3Jul

Como habilitar um ponto de acesso de convidado na sua rede sem fio

Compartilhar seu Wi-Fi com os hóspedes é apenas a coisa mais educada a fazer, mas isso não significa que você queira dar-lhes acesso aberto à sua LAN inteira. Leia em como mostramos como configurar seu roteador para SSIDs duplos e criar um ponto de acesso separado( e seguro) para seus convidados.

Por que eu quero fazer isso?

Existem vários motivos muito práticos para querer configurar sua rede doméstica para ter pontos de acesso duplos( AP).

O motivo com a aplicação mais prática para o maior número de pessoas é simplesmente isolar sua rede doméstica para que os visitantes não possam acessar as coisas que deseja permanecer privadas. A configuração padrão para quase todos os pontos de acesso / roteador de acesso Wi-Fi é usar um único ponto de acesso sem fio e qualquer pessoa autorizada a acessar esse AP tem acesso à rede como se estivesse conectada diretamente no AP via Ethernet.

Em outras palavras, se você der ao seu amigo, vizinho, convidado da casa ou quem quer que seja a senha para o seu Wi-Fi AP, você também lhes deu acesso à sua impressora de rede, quaisquer compartilhamentos abertos na sua rede, dispositivos não protegidos emsua rede, e assim por diante. Você pode ter querido deixá-los verificar seu e-mail ou jogar um jogo online, mas você deu-lhes a liberdade de roaming em qualquer lugar que eles desejam em sua rede interna.

Agora, embora a maioria de nós certamente não tenha hackers maliciosos para amigos, isso não significa que não é prudente configurar nossas redes para que os hóspedes permaneçam onde elas pertençam( no lado de acesso gratuito à internet da cerca)e não pode ir para onde não o fazem( no servidor doméstico / partes de compartilhamento pessoal da cerca).

Outro motivo prático para a execução de um AP com dois SSIDs é a capacidade de restringir não apenas o lugar onde o AP visitante pode ir, mas quando. Se você é um dos pais, por exemplo, que quer restringir o atraso em que seu filho pode permanecer preso no computador, você poderia colocar seu computador, tablet, etc. no AP secundário e definir restrições no acesso à internet para todo o subtítulo-SSID depois, digamos, 9PM.

O que eu preciso?

Nosso tutorial hoje está focado em usar um roteador compatível com DD-WRT para alcançar SSIDs duplos. Como tal, você precisará das seguintes coisas:

  • 1 roteador compatível com DD-WRT com uma revisão de hardware apropriada( nós mostraremos como verificar)
  • 1 cópia instalada de DD-WRT no referido roteador

Esta não é a única maneira deconfigure SSIDs duplos para sua rede doméstica. Nós iremos executar nossos SSIDs fora do onipresente roteador sem fio da série Linksys WRT54G.Se você não quiser passar pelo incômodo de usar o firmware personalizado em seu roteador antigo e fazer as etapas de configuração extras, você poderia:

  • . Compre um roteador mais novo que ofereça suporte a SSID duplos diretamente da caixa, como o ASUS RT-N66U.
  • Compre um segundo roteador sem fio e configure-o como um ponto de acesso autônomo.

A menos que você já possua um roteador que suporte dual SSIDs( caso em que você pode ignorar este tutorial e apenas ler o manual do seu dispositivo), ambas as opções são menos do que ideais na medida em que você precisa gastar dinheiro extra e, no casoda segunda opção, faça um monte de configurações extras, incluindo a configuração do AP secundário para não interferir e / ou se sobrepor ao seu AP primário.

À luz de tudo isso, ficamos felizes em usar o hardware que já tínhamos( o roteador sem fio da série Linksys WRT54G) e ignorar o desembolso de dinheiro e ajustes adicionais da rede Wi-Fi.

Como eu sei que meu roteador é compatível?

Existem dois elementos de compatibilidade críticos que você precisa verificar para ter sucesso com este tutorial. O primeiro e o mais elementar é verificar se o seu roteador específico possui suporte a DD-WRT.Você pode visitar o banco de dados do roteador wiki do DD-WRT aqui para verificar.

Uma vez que você estabeleceu que seu roteador é compatível com o DD-WRT, precisamos verificar o número de revisão do chip do roteador. Se você tiver um roteador Linksys realmente antigo, por exemplo, pode ser um roteador melhorável de todos os modos, mas o chip pode não suportar SSID duplos( o que o torna fundamentalmente incompatível com o tutorial).

