur br1
interface = br1
# Définit la passerelle par défaut pour les clients br1
dhcp-option =br1,3,192.168.2.1
# Définit la plage DHCP et la durée de bail par défaut de 24 heures pour les clients br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Cliquez sur "Appliquer les paramètres" en basde la page.
Si vous avez utilisé la technique un ou deux, attendez quelques minutes pour vous connecter à votre nouvel invité SSID.Lorsque vous vous connectez au SSID invité, vérifiez votre adresse IP.Vous devriez avoir une adresse IP dans la plage spécifiée ci-dessus. Encore une fois, il est pratique d'utiliser votre smartphone pour vérifier:
Tout semble bien. Le point d'accès secondaire attribue des IP dynamiques dans une gamme appropriée, nous pouvons obtenir sur Internet-nous faisons une note ici, un énorme succès.
Le seul problème, cependant, est que l'AP secondaire a toujours accès aux ressources du réseau primaire. Cela signifie que toutes les imprimantes en réseau, les partages réseau et autres sont encore visibles( vous pouvez le tester maintenant, essayez de trouver un partage réseau depuis votre réseau principal sur le point d'accès secondaire).
Si veut que les invités sur le point d'accès secondaire aient accès à ces choses( et suivent le tutoriel pour que vous puissiez faire d'autres tâches à double SSID comme restreindre la bande passante ou l'heure d'utilisation d'Internet)'est effectivement fait avec le tutoriel.
Nous imaginons que la plupart d'entre vous voudraient empêcher vos invités de fouiner dans votre réseau et les ramener doucement vers Facebook et par courriel. Dans ce cas, nous devons terminer le processus en dissociant le point d'accès secondaire du réseau physique.
Accédez à Administration - & gt;CommandesVous verrez une zone intitulée "Command Shell".Collez les commandes suivantes, sans les lignes de commentaires, dans la zone modifiable:
# Supprime l'accès invité au réseau physique
iptables -I FORWARD -i br1 -o br0 -m état -state NOUVEAU -j DROP
iptables -I FORWARD-i br0 -o br1 -m état -state NOUVEAU -j DROP
# Supprime l'accès invité à l'interface graphique / aux ports config du routeur
iptables -I INPUT -i br1 -p tcp --déport telnet -j REJECT --rejet-avec tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --rejet-avec tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJET -rejeter-avec tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --rejecter-avec tcp-reset
Cliquez sur "Save Firewall" et redémarrez votre routeur.
Ces règles de pare-feu supplémentaires arrêtent tout sur les deux ponts( le réseau privé et le réseau public / invité) de parler et rejettent tout contact entre un client sur le réseau invité et les ports Telnet, SSH ou Web Server surle routeur( les empêchant ainsi d'accéder aux fichiers de configuration du routeur).
Mot sur l'utilisation de l'interpréteur de commandes et des scripts de démarrage, d'arrêt et de pare-feu. Tout d'abord, les commandes IPTABLES sont traitées dans l'ordre. Changer l'ordre des lignes individuelles peut changer de manière significative le résultat. Deuxièmement, il y a des douzaines de routeurs supportés par DD-WRT et selon votre routeur et votre configuration, vous devrez peut-être modifier les commandes IPTABLES ci-dessus. Le script a fonctionné pour notre routeur et il utilise les commandes les plus larges et les plus simples possibles pour accomplir la tâche ainsi cela devrait fonctionner pour la plupart des routeurs. Si ce n'est pas le cas, nous vous recommandons fortement de rechercher votre modèle de routeur spécifique dans les forums de discussion DD-WRT et de voir si d'autres utilisateurs ont rencontré les mêmes problèmes que vous.
À ce stade, vous en avez terminé avec la configuration et êtes prêt à profiter de deux SSID et de tous les avantages associés à leur exécution. Vous pouvez facilement donner un mot de passe invité( et le modifier à volonté), configurer des règles de QoS pour le réseau invité, et autrement modifier et restreindre le réseau invité d'une manière qui n'affectera pas votre réseau principal.
