3Jul

Kako omogućiti pristupnu točku gostiju na bežičnoj mreži

Dijeljenje Wi-Fi s gostima je samo pristojna stvar za napraviti, ali to ne znači da želite dati im široki pristup cijelom LAN-u. Pročitajte kako vam pokazujemo kako postaviti usmjerivač za dvojne SSID-ove i stvoriti zasebnu( i osiguranu) pristupnu točku za svoje goste.

Zašto to želim učiniti?

Postoji nekoliko vrlo praktičnih razloga za želeći postaviti vašu kućnu mrežu da imaju dvostruke pristupne točke( AP).

Razlog zbog kojeg je većina praktičnih aplikacija za većinu ljudi jednostavno izolirala vašu kućnu mrežu tako da gosti ne mogu pristupiti stvarima koje želite ostati privatni. Zadana konfiguracija za gotovo svaku kućnu Wi-Fi pristupnu točku / usmjerivač je koristiti jednu bežičnu pristupnu točku i svi ovlašteni za pristup tom AP-u imaju pristup mreži kao da su priključeni izravno preko AP preko Ethernet.

Drugim riječima, ako dajete svom prijatelju, susjedu, gostu kuce ili -u tko god je lozinku za Wi-Fi AP, dali im pristup mrežnom pisaču, sve otvorene dionice na vašoj mreži, neosigurane uređaje namrežu itd. Možda ste samo htjeli dopustiti im da provjeravaju e-poštu ili igraju igru ​​na mreži, ali ste im dali slobodu da lutaju bilo gdje na svojoj unutarnjoj mreži.

Sada, iako većina nas sigurno nemaju zlonamjernih hakera za prijatelje, to ne znači da nije pametno postaviti naše mreže tako da gosti ostanu tamo gdje pripadaju( na besplatnoj internetskoj strani ograde)i ne mogu ići tamo gdje ne( na kućnom poslužitelju / osobnim dijelovima strane ograde).

Drugi praktični razlog za pokretanje AP s dva SSID-a je mogućnost ne samo ograničavanja gdje gost AP može ići, već kada. Ako ste roditelj, na primjer, želi ograničiti koliko kasno vaše dijete može ostati gore, na računalu možete staviti svoje računalo, tablet, itd. Na sekundarnu AP i postaviti ograničenja pristupa internetu za cijeli pod-SSSID nakon, recimo, 9:00.

Što trebam?

Naš vodič danas je usredotočen na korištenje DD-WRT kompatibilnog usmjerivača za postizanje dvojnih SSID-ova. Kao takav trebat će vam sljedeće:

  • 1 DD-WRT kompatibilni usmjerivač s odgovarajućom hardverskom revizijom( pokazat ćemo vam kako provjeriti)
  • 1 instalirana kopija DD-WRT na navedenom routeru

Ovo nije jedini način dapostavite dvojne SSID-ove za kućnu mrežu. Idemo pokrenuti naše SSID-ove s sveprisutnog Wireless Router serije Linksys WRT54G.Ako ne želite proći kroz gnjavažu treperenja prilagođenog firmvera na starom usmjerivaču i izvršavajući dodatne korake konfiguracije, mogli biste umjesto toga:

  • Kupiti noviji usmjerivač koji podržava dvojno SSID-ove odmah izvan okvira kao što je ASUS RT-N66U.
  • Kupite drugi bežični usmjerivač i konfigurirajte ga kao samostalnu pristupnu točku.

Ako već niste vlasnik usmjerivača koji podržava dvojne SSID-ove( u tom slučaju možete preskočiti ovaj vodič i samo pročitati priručnik za svoj uređaj) obje ove opcije su manje nego idealne jer morate potrošiti dodatni novac i, u slučajuod druge opcije, napravite skup dodatnih konfiguracija, uključujući postavljanje sekundarnog AP-a da ne ometate i / ili preklapate s primarnim AP-om.

U svjetlu svega toga bili smo sretni da koristimo hardver koji smo već imali( Wireless Router za Linksys WRT54G) i preskočite troškove novca i dodatnu uštedu Wi-Fi mreže.