Existem dois graus de compatibilidade em relação ao número de revisão do roteador. Alguns roteadores podem fazer múltiplos SSIDs, mas eles não podem dividir os SSIDs em pontos de acesso absolutamente exclusivos( por exemplo, um endereço MAC exclusivo para cada SSID).Em algumas situações, isso pode causar problemas com alguns dispositivos Wi-Fi à medida que eles ficam confusos quanto a qual SSID( uma vez que ambos têm o mesmo endereço MAC) que devem usar. Infelizmente, não há como prever quais dispositivos se comportam mal em sua rede para que não possamos descartar recomendamos que você evite a técnica descrita neste tutorial se você encontrar um dispositivo que não suporta SSIDs discretos.

Você pode verificar o número da revisão executando uma pesquisa do Google para o modelo específico do seu roteador, juntamente com o número da versão impresso na etiqueta da informação( normalmente encontrado na parte inferior do roteador), mas achamos que essa técnica não é confiável( os rótulos podem ser mal aplicados, as informações postadas on-line em relação ao modelo e a data de fabricação podem ser imprecisas, etc.)

A maneira mais confiável de verificar o número de revisão do chip dentro do seu roteador é realmente pesquisar o roteador para descobrir. Para fazer isso, você precisa executar as seguintes etapas. Abra um cliente telnet( um programa multi-propósito como PuTTY ou o comando básico do Windows Telnet) e telnet para o endereço IP do seu roteador( por exemplo, 192.168.1.1).Faça login no roteador usando o login e a senha do administrador( lembre-se de que, para alguns roteadores, mesmo que você digite "admin" e "mypassword" para fazer login no portal de gerenciamento baseado na web no roteador, talvez seja necessário digitar "root""E" mypassword "para fazer login via telnet).

Depois de iniciar sessão no roteador, digite o seguinte comando no prompt:

nvram show | grep corerev

Isso retornará o número de revisão do núcleo do( s) chip( s) em seu roteador no seguinte formato:

wl0_corerev = 9
wl_corerev =

O que a saída acima significa é que nosso roteador possui um rádio( wl0, não há wl1) e que a revisão do núcleo desse chip de rádio é 9. Como você interpreta a saída? O número de revisão, em relação ao nosso guia, significa o seguinte:

  • 0-4 O roteador não suporta múltiplos SSIDs( com identificadores exclusivos ou outros)
  • 5-8 O roteador suporta vários SSIDs( mas não com identificadores exclusivos)
  • 9+ O roteador suporta múltiplos SSIDs( com identificadores exclusivos)

Como você pode ver a partir do nosso comando de saída acima, tivemos sorte. O chip do nosso roteador é a revisão mais baixa que suporta múltiplos SSIDs com identificadores exclusivos.

Uma vez que você determinou que seu roteador pode suportar múltiplos SSIDs, você precisará instalar o DD-WRT.Se o seu roteador enviado com DD-WRT ou você já instalou, fantástico. Se você ainda não o instalou, recomendamos baixar a versão apropriada do site da DD-WRT e acompanhar o nosso tutorial: Transforme seu roteador doméstico em um roteador super-alimentado com DD-WRT.

Além do nosso tutorial, não podemos enfatizar o valor da extensa e excelentemente mantida DD-WRT wiki. Leia o seu roteador específico e as melhores práticas para piscar um novo firmware para ele lá.

Configurando DD-WRT para vários SSIDs

Você possui um roteador compatível, você ativou o DD-WRT, agora é hora de começar a configurar o segundo SSID.Assim como você deve sempre piscar novo firmware através de uma conexão com fio, recomendamos encarecidamente que funcione em sua configuração sem fio em uma conexão com fio para que as mudanças não forçam o seu computador sem fio para fora da rede.

Abra seu navegador da Web em um computador conectado ao roteador via Ethernet. Navegue até o IP padrão do roteador( normalmente 198.168.1.1).Dentro da interface DD-WRT, navegue até Wireless - & gt;Configurações básicas( como visto na captura de tela acima).Você pode ver que nosso AP Wi-Fi existente possui o SSID "HTG_Office".

Na parte inferior da página, na seção "Interfaces virtuais", clique no botão Adicionar. A seção de "Interfaces Virtuais", anteriormente vazias, expandirá com esta entrada pré-utilizada:

Esta interface virtual é encadeada em seu chip de rádio existente( observe o wl0.1 no título da nova entrada).Mesmo a taquigrafia no SSID indicou isso, a "vap" no final do SSID padrão representa o ponto de acesso virtual. Vamos dividir o resto das entradas sob a nova interface virtual.

Você pode renomear o SSID para o que quiser. De acordo com a nossa convenção de nomenclatura existente( e tornar a vida mais fácil para os nossos clientes), vamos mudar o SSID do padrão para "HTG_Guest" - lembre-se de que nosso AP Wi-Fi principal é "HTG_Office".

