3Jul
La condivisione del Wi-Fi con gli ospiti è la cosa giusta da fare, ma ciò non significa che si desideri dare loro un accesso aperto all'intera LAN.Continua a leggere mentre ti mostriamo come configurare il tuo router per i due SSID e creare un punto di accesso separato( e sicuro) per i tuoi ospiti.
Perché voglio farlo?
Ci sono molti motivi molto pratici per voler configurare la propria rete domestica con due punti di accesso( AP).
Il motivo con l'applicazione più pratica per il maggior numero di persone consiste semplicemente nell'isolare la rete domestica in modo che gli ospiti non possano accedere alle cose che si desidera rimanere private. La configurazione predefinita per quasi ogni punto di accesso / router Wi-Fi di casa consiste nell'utilizzare un singolo punto di accesso wireless e chiunque sia autorizzato ad accedere a tale AP riceve l'accesso alla rete come se fosse collegato direttamente all'AP tramite Ethernet.
In altre parole se offri al tuo amico, vicino di casa, ospite di casa o
chiunque abbia la password per l'AP Wi-Fi, hai anche dato loro l'accesso alla stampante di rete, eventuali condivisioni aperte sulla rete, dispositivi non protetti sula tua rete, e così via. Potresti aver semplicemente voluto lasciare che controllassero le loro e-mail o giocare online, ma hai dato loro la libertà di vagare ovunque volessero sulla tua rete interna.Ora, mentre la maggior parte di noi certamente non ha hacker maliziosi per gli amici, ciò non significa che non sia prudente impostare le nostre reti in modo che gli ospiti rimangano al loro posto( sul lato di accesso gratuito ad internet della recinzione)e non possono andare dove non lo fanno( sul server di casa / lato delle condivisioni personali del recinto).
Un altro motivo pratico per l'esecuzione di un AP con due SSID è la possibilità non solo di limitare dove l'AP guest può andare, ma quando. Se sei un genitore, ad esempio, che vuole limitare il ritardo con cui il tuo bambino può restare sveglio sul computer, puoi mettere il computer, il tablet, ecc. Sull'AP secondario e impostare le restrizioni sull'accesso a Internet per l'intero sub-SSID dopo, per esempio, 9PM.
Di cosa ho bisogno?
Il nostro tutorial di oggi si concentra sull'utilizzo di un router compatibile DD-WRT per ottenere due SSID.Per questo motivo sono necessari i seguenti elementi: router compatibile
- 1 DD-WRT con una revisione hardware appropriata( ti mostreremo come verificare)
- 1 copia installata di DD-WRT su detto router
Questo non è l'unico modo perconfigurare due SSID per la rete domestica. Stiamo andando a far funzionare i nostri SSID dall'esterno Router Wireless serie Linksys WRT54G.Se non si desidera passare attraverso il fastidio del firmware personalizzato lampeggiante sul vecchio router e facendo i passaggi di configurazione aggiuntivi, è possibile invece:
- Acquistare un router più recente che supporti SSID doppi immediatamente come la ASUS RT-N66U.
- Acquistare un secondo router wireless e configurarlo come access point autonomo.
A meno che non si possieda già un router che supporta SSID doppi( nel qual caso è possibile saltare questo tutorial e leggere solo il manuale del dispositivo) entrambe queste opzioni non sono l'ideale in quanto è necessario spendere denaro extra e, nel casodella seconda opzione, fare un po 'di configurazione extra incluso l'impostazione dell'AP secondario per non interferire e / o sovrapporsi all'AP principale.
Alla luce di tutto ciò, siamo stati più che felici di utilizzare l'hardware che avevamo già( il router wireless della serie Linksys WRT54G) e saltare l'esborso di denaro e extra tweaking della rete Wi-Fi.
Come faccio a sapere che il mio router è compatibile?
Ci sono due elementi di compatibilità critici che è necessario verificare per avere successo con questo tutorial. Il primo, e il più elementare, è verificare che il tuo router specifico abbia il supporto DD-WRT.Puoi visitare il Database dei router del wiki DD-WRT qui per verificare.
Una volta stabilito che il router è compatibile con DD-WRT, è necessario controllare il numero di revisione del chip del router. Se si dispone di un router Linksys molto vecchio, ad esempio, potrebbe essere un router utile perfezionabile in ogni modo, ma il chip potrebbe non supportare due SSID( il che lo rende fondamentalmente incompatibile con il tutorial).
