3Jul
Dzielenie się Wi-Fi z gośćmi jest po prostu grzeczną rzeczą do zrobienia, ale to nie znaczy, że chcesz dać im szeroki dostęp do całej sieci LAN.Czytaj dalej, ponieważ pokazujemy, jak skonfigurować router pod kątem podwójnych identyfikatorów SSID i utworzyć oddzielny( i zabezpieczony) punkt dostępu dla gości.
Dlaczego chcę to zrobić?
Istnieje kilka bardzo praktycznych powodów, dla których warto skonfigurować sieć domową tak, aby miała dwa punkty dostępu( AP).
Powodem najbardziej praktycznej aplikacji dla jak największej liczby osób jest izolowanie sieci domowej, aby goście nie mogli uzyskać dostępu do rzeczy, które pozostaną prywatne. Domyślną konfiguracją prawie każdego domowego punktu dostępowego / routera Wi-Fi jest korzystanie z jednego bezprzewodowego punktu dostępowego, a każdy uprawniony do dostępu do tego punktu dostępowego ma dostęp do sieci tak, jakby był podłączony do AP poprzez Ethernet.
Innymi słowy, jeśli podasz swojemu przyjacielowi, sąsiadowi, gościowi domowemu lub
ktokolwiek hasło do twojego AP Wi-Fi, masz również dostęp do drukarki sieciowej, wszelkich otwartych udziałów w twojej sieci, niezabezpieczonych urządzeń natwoja sieć i tak dalej. Być może po prostu chciałeś pozwolić im sprawdzić pocztę e-mail lub zagrać w grę online, ale dałeś im swobodę poruszania się w dowolnym miejscu w sieci wewnętrznej.Teraz, gdy większość z nas na pewno nie ma złośliwych hakerów dla znajomych, nie oznacza to, że nie jest rozsądne zakładanie naszych sieci, aby goście pozostali w miejscu, do którego należą( po darmowej stronie dostępu do Internetu)i nie mogą iść tam, gdzie tego nie robią( na stronie serwera / akcji osobistej po stronie płotu).
Innym praktycznym powodem uruchomienia AP z dwoma identyfikatorami SSID jest możliwość nie tylko ograniczenia miejsca, w którym może przebywać gościnny punkt dostępowy, ale także czasu. Jeśli na przykład jesteś rodzicem, który chce ograniczyć czas, w którym Twoje dziecko może pozostać na komputerze, możesz umieścić komputer, tablet itp. Na drugorzędnym AP i ustawić ograniczenia dostępu do Internetu dla całego sub-SSID po, powiedzmy, 9 PM.
Czego potrzebuję?
Nasz poradnik koncentruje się obecnie na używaniu routera kompatybilnego z DD-WRT w celu osiągnięcia podwójnych identyfikatorów SSID.W związku z tym będziesz potrzebować następujących rzeczy:
- 1 Router zgodny z DD-WRT z odpowiednią wersją sprzętu( pokażemy, jak to sprawdzić)
- 1 zainstalowana kopia DD-WRT na wspomnianym routerze
To nie jest jedyny sposób naskonfiguruj podwójne identyfikatory SSID dla swojej sieci domowej. Będziemy uruchamiać nasze identyfikatory SSID z wszechobecnego routera bezprzewodowego Linksys WRT54G series. Jeśli nie chcesz przejść przez problem flashowania niestandardowego oprogramowania na starym routerze i wykonywania dodatkowych czynności konfiguracyjnych, możesz zamiast tego:
- Kup nowszy router, który obsługuje podwójne identyfikatory SSID zaraz po wyjęciu z pudełka, takie jak ASUS RT-N66U.
- Kup drugi router bezprzewodowy i skonfiguruj go jako samodzielny punkt dostępowy.
Jeśli nie masz już routera obsługującego podwójne identyfikatory SSID( w takim przypadku możesz pominąć ten samouczek i po prostu przeczytać instrukcję obsługi urządzenia) obie te opcje są poniżej ideału, ponieważ musisz wydać dodatkowe pieniądze, aw przypadkudrugiej opcji, wykonaj kilka dodatkowych ustawień, w tym ustawienie dodatkowego punktu dostępowego, tak aby nie zakłócał i / lub nakładał się z Twoim podstawowym AP.