Kako mogu znati da je moj usmjernik kompatibilan?

Postoje dva ključna elementa kompatibilnosti koje trebate provjeriti kako biste uspjeli ostvariti ovaj vodič.Prva, i većina elementarna, je provjeriti je li vaš određeni usmjerivač podržao DD-WRT.Ovdje možete posjetiti DD-WRT wiki's Router Database ovdje za provjeru.

Kada utvrdite da je vaš usmjerivač kompatibilan s DD-WRT, moramo provjeriti broj revizije čipa vašeg usmjerivača. Ako imate stvarno staru vezu za Linksys, na primjer, to može biti savršen uslužni usmjerivač na svaki način, ali čip možda ne podržava dvojne SSID-ove( što je temeljno nespojivo s tutorialom).

Postoji dva stupnja kompatibilnosti s obzirom na broj revizije usmjerivača. Neki usmjerivači mogu učiniti više SSID-ova, ali ne mogu podijeliti SSID-ove u različite apsolutno jedinstvene pristupne točke( npr. Jedinstvenu MAC adresu za svaki SSID).U nekim situacijama to može uzrokovati probleme s nekim Wi-Fi uređajima, budući da se zbunjuju za SSID( jer oba imaju istu MAC adresu) koju bi trebali koristiti. Nažalost, ne postoji način predvidjeti koji će se uređaji nepravilno upotrebljavati na vašoj mreži, tako da ne možemo odbaciti preporučujemo izbjegavanje tehnike navedene u ovom vodiču ako ustanovite da imate uređaj koji ne podržava diskretne SSID-ove.

Broj revizije možete provjeriti obavljanjem Google pretraživanja za određeni model vašeg usmjerivača zajedno s brojem verzije tiskanog na naljepnici s informacijama( obično na donjoj strani usmjerivača), ali smo pronašli ovu tehniku ​​nepouzdanom( oznake se mogu pogrešno primijeniti, informacije objavljene na mreži u vezi s modelom i datumom proizvodnje mogu biti netočne, itd.)

Najpouzdaniji način da provjerite broj revizije čipa unutar vašeg usmjerivača je zapravo ispitati usmjerivač kako bi saznali. Da biste to učinili, trebate izvršiti sljedeće korake. Otvorite telnet klijent( bilo višenamjenski program poput PuTTY ili osnovne naredbe za Windows Telnet) i telnet na IP adresu vašeg usmjerivača( npr. 192.168.1.1).Prijavite se na usmjerivač pomoću administratorske prijave i lozinke( budite svjesni da za neke usmjerivače čak i ako upišete "admin" i "mypassword" da se prijavite na web-based portal za upravljanje na usmjerivaču, možda ćete morati upisati "root"I" moju zaporku "za prijavu putem telnet-a).

Nakon što se prijavite na usmjerivač, upišite sljedeću naredbu u trenutku:

nvram show | grep corerev

Ovo će vratiti osnovni broj revizije čipa u vašem usmjerivaču u sljedećem formatu:

wl0_corerev = 9
wl_corerev =

Što znači da naša rutera ima jedan radio( wl0, nema wl1) i da je glavna revizija tog radijskog čipa 9. Kako protumačiti izlaz? Broj revizije, u odnosu na naš vodič, znači sljedeće:

  • 0-4 Router ne podržava više SSID-ova( s jedinstvenim identifikatorima ili na drugi način)
  • 5-8 Router podržava više SSID-ova( ali ne i sa jedinstvenim identifikatorima)
  • 9+ Usmjerivač podržava više SSID-ova( s jedinstvenim identifikatorima)

Kao što možete vidjeti iz našeg izlaznog naredbe gore, imali smo sreću. Naš usmjerivač čip je najniža revizija koja podržava više SSID-ova s ​​jedinstvenim identifikatorima.