Esistono due gradi di compatibilità in relazione al numero di revisione del router. Alcuni router possono eseguire più SSID ma non possono suddividere gli SSID in distinti punti di accesso assolutamente unici( ad esempio, un indirizzo MAC univoco per ciascun SSID).In alcune situazioni ciò può causare problemi con alcuni dispositivi Wi-Fi in quanto vengono confusi su quale SSID( poiché entrambi hanno lo stesso indirizzo MAC) che dovrebbero usare. Sfortunatamente non c'è modo di prevedere quali dispositivi si comportano male sulla rete, quindi non possiamo esagerare raccomandando di evitare la tecnica descritta in questo tutorial se si trova un dispositivo che non supporta SSID discreti.
È possibile controllare il numero di revisione eseguendo una ricerca Google per il modello specifico del router insieme al numero di versione stampato sull'etichetta informativa( di solito si trova sul lato inferiore del router) ma abbiamo trovato questa tecnica non affidabile( le etichette possono essere applicate erroneamente, le informazioni pubblicate online relative al modello e la data di produzione possono essere inaccurate, ecc.)
Il modo più affidabile per verificare il numero di revisione del chip all'interno del router è quello di interrogare effettivamente il router per scoprirlo. Per fare ciò è necessario eseguire i seguenti passaggi. Aprire un client telnet( un programma multiuso come PuTTY o il comando base di Windows Telnet) e telnet all'indirizzo IP del router( ad esempio 192.168.1.1).Accedere al router utilizzando l'accesso e la password dell'amministratore( tenere presente che per alcuni router, anche se si digita "admin" e "mypassword" per accedere al portale di gestione basato sul web sul router, potrebbe essere necessario digitare "root""E" Mypassword "per accedere tramite telnet).
Una volta effettuato l'accesso al router, digitare il seguente comando al prompt:
nvram show | grep corerev
Ciò restituirà il numero di revisione principale del / i chip / i nel router nel seguente formato:
wl0_corerev = 9
wl_corerev =
Ciò che l'output sopra indica è che il nostro router ha una radio( wl0, non c'è wl1) e che la revisione di base di quel chip radio è 9. Come interpreti l'output? Il numero di revisione, in relazione alla nostra guida, indica quanto segue:
- 0-4 Il router non supporta SSID multipli( con identificatori univoci o altro)
- 5-8 Il router supporta SSID multipli( ma non con identificatori univoci)
- 9+ Il router supporta SSID multipli( con identificatori univoci)
Come potete vedere dal nostro output di comando sopra, siamo stati fortunati. Il chip del nostro router è la revisione più bassa che supporta più SSID con identificatori univoci.
Una volta stabilito che il router è in grado di supportare più SSID, è necessario installare DD-WRT.Se il router è stato spedito con DD-WRT o l'hai già installato, fantastico. Se non lo hai già installato, ti consigliamo di scaricare la versione appropriata dal sito web DD-WRT e di seguire il nostro tutorial: Trasforma il tuo router di casa in un router super-alimentato con DD-WRT.
Oltre al nostro tutorial, non possiamo sottolineare il valore del wiki DD-WRT esteso e ottimamente mantenuto. Leggi sul tuo router particolare e le migliori pratiche per l'aggiornamento di un nuovo firmware.
Configurazione DD-WRT per SSID multipli
Hai un router compatibile, hai lampeggiato DD-WRT, ora è il momento di iniziare a configurare il secondo SSID.Proprio come si dovrebbe sempre flashare il nuovo firmware su una connessione cablata, si consiglia vivamente di lavorare sulla configurazione wireless su una connessione cablata in modo che le modifiche non costringano il computer wireless fuori dalla rete.
Aprire il browser Web su un computer collegato al router tramite Ethernet. Passare all'IP router predefinito( in genere 198.168.1.1).All'interno dell'interfaccia DD-WRT, vai a Wireless - & gt;Impostazioni di base( come mostrato nella schermata sopra).Puoi vedere che il nostro AP Wi-Fi esistente ha l'SSID "HTG_Office".
Nella parte inferiore della pagina, nella sezione "Interfacce virtuali", fare clic sul pulsante Aggiungi. La sezione "Interfacce Virtuali" precedentemente vuota si espanderà con questa voce prepopolata:
Questa interfaccia virtuale è trasportata su un chip radio esistente( notare wl0.1 nel titolo della nuova voce).Anche la stenografia nel SSID lo indica, il "vap" alla fine dell'SSID predefinito sta per Virtual Access Point. Analizziamo il resto delle voci sotto la nuova interfaccia virtuale.
È possibile rinominare il SSID in base a ciò che si desidera. In linea con la nostra convenzione di denominazione esistente( e per semplificare la vita ai nostri ospiti), cambieremo il SSID dall'impostazione predefinita a "HTG_Guest" - il nostro AP Wi-Fi principale è "HTG_Office".