W związku z tym, byliśmy bardziej niż szczęśliwi, mogąc używać sprzętu, który już mieliśmy( router bezprzewodowy serii Linksys WRT54G) i pomijamy nakłady pieniężne i dodatkowe ulepszenia sieci Wi-Fi.
Skąd mam wiedzieć, że mój router jest zgodny?
Istnieją dwa krytyczne elementy kompatybilności, które należy sprawdzić, aby odnieść sukces w tym samouczku. Pierwszym i najbardziej podstawowym zadaniem jest sprawdzenie, czy dany router ma obsługę DD-WRT.Możesz odwiedzić bazę danych routera wiki DD-WRT, aby sprawdzić.
Po ustaleniu, że twój router jest zgodny z DD-WRT, musimy sprawdzić numer wersji układu routera. Jeśli masz na przykład naprawdę stary router Linksys, może to być perfekcyjnie obsługiwany router pod każdym względem, ale chip może nie obsługiwać podwójnych identyfikatorów SSID( co powoduje, że jest całkowicie niezgodny z samouczkiem).
Istnieją dwa stopnie zgodności w odniesieniu do numeru wersji routera. Niektóre routery mogą wykonywać wiele identyfikatorów SSID, ale nie mogą rozdzielać identyfikatorów SSID na odrębne absolutnie unikalne punkty dostępu( na przykład unikalny adres MAC dla każdego identyfikatora SSID).W niektórych sytuacjach może to powodować problemy z niektórymi urządzeniami Wi-Fi, ponieważ nie rozumieją, który SSID( ponieważ oba mają ten sam adres MAC), powinny go używać.Niestety, nie ma sposobu, aby przewidzieć, które urządzenia będą źle działać w Twojej sieci, więc nie możemy się rozładować, zalecamy unikanie techniki opisanej w tym samouczku, jeśli znajdziesz urządzenie, które nie obsługuje dyskretnych identyfikatorów SSID.
Możesz sprawdzić numer wersji, wykonując wyszukiwanie w Google dla konkretnego modelu routera wraz z numerem wersji wydrukowanym na etykiecie informacyjnej( zwykle znajduje się na spodzie routera), ale uznaliśmy tę technikę za niewiarygodną( etykiety mogą być niewłaściwie stosowane, informacje publikowane online dotyczące modelu i daty produkcji mogą być niedokładne itp.)
Najbardziej niezawodnym sposobem sprawdzenia numeru wersji chipa wewnątrz routera jest odpytywanie routera, aby się dowiedzieć.W tym celu wykonaj następujące czynności. Otwórz klienta telnet( program wielofunkcyjny, taki jak PuTTY lub podstawowe polecenie Windows Telnet) i telnet na adres IP routera( np. 192.168.1.1).Zaloguj się do routera przy użyciu loginu i hasła administratora( pamiętaj, że w przypadku niektórych routerów, nawet jeśli wpiszesz "admin" i "mypassword", aby zalogować się do internetowego portalu zarządzania na routerze, konieczne może być wpisanie "root""I" mypassword "do logowania przez telnet).
Po zalogowaniu się do routera wpisz następujące polecenie w wierszu polecenia:
nvram show | grep corerev
Zwróci numer wersji głównej chipa( ów) w routerze w następującym formacie:
wl0_corerev = 9
wl_corerev =
To, co powyższe wyjście oznacza, że nasz router ma jedno radio( wl0, nie ma wl1) i że podstawowa wersja tego układu radiowego to 9. Jak interpretujesz wyjście? Numer wersji, w odniesieniu do naszego przewodnika, oznacza:
- 0-4 Router nie obsługuje wielu identyfikatorów SSID( z unikalnymi identyfikatorami lub w inny sposób)
- 5-8 Router obsługuje wiele identyfikatorów SSID( ale nie z unikalnymi identyfikatorami)
- 9+ Router obsługuje wiele identyfikatorów SSID( z unikalnymi identyfikatorami)
Jak widać z powyższego wyniku polecenia, udało nam się.Układ naszego routera jest najniższą wersją, która obsługuje wiele identyfikatorów SSID z unikalnymi identyfikatorami.