Kad utvrdite da vaš usmjerivač može podržati više SSID-ova, morat ćete instalirati DD-WRT.Ako je vaš usmjerivač isporučen s DD-WRT-om ili ste ga već instalirali, fantastično. Ako ga još niste instalirali, preporučujemo da preuzmete odgovarajuću verziju s DD-WRT web stranice i pratite zajedno s našim vodičem: Preokrenite svoj početni usmjerivač u Super-Powered usmjerivač s DD-WRT-om.

Osim našeg udžbenika, ne možemo naglasiti vrijednost opsežnog i izvrsno održavanog DD-WRT wiki. Pročitajte o vašem određenom usmjerivaču i najbolje prakse za tamo bljesak novog firmvera.

Konfiguriranje DD-WRT-a za više SSID-ova

Imate kompatibilni ruter, koji ste bljeskali DD-WRT, sada je vrijeme da započnete s postavljanjem tog drugog SSID-a. Baš kao što uvijek trebate bljeskati novi firmver preko žične veze, preporučujemo da radite na bežičnom podešavanju preko žičnog povezivanja tako da izmjene ne bi prisilile bežično računalo na mrežu.

Otvorite web preglednik na računalu spojenom na usmjerivač preko Etherneta. Prijeđite na zadani usmjerivač IP( obično 198.168.1.1).Unutar DD-WRT sučelja, idite na Wireless - & gt;Osnovne postavke( kao što se vidi gore na slici).Možete vidjeti da naš postojeći Wi-Fi AP ima SSID "HTG_Office".

Na dnu stranice, u odjeljku "Virtualni sučelja" kliknite gumb Dodaj. Prethodno prazan odjeljak "Virtualna sučelja" proširit će se ovim prepopuliranim unosom:

Ovo virtualno sučelje prenosi se na vaš postojeći radio čip( zabilježite wl0.1 u naslovu novog unosa).Čak i stenografski prikaz SSID-a to označava, "vap" na kraju zadanog SSID-a označava Virtualnu pristupnu točku. Prekinimo ostatak unosa u novom virtualnom sučelju.

Možete preimenovati SSID na ono što želite. U skladu s našom postojećom konvencijom o imenovanju( i lakšem životu na našim gostima) promijenit ćemo SSID od zadanog na "HTG_Guest" - napominjemo da je naš glavni Wi-Fi AP "HTG_Office".

Ostavite omogućeno bežično SSID emitiranje. Ne samo da mnoga starija računala i uređaji s Wi-Fi uređajima ne igraju jako lijepo sa tajnim SSID-ovima, ali skrivena gostujuća mreža nije vrlo pozivajući / korisni gostujuća mreža.

AP Izolacija je sigurnosna postavka koju ćemo ostaviti po vlastitom nahođenju da biste omogućili ili onemogućili. Ako omogućite AP Isolation, svaki klijent na vašoj bežičnoj Wi-Fi mreži bit će potpuno izoliran jedni od drugih. Sa sigurnosnog stajališta to je sjajno jer zadržava zlonamjernog korisnika da se pokreće na klijentima drugih korisnika. To je više zabrinutost za korporativne mreže i javne vrućih mjesta. Praktično govoreći, to također znači da ako vaša nećakinja i nećak stoje i žele igrati Wi-Fi povezanu igru ​​na Nintendo DS jedinicama, njihove DS jedinice neće se moći vidjeti. U većini kućnih i malih uredskih aplikacija nema razloga za izoliranje AP-a.

Opcija Neraspodijeljena / premoštena u mrežnoj konfiguraciji odnosi se na to da li će Wi-Fi AP biti premošten ili ne na fizičkoj mreži. Kako je protuzakonito kao što je to, morate ga ostaviti postavljenom na Bridged. Umjesto da pustimo da upravljački program usmjerivača( prilično nespretno) riješi nepovezan proces, ručno ćemo sve isprazniti sa čistijim i stabilnijim ishodom.

Nakon što promijenite SSID i pregledate postavke, kliknite Spremi.