Lascia abilitato Broadcast SSID wireless. Non solo molti computer più vecchi e dispositivi Wi-Fi non funzionano molto bene con SSID segreti, ma una rete ospite nascosta non è una rete ospite molto invitante / utile. L'isolamento AP
è un'impostazione di sicurezza che lasceremo a nostra discrezione abilitare o disabilitare. Se abiliti l'isolamento AP, ogni client sulla rete Wi-Fi del tuo ospite sarà completamente isolato l'uno dall'altro. Dal punto di vista della sicurezza questo è ottimo, in quanto impedisce a un utente malintenzionato di dare un'occhiata ai client di altri utenti. Tuttavia, questa è più una preoccupazione per le reti aziendali e gli hotspot pubblici. In pratica, questo significa anche che se tua nipote e nipote sono finiti e vogliono giocare a un gioco collegato Wi-Fi sulle loro unità Nintendo DS, le loro unità DS non saranno in grado di vedersi. Nella maggior parte delle applicazioni domestiche e di piccoli uffici non c'è motivo di isolare gli AP.
L'opzione Unbridged / Bridged nella configurazione di rete si riferisce al fatto che l'AP Wi-Fi sia collegato o meno alla rete fisica. Per quanto poco intuitivo, devi lasciarlo impostato su Bridged. Invece di lasciare che il firmware del router gestisca( piuttosto goffamente) il processo di scollegamento, stiamo per disancorare manualmente tutto noi stessi con un risultato più pulito e più stabile.
Una volta modificato l'SSID e rivisto le impostazioni, fare clic su Salva.
Successivamente vai su Wireless - & gt;Sicurezza wireless:
Di default non c'è sicurezza sul secondo AP.Puoi lasciarlo temporaneamente come tale a scopo di test( abbiamo lasciato il nostro aperto fino alla fine) per salvarti dall'introduzione della password sui tuoi dispositivi di test. Tuttavia, non raccomandiamo di lasciarlo definitivamente aperto. Se decidi di lasciarlo aperto o meno a questo punto, devi fare clic su Salva e poi su Applica impostazioni per le modifiche apportate sia nella sezione precedente che in quella attuale. Siate pazienti, possono essere necessari fino a 2 minuti affinché le modifiche abbiano effetto.
Ora è un ottimo momento per confermare che i dispositivi Wi-Fi nelle vicinanze possono vedere sia gli AP primari che secondari. L'apertura dell'interfaccia Wi-Fi su uno smartphone è un ottimo modo per controllare rapidamente. Ecco la vista dalla pagina di configurazione Wi-Fi del nostro telefono Android:
Non siamo ancora in grado di connettersi all'AP secondario perché abbiamo bisogno di apportare alcune altre modifiche al router, ma è sempre bello vederle entrambe nell'elenco.
Il passo successivo è iniziare il processo di separazione degli SSID sulla rete assegnando un intervallo univoco di indirizzi IP ai dispositivi Wi-Fi guest.
Vai a Imposta - & gt;Networking. Sotto la sezione "Bridging", fai clic sul pulsante Aggiungi.
Innanzitutto, modifica lo slot iniziale in "br1", lasciando il resto dei valori lo stesso. Non sarai ancora in grado di vedere la voce IP / Sottorete vista sopra ancora. Fai clic su "Applica impostazioni".Il nuovo bridge sarà nella sezione Bridging con le sezioni IP e Subnet disponibili. Imposta l'indirizzo IP su un valore diverso dall'IP della rete normale( ad esempio, la tua rete principale è 192.168.1.1, quindi imposta questo valore 192.168.2.1).Impostare la subnet mask su 255.255.255.0.Fai clic di nuovo su "Applica impostazioni" nella parte inferiore della pagina.
Assegna la rete ospite al bridge
Nota: grazie al lettore Joel per aver segnalato questa parte e avendoci dato le istruzioni per aggiungere al tutorial.
Sotto "Assegna a Bridge" fai clic su "Aggiungi".Seleziona il nuovo bridge che hai creato dal primo menu a discesa e accoppialo con l'interfaccia "wl0.1".
Ora fai clic su "Salva" e "Applica impostazioni".
Dopo aver applicato le modifiche, scorrere di nuovo fino alla fine della pagina nella sezione DHCPD.Clicca "Aggiungi".Passa il primo slot a "br1".Lascia il resto delle impostazioni allo stesso modo( come si vede nello screenshot qui sotto).
Fare clic su "Applica impostazioni" ancora una volta. Una volta completate tutte le attività nel programma di installazione - & gt;La pagina di rete dovrebbe essere utile per connettività e assegnazione DHCP.
Nota: se l'AP Wi-Fi che stai configurando per SSID doppi è piggy back su un altro dispositivo( ad esempio, hai due router Wi-Fi in casa o in ufficio per estendere la copertura e quello che stai impostando il SSID ospitein su è # 2 nella catena) è necessario impostare il DHCP nella sezione Servizi. Se questo sembra il tuo setup, è tempo di navigare verso i Servizi - & gt;Sezione servizi.