Po ustaleniu, że twój router może obsługiwać wiele identyfikatorów SSID, musisz zainstalować DD-WRT.Jeśli twój router został dostarczony z DD-WRT lub już go zainstalowałeś, jest fantastyczny. Jeśli jeszcze go nie zainstalowałeś, zalecamy pobranie odpowiedniej wersji ze strony internetowej DD-WRT i następujące po naszym samouczku: Zmień swój domowy router w super-zasilany router z DD-WRT.
Oprócz naszego samouczka, nie możemy podkreślić wartości obszernego i doskonale utrzymanego wiki DD-WRT.Przeczytaj na swoim routerze i sprawdź, jakie są najlepsze sposoby na umieszczenie tam nowego oprogramowania.
Konfiguracja DD-WRT dla wielu SSID
Masz kompatybilny router, błysnąłeś do niego DD-WRT, teraz czas rozpocząć konfigurację drugiego identyfikatora SSID.Tak jak zawsze powinieneś zawsze przesyłać nowe oprogramowanie układowe za pośrednictwem połączenia przewodowego, zdecydowanie zalecamy pracę nad konfiguracją bezprzewodową przez połączenie przewodowe, aby zmiany nie zmusiły komputera bezprzewodowego do odłączenia go od sieci.
Otwórz przeglądarkę internetową na komputerze podłączonym do routera przez Ethernet. Przejdź do domyślnego adresu IP routera( zazwyczaj 198.168.1.1).W interfejsie DD-WRT przejdź do opcji Bezprzewodowe - & gt;Podstawowe ustawienia( jak widać na powyższym zrzucie ekranu).Widać, że nasz istniejący AP Wi-Fi ma identyfikator SSID "HTG_Office".
W dolnej części strony, w sekcji "Virtual Interfaces" kliknij przycisk Add. Wcześniej pusta sekcja "Virtual Interfaces" rozszerzy się o tę wstępnie wypełnioną pozycję:
Ten wirtualny interfejs jest podłączony do istniejącego układu radiowego( zwróć uwagę na wl0.1 w tytule nowego wpisu).Nawet skrót w SSID to wskazał, "vap" na końcu domyślnego SSID oznacza Virtual Access Point. Podzielmy pozostałe wpisy pod nowym interfejsem wirtualnym.
Możesz zmienić nazwę SSID na cokolwiek chcesz. Zgodnie z naszą obecną konwencją nazewnictwa( i aby ułatwić życie naszym gościom) zmienimy SSID z domyślnego na "HTG_Guest" - pamiętajmy, że naszym głównym punktem dostępowym Wi-Fi jest "HTG_Office".
Zostaw włączony bezprzewodowy transmisję SSID.Nie tylko wiele starszych komputerów i urządzeń obsługujących Wi-Fi nie gra bardzo dobrze z tajnymi identyfikatorami SSID, ale ukryta sieć gości nie jest bardzo zachęcającą / użyteczną siecią gości.
AP Isolation to ustawienie zabezpieczeń, które zostawiamy według własnego uznania, aby włączyć lub wyłączyć.Jeśli włączysz izolację AP, każdy klient w sieci Wi-Fi gościa będzie całkowicie odizolowany od siebie. Z punktu widzenia bezpieczeństwa jest to świetne, ponieważ powstrzymuje złośliwego użytkownika przed podsłuchiwaniem klientów innych użytkowników. To raczej niepokój sieci korporacyjnych i publicznych hotspotów. Praktycznie mówiąc, oznacza to również, że jeśli twoja siostrzenica i siostrzeniec są skończone i chcą grać w grę połączoną z Wi-Fi na swoich urządzeniach Nintendo DS, ich jednostki DS nie będą się widzieć.W większości aplikacji dla domu i małego biura niewiele jest powodów, aby izolować punkty dostępowe.
Opcja Unbridged / Bridged w konfiguracji sieci odnosi się do tego, czy punkt dostępowy Wi-Fi będzie zmostkowany czy nie do sieci fizycznej. Jakkolwiek jest to sprzeczne z intuicją, musisz ustawić ją na Bridged. Zamiast pozwolić na to, aby oprogramowanie układowe routera( raczej niezgrabnie) rozłączało się, będziemy ręcznie rozłączać wszystko samodzielnie, z czystszym i stabilniejszym rezultatem.
Po zmianie identyfikatora SSID i sprawdzeniu ustawień kliknij przycisk Zapisz.