Dalje krenuti preko Wireless - & gt;Bežična sigurnost:

Prema zadanim postavkama ne postoji sigurnost na drugom AP-u. Možete ga ostaviti kao takav privremeno u svrhu testiranja( ostavili smo otvoren do samog kraja) kako bismo spasili ključnu lozinku na testnim uređajima. Međutim, ne preporučujemo da ga trajno otvorite. Bez obzira jeste li odlučili ostaviti ga otvorenom ili ne, trebate kliknuti Spremi, a zatim Primijeni Postavke za izmjene koje smo napravili kako u prethodnom odjeljku tako i da će ovaj stupiti na snagu. Budite strpljivi, može potrajati do 2 minute da bi promjene postale učinkovite.

Sada je sjajno vrijeme za potvrdu da Wi-Fi uređaji u blizini mogu vidjeti primarne i sekundarne AP-ove. Otvaranje Wi-Fi sučelja na pametnom telefonu odličan je način za brzu provjeru. Evo vlasničkog pregleda s web stranice konfiguracije Wi-Fi mreže našeg Android telefona:

Ne možemo se povezati s sekundarnim AP-om još dok trebamo napraviti još nekoliko izmjena usmjerivaču, ali uvijek je lijepo vidjeti ih na popisu.

Sljedeći korak je početak procesa razdvajanja SSID-ova na mreži dodjeljivanjem jedinstvenog raspona IP adresa gostujućim Wi-Fi uređajima.

Idite do Postavke - & gt;Umrežavanje. U odjeljku "Bridging" kliknite gumb Dodaj.

Prvo promijenite početno mjesto na "br1", ostavite ostatak vrijednosti isti. Nećete moći vidjeti unos IP / podmreže koji je već vidljiv. Kliknite "Primijeni postavke".Novi most bit će u odjeljku premošćivanje s dostupnim IP i podmrežnim sekcijama. Postavite IP adresu na jednu vrijednost izvan IP adrese vaših redovitih mreža( npr. Primarna mreža je 192.168.1.1, stoga unesite ovu vrijednost 192.168.2.1).Podesite masku podmreže na 255.255.255.0.Ponovno kliknite "Primijeni postavke" pri dnu stranice.

Dodijeli gostujuću mrežu na most

Napomena: zahvaljujući čitatelju Joelu za ukazivanje ovog dijela i davanje uputa za dodavanje udžbeniku.

U odjeljku "Dodijeli na most" kliknite "Dodaj".Odaberite novi most koji ste stvorili s prvog padajućeg izbornika i uparite ga s sučeljem "wl0.1".

Sada kliknite "Save" i "Apply Settings".

Nakon što se promjene primijene, pomaknite se do dna stranice još jednom u odjeljak DHCPD.Kliknite "Dodaj".Prvo mjesto umetnite u "br1".Ostavite ostatak postavki isti( što se vidi na slici zaslona u nastavku).

Još jednom kliknite "Postavke za primanje".Kada dovršite sve zadatke u postavkama - & gt;Mrežna stranica bi trebala biti dobra za povezivanje i dodjelu DHCP-a.

Napomena: Ako je Wi-Fi AP koji konfigurirate za dvojne SSID-ove prilično je podržana na drugom uređaju( npr. Imate dva Wi-Fi usmjerivača u vašem domu ili uredu kako biste produžili pokrivenost i postavili gost SSIDup je # 2 u lancu) morat ćete postaviti DHCP u odjeljku Usluge. Ako ovo zvuči kao vaše postavljanje, vrijeme je za navigaciju do usluga - & gt;Odjeljak Usluge.

U sekciji usluga moramo dodati malo koda u DNSMasq odjeljak, tako da će usmjerivač ispravno dodijeliti dinamične IP adrese na uređaje koji se povezuju s gostujućom mrežom. Pomaknite se do odjeljka DNSMasq. U okviru "Dodatne DNSMasq mogućnosti" zalijepite sljedeći kod( minus # komentari koji objašnjavaju funkcionalnost svake linije):

# Omogućuje DHCP na br1
sučelje = br1
# Postavite zadani pristupnik br1 klijentima
dhcp-option =br1,3,192,168.2.1
# Postavite DHCP raspon i zadano vrijeme najma od 24 sata za br1 klijente
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h

Kliknite na "Apply Settings" na dnustranice.