Deixe a transmissão SSID sem fio ativada. Não só muitos computadores mais antigos e dispositivos habilitados para Wi-Fi não são muito bons com SSIDs secretos, mas uma rede de convidados escondida não é uma rede de convidados muito convidativa / útil.

AP Isolation é uma configuração de segurança que deixaremos a seu critério para habilitar ou desabilitar. Se você habilitar o isolamento de AP, todos os clientes da sua rede Wi-Fi convidada estarão totalmente isolados um do outro. Do ponto de vista da segurança, isso é ótimo, pois evita que um usuário mal-intencionado toque os clientes de outros usuários. Isso é mais uma preocupação para redes corporativas e hotspots públicos, no entanto. Praticamente falando, isso também significa que se sua sobrinha e seu sobrinho terminaram e eles querem jogar um jogo ligado Wi-Fi em suas unidades Nintendo DS, suas unidades DS não poderão se ver. Na maioria dos aplicativos domésticos e de pequenas empresas, há poucas razões para isolar os APs.

A opção Unbridged / Bridged na Configuração de rede refere-se se o Wi-Fi AP será ou não ligado à rede física. Por mais contundente que seja, você precisa deixá-lo definido como Bridged. Ao invés de deixar o firmware do roteador manipular( de forma bastante desajeitada) o processo de desvinculação, vamos desinstalar manualmente todos nós mesmos com um resultado mais limpo e mais estável.

Depois de alterar seu SSID e analisar as configurações, clique em Salvar.

Em seguida, navegue até Wireless - & gt;Segurança sem fio:

Por padrão, não há segurança no segundo AP.Você pode deixá-lo como tal temporariamente para fins de teste( deixamos o nosso aberto até o final) para salvar-se de introduzir a senha em seus dispositivos de teste. Não recomendamos, no entanto, deixá-lo permanentemente aberto. Se você optar por deixá-lo aberto ou não neste ponto, você precisa clicar em Salvar e, em seguida, Aplicar Configurações para as mudanças que fizemos na seção anterior e esta para entrar em vigor. Seja paciente, pode levar até 2 minutos para que as mudanças entrem em vigor.

Agora é um ótimo momento para confirmar que os dispositivos Wi-Fi próximos podem ver os APs primários e secundários. Abrir a interface Wi-Fi em um smartphone é uma ótima maneira de verificar rapidamente. Aqui está a visão da página de configuração do Wi-Fi do nosso telefone Android:

Não podemos nos conectar ao AP secundário ainda assim, pois precisamos fazer mais algumas mudanças no roteador, mas é sempre bom vê-los na lista.

O próximo passo é iniciar o processo de separação dos SSID na rede atribuindo uma gama única de endereços IP aos dispositivos Wi-Fi convidados.

Navegue até Configuração - & gt;Rede. Sob a seção "Bridging", clique no botão Adicionar.

Primeiro, altere o slot inicial para "br1", deixe o resto dos valores igual. Você ainda não poderá ver a entrada IP / Subnet acima. Clique em "Aplicar Configurações".A nova ponte estará na seção Bridging com as seções IP e Subnet disponíveis. Defina o endereço IP para um valor fora do IP da sua rede regular( por exemplo, sua rede principal é 192.168.1.1, portanto, crie esse valor 192.168.2.1).Defina a máscara de sub-rede para 255.255.255.0.Clique em "Aplicar configurações" na parte inferior da página novamente.

Atribuir rede de convidados para ponte

Nota: graças ao leitor Joel por apontar esta parte e nos dando as instruções para adicionar ao tutorial.

Em "Atribuir a ponte", clique em "Adicionar".Selecione a nova ponte que você criou no primeiro menu suspenso e emparelhe-a com a interface "wl0.1".

Agora clique em "Salvar" e "Aplicar Configurações".

Após as mudanças serem aplicadas, vá até a parte inferior da página mais uma vez para a seção DHCPD.Clique em "Adicionar".Mude o primeiro slot para "br1".Deixe o resto das configurações o mesmo( como visto na captura de tela abaixo).

Clique em "Aplicar Configurações" mais uma vez. Depois de concluir todas as tarefas no Setup - & gt;Página de rede, você deve ser bom para conectividade e atribuição DHCP.

Nota: Se o Wi-Fi AP que você está configurando para SSID duplos é um piggy backing em outro dispositivo( por exemplo, você tem dois roteadores Wi-Fi em sua casa ou escritório para ampliar sua cobertura e aquele que você está configurando o SSID convidadoup on é # 2 na cadeia) você precisará configurar o DHCP na seção Serviços. Se isso soa como a sua configuração, é hora de navegar para os Serviços - & gt;Seção de serviços.