Następnie przejdź do opcji Wireless - & gt;Bezpieczeństwo sieci bezprzewodowej:
Domyślnie na drugim AP nie ma zabezpieczeń.Możesz go tymczasowo pozostawić w celach testowych( zostawiliśmy otwarty do końca), aby uchronić się przed wpisaniem hasła na urządzeniach testowych. Nie zalecamy jednak pozostawienia go na stałe. Niezależnie od tego, czy zdecydujesz się ją opuścić, czy nie, w tym momencie musisz kliknąć Zapisz, a następnie Zastosuj ustawienia dla zmian, które wprowadziliśmy zarówno w poprzedniej sekcji, jak i tej, która odniosła skutek. Bądź cierpliwy, zmiana może zająć do 2 minut.
Teraz jest świetny czas, aby potwierdzić, że pobliskie urządzenia Wi-Fi mogą widzieć zarówno podstawowe, jak i dodatkowe punkty dostępowe. Otwarcie interfejsu Wi-Fi na smartfonie to świetny sposób na szybkie sprawdzenie. Oto widok ze strony konfiguracji Wi-Fi na telefonie z Androidem:
Nie możemy połączyć się z dodatkowym AP, ponieważ musimy wprowadzić kilka zmian w routerze, ale zawsze dobrze jest zobaczyć je na liście.
Następnym krokiem jest rozpoczęcie procesu rozdzielania identyfikatorów SSID w sieci poprzez przypisanie unikalnego zakresu adresów IP do urządzeń Wi-Fi gościa.
Przejdź do Setup - & gt;Networking. W sekcji "Mostkowanie" kliknij przycisk Dodaj.
Najpierw zmień początkowe gniazdo na "br1", pozostawiając pozostałe wartości tak samo. Nie będziesz w stanie jeszcze zobaczyć wpisu IP / Subnet powyżej. Kliknij "Zastosuj ustawienia".Nowy most znajdzie się w sekcji Bridging z dostępnymi sekcjami IP i Subnet. Ustaw adres IP na jedną wartość z IP zwykłej sieci( np. Twoja główna sieć to 192.168.1.1, więc ustaw tę wartość 192.168.2.1).Ustaw maskę podsieci na 255.255.255.0.Kliknij "Zastosuj ustawienia" ponownie u dołu strony.
Przypisywanie sieci gości do mostu
Uwaga: dziękuję czytelnikowi Joelowi za wskazanie tej części i przekazanie nam instrukcji dodawania do samouczka.
W "Przydziel do mostka" kliknij "Dodaj".Wybierz nowy most utworzony z pierwszego menu i sparuj go z interfejsem "wl0.1".
Teraz kliknij "Zapisz" i "Zastosuj ustawienia".
Po wprowadzeniu zmian ponownie przewiń do dołu strony do sekcji DHCPD.Kliknij "Dodaj".Przełącz pierwsze gniazdo na "br1".Pozostałe ustawienia pozostawiamy bez zmian( jak widać na zrzucie ekranu poniżej).
Kliknij "Zastosuj ustawienia" jeszcze raz. Po zakończeniu wszystkich zadań w Instalatorze - & gt;Strona sieci powinna być dobra, aby przejść do połączenia i przypisania DHCP.
Uwaga: Jeśli punkt dostępowy Wi-Fi AP, który konfigurujesz dla podwójnych identyfikatorów SSID, jest piggy backing na innym urządzeniu( np. Masz dwa routery Wi-Fi w domu lub biurze, aby rozszerzyć swój zasięg i ten, dla którego ustawiasz SSID gościado góry jest numerem 2 w łańcuchu) będziesz musiał skonfigurować DHCP w sekcji Usługi. Jeśli to brzmi jak twoja konfiguracja, czas przejść do Usług - & gt;Sekcja usług.
W sekcji usługi musimy dodać trochę kodu do sekcji DNSMasq, aby router poprawnie przypisał dynamiczne adresy IP do urządzeń łączących się z siecią gościa. Przewiń w dół sekcję DNSMasq. W polu "Dodatkowe opcje DNSMasq" wklej następujący kod( minus # komentarze wyjaśniające funkcjonalność każdej linii):
# Włącza DHCP w br1
interface = br1
# Ustaw domyślną bramę dla klientów br1
dhcp-option =br1,3,192.168.2.1
# Ustaw zakres DHCP i domyślny czas dzierżawy na 24 godziny dla klientów br1
zakres dhcp = br 1 192.168.2.100,192.168.2.150,255,225.255.0,24h
Kliknij "Zastosuj ustawienia" u dołustrony.
