3Jul
Uw Wi-Fi delen met gasten is gewoon het beleefde ding om te doen, maar dat betekent niet dat u ze wijd open toegang tot uw volledige LAN wilt geven. Lees verder terwijl we u laten zien hoe u uw router instelt voor dubbele SSID's en een apart( en beveiligd) toegangspunt voor uw gasten creëert.
Waarom wil ik dit doen?
Er zijn verschillende zeer praktische redenen om uw thuisnetwerk in te stellen op dubbele toegangspunten( AP).
De reden met de meest praktische toepassing voor het grootste aantal mensen is eenvoudigweg het isoleren van uw thuisnetwerk zodat gasten geen toegang hebben tot dingen die u privé wilt houden. De standaardconfiguratie voor bijna elk Wi-Fi-thuistoegangspunt / router is om een enkel draadloos toegangspunt te gebruiken en iedereen die gemachtigd is om toegang tot dat toegangspunt te krijgen, krijgt toegang tot het netwerk alsof ze rechtstreeks via Ethernet op de AP zijn aangesloten.
Met andere woorden, als u uw vriend, buur, gast van het huis of geeft, ongeacht het
-wachtwoord voor uw wifi-toegangspunt, heeft u hen ook toegang gegeven tot uw netwerkprinter, eventuele open shares op uw netwerk, onbeveiligde apparaten op uwuw netwerk, enzovoort. Misschien wilde je ze gewoon hun e-mail laten controleren of online een game spelen, maar je hebt ze de vrijheid gegeven om overal in hun interne netwerk rond te dwalen.Hoewel de meerderheid van ons zeker geen kwaadwillende hackers voor vrienden heeft, wil dat nog niet zeggen dat het niet verstandig is om onze netwerken zo in te richten dat gasten blijven waar ze horen( aan de vrije toegang tot het internet van het hek)en kunnen niet gaan waar ze dat niet doen( op de thuisserver / persoonlijke zijde van het hek).
Een andere praktische reden voor het uitvoeren van een toegangspunt met twee SSID's is de mogelijkheid om niet alleen te beperken waar het gast-AP naartoe kan gaan, maar wanneer. Als u bijvoorbeeld een ouder bent en wilt beperken hoe laat uw kind op de computer kan blijven ronddobberen, kunt u zijn computer, tablet, enz. Op het secundaire toegangspunt plaatsen en beperkingen instellen voor internettoegang voor de hele sub-SID na, laten we zeggen, 9PM.
Wat heb ik nodig?
Onze tutorial van vandaag is gericht op het gebruik van een DD-WRT-compatibele router om dubbele SSID's te bereiken. Als zodanig heb je de volgende dingen nodig:
- 1 DD-WRT compatibele router met een geschikte hardwarerevisie( we zullen je laten zien hoe te controleren)
- 1 geïnstalleerd exemplaar van DD-WRT op de router
Dit is niet de enige manier omstel dubbele SSID's in voor uw thuisnetwerk. We gaan onze SSID's uitvoeren vanaf de alomtegenwoordige draadloze router van de Linksys WRT54G-serie. Als je niet de moeite wilt doen om aangepaste firmware op je oude router te flitsen en de extra configuratiestappen te doen, kun je in plaats daarvan:
- Een nieuwere router kopen die dual-SSID's direct uit de verpakking ondersteunt, zoals de ASUS RT-N66U.
- Koop een tweede draadloze router en configureer deze als een stand-alone toegangspunt.
Tenzij je al een router hebt die dual SSID's ondersteunt( in welk geval je deze tutorial kunt overslaan en alleen de handleiding voor je apparaat kunt lezen) zijn beide opties minder dan ideaal omdat je extra geld moet uitgeven en, in het gevalvan de tweede optie, doe een aantal extra configuraties, waaronder het instellen van het secundaire AP om niet te interfereren met en / of overlap met uw primaire toegangspunt.
In het licht van dat alles, waren we meer dan blij om de hardware te gebruiken die we al hadden( de Linksys WRT54G-serie draadloze router) en de uitgave van contant geld en extra wifi-netwerkaanpassingen over te slaan.