Na seção de serviços, precisamos adicionar um pouco de código à seção DNSMasq para que o roteador atribua adequadamente os endereços IP dinâmicos aos dispositivos que se conectam à rede convidada. Desça a seção DNSMasq. Na caixa "Additional DNSMasq Options", cole o seguinte código( menos os # comentários que explicam a funcionalidade de cada linha):

# Habilita DHCP na br1
interface = br1
# Define o gateway padrão para clientes br1
dhcp-option =br1,3,192.168.2.1
# Defina a faixa DHCP e o tempo de locação padrão de 24 horas para clientes br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h

Clique em "Aplicar Configurações" na parte inferiorda página.

Se você usou a técnica um ou dois, espere alguns minutos para se conectar ao seu novo SSID convidado. Quando você se conecta ao SSID convidado, verifique seu endereço IP.Você deve ter um IP dentro do intervalo que especificamos com o acima. Mais uma vez, é útil usar seu smartphone para verificar:

Tudo parece ser bom. O AP secundário está atribuindo IPs dinâmicos em um intervalo apropriado, podemos entrar na Internet - estamos fazendo uma nota aqui, um enorme sucesso.

O único problema, no entanto, é que o AP secundário ainda tem acesso aos recursos da rede principal. Isso significa que todas as impressoras em rede, compartilhamentos de rede e outras ainda estão visíveis( você pode testá-lo agora, tente encontrar um compartilhamento de rede de sua rede principal no AP secundário).

Se você deseja que os convidados no AP secundário tenham acesso a essas coisas( e acompanham o tutorial para que você possa fazer outras tarefas SSID duplas, como restringir a largura de banda do convidado ou as horas em que eles podem usar a Internet), então vocêRealmente é feito com o tutorial.

Imaginamos que a maioria de vocês gostaria de evitar que seus convidados entassem sua rede e gentilmente os reúnem para aderir ao Facebook e ao e-mail. Nesse caso, precisamos terminar o processo desvinculando o AP secundário da rede física.

Navegue para Administração - & gt;Comandos. Você verá uma área rotulada como "Comando Shell".Cole os seguintes comandos, sem as # linhas de comentários, na área editável:

#Removes acesso de convidado à rede física
iptables - I FORWARD -i br1 -o br0 -m estado - estado NEW -j DROP
iptables -I FORWARD-i br0 -o br1 -m estado - estado NOVO -j DROP
#Removes convidado acesso à GUI de configuração do roteador / portas
iptables -I INPUT -i br1 -p tcp --detre telnet -j REJECT --reject-com tcp-reset
iptables -I INPUT -i br1 -p tcp -dport ssh -j REJECT --rejectar-com tcp-reset
iptables -I INPUT -i br1 -p tcp -detro www -j REJECT -rejeitar-com tcp-reset
iptables -I INPUT -i br1 -p tcp --portar https -j REJECT --rejetar-com tcp-reset

Clique em "Salvar Firewall" e reinicie seu roteador.

Estas regras adicionais de firewall simples param tudo nas duas pontes( a rede privada e a rede público / convidado) de falar, bem como rejeitar qualquer contato entre um cliente na rede convidado e as portas telnet, SSH ou servidor web emo roteador( restringindo assim a tentativa de acesso a todos os arquivos de configuração do roteador).

Uma palavra sobre como usar o shell do comando e os scripts de inicialização, desligamento e firewall. Primeiro, os comandos IPTABLES são processados ​​em ordem. Alterar a ordem das linhas individuais pode alterar significativamente o resultado. Em segundo lugar, há dúzias em dezenas de roteadores suportados pelo DD-WRT e, dependendo do seu roteador específico e configuração, você precisará ajustar os comandos IPTABLES acima. O script funcionou para o nosso roteador e ele usa os comandos mais amplos e simples possíveis para realizar a tarefa para que ele funcione para a maioria dos roteadores. Caso contrário, recomendamos que você procure o seu modelo de roteador específico nos fóruns de discussão DD-WRT e veja se outros usuários tiveram os mesmos problemas que você tem.

Neste ponto você terminou com a configuração e pronto para desfrutar de SSIDs duplos e todos os benefícios que acompanham a execução deles. Você pode facilmente distribuir uma senha de convidado( e alterá-la à vontade), configurar regras de QoS para a rede de convidados e, de outra forma, modificar e restringir a rede convidada de maneira que não afete a sua rede primária no mínimo.