Niezależnie od tego, czy użyto techniki jeden, czy dwa, odczekaj kilka minut, aby połączyć się z nowym identyfikatorem SSID gościa. Po połączeniu się z gościem SSID, sprawdź swój adres IP.Powinieneś mieć adres IP w zakresie określonym przez nas powyżej. Ponownie użyj smartfona, aby sprawdzić:
Wszystko wygląda dobrze. Drugorzędny punkt dostępu przypisuje dynamiczne adresy IP w odpowiednim zakresie, możemy uzyskać dostęp do Internetu - tutaj odnotowujemy ogromny sukces.
Jedyny problem polega jednak na tym, że dodatkowy AP wciąż ma dostęp do zasobów sieci podstawowej. Oznacza to, że wszystkie drukarki sieciowe, udziały sieciowe itp. Są nadal widoczne( możesz przetestować je teraz, spróbuj znaleźć udział sieciowy z głównej sieci w drugorzędnym AP).
Jeśli chce, aby goście na dodatkowym AP mieli dostęp do tych rzeczy( i postępują zgodnie z samouczkiem, aby móc wykonywać inne zadania z podwójną identyfikacją SSID, takie jak ograniczenie przepustowości gościa lub czasy, w których mogą korzystać z Internetu), to"Skutecznie zrobić z samouczka.
Wyobrażamy sobie, że większość z was chciałaby, aby Twoi goście nie kręcili się po twojej sieci i łagodnie strzegli ich, aby trzymać się Facebooka i e-maili. W takim przypadku musimy zakończyć proces odłączając pomocniczy punkt dostępowy od sieci fizycznej.
Przejdź do Administracja - & gt;Polecenia. Zobaczysz obszar oznaczony "Command Shell".Wklej następujące polecenia, sans # linie komentarza, do obszaru edytowalnego:
# Odzyskiwanie dostępu gościa do sieci fizycznej
iptables -I FORWARD -i br1 -o br0 -m stan --stan NEW -j DROP
iptables -I FORWARD-i br0 -o br1 -m stan - stan NEW -j DROP
#Usuwanie dostępu gościa do routera config GUI / ports
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-z tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-z tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT -reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Kliknij "Save Firewall" i zrestartuj router.
Te dodatkowe reguły firewalla po prostu zatrzymują wszystko na dwóch mostach( sieci prywatnej i publicznej / sieci gościnnej) przed mówieniem, a także odrzucają jakikolwiek kontakt między klientem w sieci gościa a portami Telnet, SSH lub serweraroutera( w ten sposób ograniczając dostęp do plików konfiguracyjnych routera w ogóle).
Słowo dotyczące korzystania z powłoki poleceń oraz skryptów uruchamiania, zamykania i zapory. Najpierw komendy IPTABLES są przetwarzane w kolejności. Zmiana kolejności poszczególnych linii może znacznie zmienić wynik. Po drugie, istnieją dziesiątki routerów obsługiwanych przez DD-WRT, a w zależności od konkretnego routera i konfiguracji konieczne może być dostosowanie powyższych poleceń IPTABLES.Skrypt pracował dla naszego routera i używa najszerszych i najprostszych możliwych poleceń, aby wykonać to zadanie, więc powinno działać dla większości routerów. Jeśli tak nie jest, gorąco zachęcamy do wyszukania konkretnego modelu routera na forum dyskusyjnym DD-WRT i sprawdzenia, czy inni użytkownicy napotkali te same problemy, co Ty.
W tym momencie zakończysz konfigurację i będziesz mógł korzystać z podwójnych identyfikatorów SSID i wszystkich korzyści, jakie niesie ze sobą ich uruchomienie. Możesz łatwo podać hasło gościa( i zmienić je dowolnie), skonfigurować zasady QoS dla sieci gościa i w inny sposób zmodyfikować i ograniczyć sieć gościa w sposób, który nie wpłynie w najmniejszym stopniu na twoją sieć podstawową.