Hoe weet ik dat mijn router compatibel is?
Er zijn twee essentiële compatibiliteitselementen die u moet controleren om succes te hebben met deze zelfstudie. De eerste en meest elementaire is om te controleren of uw specifieke router DD-WRT-ondersteuning heeft. Je kunt hier de routerdatabase van de DD-WRT-wiki bezoeken om te controleren.
Nadat u hebt vastgesteld dat uw router compatibel is met DD-WRT, moeten we het revisienummer van de chip van uw router controleren. Als je bijvoorbeeld een heel oude Linksys-router hebt, kan deze op alle manieren een perfect bruikbare router zijn, maar de chip ondersteunt mogelijk geen dubbele SSID's( waardoor hij fundamenteel onverenigbaar is met de zelfstudie).
Er zijn twee graden van compatibiliteit met betrekking tot het revisienummer van de router. Sommige routers kunnen meerdere SSID's uitvoeren, maar ze kunnen de SSID's niet splitsen in verschillende absoluut unieke toegangspunten( bijvoorbeeld een uniek MAC-adres voor elke SSID).In sommige situaties kan dit problemen veroorzaken met sommige Wi-Fi-apparaten omdat ze in de war raken over welke SSID( aangezien ze allebei hetzelfde MAC-adres hebben) ze moeten gebruiken. Helaas is er geen manier om te voorspellen welke apparaten zich in je netwerk zullen misdragen, dus we kunnen niet raden om de techniek te vermijden die in deze tutorial wordt beschreven als je merkt dat je een apparaat hebt dat geen discrete SSID's ondersteunt.
U kunt het revisienummer controleren door een Google-zoekopdracht uit te voeren voor het specifieke model van uw router samen met het versienummer dat op het informatielabel staat( meestal te vinden aan de onderkant van de router), maar we hebben vastgesteld dat deze techniek onbetrouwbaar is( labels kunnen verkeerd worden toegepast, online gepubliceerde informatie met betrekking tot het model en de fabricagedatum kunnen onnauwkeurig zijn, enz.)
De meest betrouwbare manier om het revisienummer van de chip in uw router te controleren, is om de router daadwerkelijk te pollen om erachter te komen. Om dit te doen, moet u de volgende stappen uitvoeren. Open een telnet-client( een multifunctioneel programma zoals PuTTY of de standaard Windows Telnet-opdracht) en telnet naar het IP-adres van uw router( bijvoorbeeld 192.168.1.1).Meld u aan bij de router met uw beheerdersaanmelding en wachtwoord( houd er rekening mee dat u voor sommige routers, zelfs als u 'admin' en 'mypassword' intypt om u aan te melden bij de webgebaseerde beheerportal op de router, moet typen in 'root'"En" mypassword "om in te loggen via telnet).
Als u bent aangemeld bij de router, typt u de volgende opdracht bij de aanwijzing:
nvram show | grep corerev
Hiermee wordt het kernnummer van de chip( s) in uw router als volgt geretourneerd:
wl0_corerev = 9
wl_corerev =
Wat de bovenstaande uitgang betekent, is dat onze router één radio heeft( wl0, er is geen wl1) en dat de kernrevisie van die radiochip er negen is. Hoe interpreteer je de output? Het revisienummer, in relatie tot onze gids, betekent het volgende:
- 0-4 De router biedt geen ondersteuning voor meerdere SSID's( met unieke ID's of anderszins)
- 5-8 De router ondersteunt meerdere SSID's( maar niet met unieke ID's)
- 9+ De router ondersteunt meerdere SSID's( met unieke ID's)
Zoals u kunt zien aan de hand van onze bovenstaande opdrachtuitvoer, hadden we geluk. De chip van onze router is de laagste versie die meerdere SSID's met unieke ID's ondersteunt.