Nella sezione servizi è necessario aggiungere un po 'di codice alla sezione DNSMasq in modo che il router assegni correttamente gli indirizzi IP dinamici ai dispositivi che si collegano alla rete ospite. Scorri verso il basso la sezione DNSMasq. Nella casella "Opzioni DNSMasq aggiuntive", incolla il seguente codice( meno i # commenti che spiegano la funzionalità di ogni riga):
# Abilita DHCP su br1
interface = br1
# Imposta il gateway predefinito per i client br1
dhcp-option =br1,3,192.168.2.1
# Imposta l'intervallo DHCP e il tempo di lease predefinito di 24 ore per i client br1
dhcp-range = br1,192.168.2.100.192.168.2.150,255.255.255.0,24h
Fare clic su "Applica impostazioni" in bassodella pagina.
Sia che tu abbia usato la tecnica uno o due, attendi qualche minuto per connetterti al tuo nuovo SSID guest. Quando ti connetti al SSID guest, controlla il tuo indirizzo IP.Dovresti avere un IP all'interno dell'intervallo specificato in precedenza. Di nuovo, è comodo usare lo smartphone per controllare:
Tutto sembra a posto. L'AP secondario sta assegnando IP dinamici in un intervallo appropriato, siamo in grado di accedere a Internet, stiamo facendo un appunto qui, un enorme successo.
L'unico problema, tuttavia, è che l'AP secondario ha ancora accesso alle risorse della rete primaria. Ciò significa che tutte le stampanti in rete, le condivisioni di rete e simili sono ancora visibili( è possibile testarlo ora, provare a trovare una condivisione di rete dalla rete principale sull'AP secondario).
Se desidera che i guest sull'AP secondario abbiano accesso a queste cose( e seguano il tutorial in modo da poter eseguire altre attività dual-SSID come limitare la larghezza di banda del guest o le volte in cui è consentito utilizzare Internet), alloraè fatto efficacemente con il tutorial.
Immaginiamo che molti di voi vorrebbero impedire agli ospiti di curiosare nella propria rete e portarli delicatamente verso Facebook e email. In tal caso, è necessario completare il processo scollegando l'AP secondario dalla rete fisica.
Passa ad Amministrazione - & gt;Comandi. Vedrai un'area denominata "Command Shell".Incolla i seguenti comandi, senza le righe di commento #, nell'area modificabile:
#Rimuove l'accesso degli ospiti alla rete fisica
iptables -I FORWARD -i br1 -o br0 -m stato --stato NEW -j DROP
iptables -I FORWARD-i br0 -o br1 -m stato --stato NEW -j DROP
#Rimuove l'accesso degli ospiti alla GUI / alle porte del router config
iptables -I INPUT -i br1 -p tcp -dporta telnet -j REJECT --reject-con tcp-reset
iptables -I INPUT -i br1 -p tcp -dporta ssh -j REJECT --reject-con tcp-reset
iptables -I INPUT -i br1 -p tcp -dporta www -j REJECT -reject-con tcp-reset
iptables -I INPUT -i br1 -p tcp -dport https -j REJECT --reject-con tcp-reset
Fare clic su "Salva firewall" e riavviare il router.
Queste regole aggiuntive del firewall bloccano semplicemente tutto sui due bridge( la rete privata e la rete pubblica / ospite) dal parlare e rifiutano qualsiasi contatto tra un client sulla rete ospite e le porte telnet, SSH o server web suil router( restringendoli così dal tentativo di accedere ai file di configurazione del router).
Una parola sull'uso della shell dei comandi e degli script di avvio, arresto e firewall. Innanzitutto, i comandi IPTABLES vengono elaborati in ordine. Cambiare l'ordine delle linee individuali può cambiare in modo significativo il risultato. In secondo luogo, ci sono dozzine su dozzine di router supportati da DD-WRT e, a seconda del router e della configurazione specifici, potrebbe essere necessario modificare i comandi IPTABLES di cui sopra. Lo script ha funzionato per il nostro router e utilizza i comandi più ampi e più semplici possibili per eseguire l'operazione in modo che funzioni per la maggior parte dei router. In caso contrario, ti consigliamo vivamente di cercare il tuo modello di router specifico nei forum di discussione DD-WRT e vedere se altri utenti hanno riscontrato gli stessi problemi che hai.
A questo punto hai finito con la configurazione e sei pronto per goderti i SSID duali e tutti i vantaggi che derivano dalla loro esecuzione.È possibile distribuire facilmente una password guest( e modificarla a piacere), configurare le regole QoS per la rete ospite e, in caso contrario, modificare e limitare la rete ospite in modi che non influiscano minimamente sulla rete principale.