Bilo da ste koristili tehniku ​​jedan ili dva, pričekajte nekoliko minuta da se povežete s novim SSID-om za goste. Kada se povežete s gostom SSID-a, provjerite svoju IP adresu. Trebali biste imati IP unutar raspona navedenog gore. Opet, korisno je koristiti svoj smartphone za provjeru:

Sve izgleda dobro. Sekundarni AP dodjeljuje dinamičke IP adrese u odgovarajućem rasponu, možemo doći na Internet - ovdje stvaramo bilješku, veliki uspjeh.

Jedini je problem, međutim, da sekundarni AP i dalje ima pristup resursima primarne mreže. To znači da su svi umreženi pisači, mrežni dionice i takvi još uvijek vidljivi( možete ga testirati sada, pokušajte pronaći mrežni udio iz primarne mreže na sekundarnom AP-u).

Ako želi da gosti na sekundarnom AP-u imaju pristup tim stvarima( i prate zajedno s udžbenikom tako da možete raditi i druge zadatke s dvojnim SSID-om kao što su ograničavanje propusne širine gostiju ili vremena kada im je dopušteno koristiti internet)učinkovito se provodi s tutorialom.

Zamislimo da većina od vas želi zadržati svoje goste da se pokreću oko vaše mreže i lagano ih stave prema prianjanju na Facebook i e-poštu. U tom slučaju trebamo dovršiti postupak uklanjanjem sekundarne AP iz fizičke mreže.

Idite do administratora - & gt;Naredbe. Vidjet ćete područje označeno s "Command Shell".Zalijepite sljedeće naredbe, bez redaka komentara, u područje koje se može uređivati:

#Removes pristup gostu fizičkoj mreži
iptables -I PREDOZI -i br1 -o br0 -m stanje -state NOVO -j DROP
iptables -I PRETHODNO-i br0 -o br1 -m stanje -state NOVO -j DROP
#Removes gost pristup router's config GUI / portovi
iptables -I INPUT -i br1 -p tcp -dport telnet -j REJECT -s tcp-reset
iptables -I INPUT -i br1 -p tcp -dport ssh -j REJECT - izbacivanje - s tcp-reset
iptables -I INPUT -i br1 -p tcp --port www -j REJECT -odbaci-s tcp-reset
iptables -I INPUT -i br1 -p tcp -dport https -j REJECT - izbacivanje - s tcp-reset

Kliknite "Save Firewall" i ponovno pokrenite usmjerivač.

Ovi dodatni sustavi vatrozida jednostavno zaustavljaju sve što je na dva mosta( privatna mreža i javna / gostna mreža) od razgovora i odbacuje bilo koji kontakt između klijenta na gosta mreži i telnet, SSH ili portovi web poslužiteljausmjerivač( čime ih ograničava da pokušaju pristupiti konfiguracijskim datotekama usmjerivača).

Riječ o korištenju naredbene ljuske i pokretanja, shutdown i firewall skripte. Prvo, IPTABLES naredbe obrađuju se redom. Promjena reda pojedinih linija može značajno promijeniti ishod. Drugo, ima desetaka desetaka usmjerivača koje podržava DD-WRT i ovisno o vašem specifičnom usmjerivaču i konfiguraciji, možda ćete trebati ugađati gore navedene naredbe IPTABLES.Skripta je funkcionirala za naš usmjerivač i koristi najšire i najjednostavnije moguće naredbe za postizanje zadatka tako da treba raditi za većinu usmjerivača. Ako to ne učinite, pozivamo vas da na DD-WRT forumu traľite svoj specifični model usmjerivača i provjerite imaju li drugi korisnici iste probleme.

U ovom trenutku ste gotovi s konfiguracijom i spremni za uživanje dvostrukih SSID-ova i svih pogodnosti koje dolaze s njima. Možete jednostavno dati lozinku za gost( i promijeniti je prema volji), postaviti QoS pravila za gostujuću mrežu i na neki drugi način mijenjati i ograničiti gostujuću mrežu na način koji neće barem utjecati na primarnu mrežu.