Nadat u hebt vastgesteld dat uw router meerdere SSID's kan ondersteunen, moet u DD-WRT installeren. Als je router is geleverd met DD-WRT of je hebt het al geïnstalleerd, fantastisch. Als u dit nog niet hebt gedaan, raden we aan de juiste versie van de DD-WRT-website te downloaden en onze zelfstudie te volgen: Zet uw router in een Super Powered Router met DD-WRT.
Naast onze tutorial kunnen we niet de nadruk leggen op de waarde van de uitgebreide en uitstekend onderhouden DD-WRT-wiki. Lees daar uw specifieke router en de praktische tips voor het flitsen van nieuwe firmware.
DD-WRT configureren voor meerdere SSID's
U hebt een compatibele router, u hebt DD-WRT erop geflitst, nu is het tijd om aan de slag te gaan met het instellen van die tweede SSID.Net zoals u altijd nieuwe firmware via een bekabelde verbinding moet flashen, raden we u ten zeerste aan om via een bekabelde verbinding te werken aan uw draadloze installatie, zodat de wijzigingen uw draadloze computer niet van het netwerk afdwingen.
Open uw webbrowser op een computer die via Ethernet op de router is aangesloten. Navigeer naar de standaard router-IP( meestal 198.168.1.1).Navigeer binnen de DD-WRT-interface naar Draadloos - & gt;Basisinstellingen( zoals te zien in de bovenstaande schermafbeelding).U kunt zien dat onze bestaande Wi-Fi AP de SSID "HTG_Office" heeft.
Klik onder aan de pagina in de sectie "Virtuele interfaces" op de knop Toevoegen. Het eerder lege gedeelte "Virtuele interfaces" wordt uitgebreid met dit voorgevulde item:
Deze virtuele interface wordt gekoppeld aan uw bestaande radiochip( let op de wl0.1 in de titel van het nieuwe item).Zelfs de steno in de SSID gaf dit aan, de "vap" aan het einde van de standaard SSID staat voor Virtual Access Point. Laten we de rest van de ingangen onder de nieuwe virtuele interface opsplitsen.
U kunt de SSID hernoemen naar wat u maar wilt. In overeenstemming met onze bestaande naamgevingsconventie( en om het leven van onze gasten gemakkelijk te maken) gaan we de SSID veranderen van de standaardinstelling naar "HTG_Guest" -dat onze belangrijkste wifi-AP "HTG_Office" is.
Laat draadloze SSID-uitzending ingeschakeld. Niet alleen doen veel oudere computers en Wi-Fi-apparaten niet erg leuk met geheime SSID's, maar een verborgen gastnetwerk is geen erg uitnodigend / nuttig gastnetwerk.
AP Isolatie is een beveiligingsinstelling die we naar eigen goeddunken zullen verlaten om in of uit te schakelen. Als u AP-isolatie inschakelt, is elke client in uw gast-wifi-netwerk volledig geïsoleerd van elkaar. Vanuit een oogpunt van beveiliging is dit geweldig, omdat het een kwaadwillende gebruiker ervan weerhoudt om te porren op de clients van andere gebruikers. Dat is echter meer een zorg voor bedrijfsnetwerken en openbare hotspots. Praktisch gezien betekent dat ook dat als je nichtje en neefje klaar zijn en ze een met wifi verbonden game willen spelen op hun Nintendo DS-eenheden, hun DS-eenheden elkaar niet kunnen zien. In de meeste thuis- en kleine kantoortoepassingen is er weinig reden om de AP's te isoleren.
De optie Onoverbrugd / overbrugd in Netwerkconfiguratie verwijst naar het al dan niet overbruggen van het wifi-toegangspunt naar het fysieke netwerk. Hoe contrairitief dit ook is, u moet het op Bridged laten staan. In plaats van de ontkoppeling van de routerfirmware( nogal onhandig) te laten verlopen, gaan we alles zelf handmatig overbruggen met een schoner en stabieler resultaat.
Nadat u uw SSID heeft gewijzigd en de instellingen hebt bekeken, klikt u op Opslaan.
Navigeer vervolgens naar Wireless - & gt;Draadloze beveiliging:
Standaard is er geen beveiliging op het tweede toegangspunt. U kunt het als zodanig tijdelijk laten voor testdoeleinden( we hebben de onze tot het einde opengelaten) om uzelf te beschermen tegen het intoetsen van het wachtwoord op uw testapparatuur. We raden echter niet aan om het permanent open te laten. Of u nu op dit punt open wilt laten of niet, u moet klikken op Opslaan en vervolgens op Instellingen toepassen voor de wijzigingen die we zowel in de vorige sectie als in deze hebben aangebracht. Wees geduldig, het kan tot 2 minuten duren voordat wijzigingen van kracht worden.
Nu is een goed moment om te bevestigen dat draadloze apparaten in de buurt zowel de primaire als de secundaire toegangspunten kunnen zien. Het openen van de Wi-Fi-interface op een smartphone is een geweldige manier om snel te controleren. Hier is de weergave van de Wi-Fi-configuratiepagina van onze Android-telefoon:
We kunnen nog geen verbinding maken met het secundaire toegangspunt, omdat we nog een paar wijzigingen aan de router moeten aanbrengen, maar het is altijd leuk om ze allebei in de lijst te zien.
De volgende stap is om het proces van het scheiden van de SSID's op het netwerk te beginnen door een uniek bereik van IP-adressen toe te wijzen aan de gast-Wi-Fi-apparaten.
Navigeer naar Setup - & gt;Networking. Klik in het gedeelte 'Overbruggen' op de knop Toevoegen.
Verander eerst de initiële slot in "br1", laat de rest van de waarden hetzelfde. U kunt het bovenstaande IP / Subnet-item nog niet zien. Klik op 'Instellingen toepassen'.De nieuwe brug bevindt zich in het gedeelte Overbruggen met de IP- en subnetsecties beschikbaar. Stel het IP-adres in op één waarde van het IP-adres van uw reguliere netwerk( bijvoorbeeld uw primaire netwerk is 192.168.1.1, dus maak deze waarde 192.168.2.1).Stel het subnetmasker in op 255.255.255.0.Klik nogmaals op 'Instellingen toepassen' onder aan de pagina.
Gastnetwerk aan Bridge toewijzen
Opmerking: met dank aan lezer Joel voor het wijzen op dit deel en ons de instructies te geven om toe te voegen aan de tutorial.
Klik onder "Assign to Bridge" op "Add".Selecteer de nieuwe brug die u in de eerste vervolgkeuzelijst hebt gemaakt en koppel deze aan de interface "wl0.1".
Klik nu op "Opslaan" en "Instellingen toepassen".
Nadat de wijzigingen zijn toegepast, bladert u nogmaals naar de onderkant van de pagina naar het gedeelte DHCPD.Klik op "Toevoegen".Schakel het eerste slot naar "br1".Laat de rest van de instellingen hetzelfde( zoals te zien in de onderstaande schermafbeelding).
Klik nog een keer op "Instellingen toepassen".Nadat u alle taken in de set-up hebt voltooid - & gt;Netwerkpagina moet goed zijn voor connectiviteit en DHCP-toewijzing.
Opmerking: Als het wifi-toegangspunt dat u configureert voor dubbele SSID's piggy-backing is op een ander apparaat( bijv. U hebt twee Wi-Fi-routers bij u thuis of op kantoor om uw dekking uit te breiden en degene die u de gast-SSID instelt)hoger is # 2 in de keten) moet je de DHCP instellen in het gedeelte Services. Als dit klinkt als uw installatie, is het tijd om naar de Services te gaan - & gt;Sectie Services.
In de services-sectie moeten we een klein beetje code toevoegen aan de DNSMasq-sectie zodat de router op de juiste manier dynamische IP-adressen zal toewijzen aan de apparaten die verbinding maken met het gastnetwerk. Blader door het DNSMasq-gedeelte. Voeg in het vak "Extra DNSMasq-opties" de volgende code in( minus de # opmerkingen die de functionaliteit van elke regel toelichten):
# Schakelt DHCP op br1 in
interface = br1
# Stel de standaardgateway voor br1-clients in
dhcp-option =br1,3.192.168.2.1
# Stel het DHCP-bereik en de standaardliftijd van 24 uur in voor br1-clients
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Klik onderaan op "Apply Settings"van de pagina.
Of u techniek één of twee hebt gebruikt, wacht een paar minuten om verbinding te maken met uw nieuwe gast-SSID.Wanneer u verbinding maakt met de gast-SSID, controleert u uw IP-adres. U moet een IP hebben binnen het bereik dat we hebben aangegeven met het bovenstaande. Nogmaals, het is handig om je smartphone te gebruiken om te controleren:
Alles ziet er goed uit. Het secundaire AP wijst dynamische IP's toe in een geschikt bereik, we kunnen het internet op - we noteren hier een groot succes.
Het enige probleem is echter dat het secundaire AP nog steeds toegang heeft tot de bronnen van het primaire netwerk. Dit betekent dat alle netwerkprinters, netwerkshares en dergelijke nog steeds zichtbaar zijn( je kunt het nu testen, proberen een netwerkshare te vinden van je primaire netwerk op het secundaire toegangspunt).
Als u wilt dat -gasten op het secundaire toegangspunt toegang hebben tot deze dingen( en deze volgen samen met de zelfstudie zodat u andere dual-SSID-taken kunt doen, zoals de bandbreedte van uw gasten beperken of wanneer ze het internet mogen gebruiken), danzijn effectief gedaan met de tutorial.
We stellen ons voor dat de meesten van jullie zouden willen voorkomen dat uw gasten rond uw netwerk rondsluipen en hen voorzichtig naar de drukker op Facebook en e-mail leiden. In dat geval moeten we het proces voltooien door de secundaire AP los te koppelen van het fysieke netwerk.
Navigeer naar beheer - & gt;Commando's. Je ziet een gebied met het label "Command Shell".Plak de volgende opdrachten, zonder de # comment lines, in het bewerkbare gebied:
# Verlaat gasttoegang tot fysiek netwerk
iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP
iptables -I FORWARD-i br0 -o br1 -m state --state NEW -j DROP
# Verlaat gasttoegang tot de configuratie-GUI / poorten van de router
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT - weigeren-met tcp-reset
iptables -I INPUT -i br1 -p tcp --dash ssh -j REJECT --ject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT -reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --ject-with tcp-reset
Klik op "Save Firewall" en start de router opnieuw op.
Deze extra firewallregels maken het eenvoudig om alles op de twee bruggen( het privénetwerk en het openbare / gastnetwerk) te stoppen en om elk contact tussen een client in het gastnetwerk en de telnet-, SSH- of webserverpoorten opde router( waardoor ze dus helemaal geen toegang meer hebben tot de configuratiebestanden van de router).
Een woord over het gebruik van de opdrachtshell en de opstart-, afsluit- en firewall-scripts. Eerst worden de IPTABLES-opdrachten op volgorde verwerkt. Het wijzigen van de volgorde van de individuele regels kan de uitkomst aanzienlijk veranderen. Ten tweede zijn er tientallen op tientallen routers ondersteund door DD-WRT en afhankelijk van uw specifieke router en configuratie moet u mogelijk de bovenstaande IPTABLES-opdrachten aanpassen. Het script werkte voor onze router en het gebruikt de breedste en eenvoudigste mogelijke commando's om de taak uit te voeren, dus het zou voor de meeste routers moeten werken. Als dit niet het geval is, raden we u aan in de DD-WRT-discussieforums naar uw specifieke routermodel te zoeken en te kijken of andere gebruikers dezelfde problemen hebben ondervonden.
Op dit punt ben je klaar met de configuratie en klaar om te genieten van dubbele SSID's en alle voordelen die gepaard gaan met het uitvoeren ervan. U kunt eenvoudig een gastwachtwoord geven( en het naar wens wijzigen), QoS-regels voor het gastnetwerk instellen en anders het gastnetwerk wijzigen en beperken op manieren die uw primaire netwerk op zijn minst niet beïnvloeden.