3Jul
Împărtășirea Wi-Fi-ului cu oaspeții este doar un lucru politicos de făcut, dar asta nu înseamnă că doriți să le oferiți un acces larg deschis la întreaga rețea LAN.Citiți mai departe pe măsură ce vă vom arăta cum să vă configurați ruterul pentru SSID-uri duale și să creați un punct de acces separat( și securizat) pentru oaspeții dvs.
De ce vreau să fac asta?
Există mai multe motive foarte practice pentru a vă dori să configurați rețeaua dvs. de domiciliu pentru a avea puncte duale de acces( AP).
Motivul pentru care aplicația cea mai practică pentru cei mai mulți oameni este pur și simplu izolarea rețelei de domiciliu, astfel încât oaspeții să nu poată accesa lucrurile pe care doriți să le păstrați în mod privat. Configurația implicită pentru aproape fiecare punct de acces / router Wi-Fi de acasă este utilizarea unui singur punct de acces fără fir și oricui este autorizat să acceseze accesul AP la rețea, ca și cum ar fi fost conectat direct în AP prin intermediul rețelei Ethernet.
Cu alte cuvinte, dacă îi dați prietenului tău, vecinului, oaspeții casei sau oricui ar parola la AP-ul tău Wi-Fi, le-ai acordat și acces la imprimanta de rețea, toate acțiunile deschise din rețea, dispozitivele negarantaterețeaua dvs. și așa mai departe. S-ar putea să fi vrut să-i lăsați să verifice e-mailurile sau să joace un joc online, dar le-ați dat libertatea de a călători oriunde ar dori în rețeaua dvs. internă.
Acum, în timp ce majoritatea dintre noi, cu siguranță, nu avem hackeri rău intenționați pentru prieteni, asta nu înseamnă că nu este prudent să ne înființăm rețelele astfel încât oaspeții să rămână acolo unde aparțin( pe partea liberă a accesului la internet a gardului)și nu pot merge acolo unde nu( pe serverul de acasă / părțile sociale ale părții gardului).
Un alt motiv practic pentru rularea unui AP cu două SSID-uri este capacitatea de a restricționa nu numai locurile în care AP poate fi vizitată, ci și când. Dacă sunteți părinte, de exemplu, doriți să restrângeți cât de târziu copilul dvs. poate să stea în picioare în jurul valorii de pe computerul pe care i-ați putea pune computerul, tableta etc. în AP secundar și a stabilit restricții privind accesul la internet pentru întreaga sub-SSID după, să zicem, 9PM.
Ce am nevoie?
Tutorialul nostru de azi este axat pe utilizarea unui router compatibil DD-WRT pentru a obtine SSID-uri duale. Ca atare, veți avea nevoie de următoarele lucruri:
- 1 router compatibil DD-WRT cu o revizuire hardware adecvată( vă vom arăta cum să verificați)
- 1 copie instalată a DD-WRT pe ruterul menționat
Aceasta nu este singura modalitate de aconfigurați SSID-uri duale pentru rețeaua dvs. de domiciliu. Vom rula SSID-urile noastre de pe routerul wireless Wireless Linksys WRT54G, omniprezent. Dacă nu doriți să treceți prin hassle-ul firmware-ului personalizat pe vechiul dvs. router și făcând pașii de configurare suplimentar, ați putea:
- Achiziționați un router mai nou care acceptă SSID-uri duale chiar din cutie, cum ar fi ASUS RT-N66U.
- Achiziționați un al doilea router fără fir și configurați-l ca un punct de acces autonom.
Dacă nu dețineți deja un router care acceptă SSID-uri duale( caz în care puteți sări peste acest tutorial și doar citiți manualul pentru dispozitivul dvs.), ambele opțiuni sunt mai puțin decât ideale deoarece trebuie să cheltuiți bani în plus și, în cazuldin cea de-a doua opțiune, faceți o grămadă de configurare suplimentară, inclusiv configurarea AP secundar pentru a nu interfera și / sau suprapune cu AP primar.
În lumina tuturor, am fost mai mult decât fericiți să folosim hardware-ul pe care l-am avut deja( linia wireless Linksys WRT54G) și să depășim costurile de schimbare a rețelelor de bani și a rețelelor Wi-Fi suplimentare.
Cum știu că ruterul meu este compatibil?
Există două elemente critice de compatibilitate pe care trebuie să le verificați pentru a avea succes în acest tutorial. Primul și cel mai elementar este să verificați dacă routerul dvs. are suport DD-WRT.Puteți vizita aici bara de date Router-ul WDT pentru a verifica.
Odată ce ați stabilit că ruterul dvs. este compatibil cu DD-WRT, trebuie să verificați numărul de revizie al cipului routerului. Dacă aveți un router Linksys foarte vechi, de exemplu, ar putea fi un router serviceable perfecionabil în orice mod, dar cipul poate să nu accepte SSID-uri duale( ceea ce îl face fundamental incompatibil cu tutorialul).
Există două grade de compatibilitate cu privire la numărul de revizie al routerului. Unele routere pot face mai multe SSID-uri, dar nu pot împărți SSID-urile în puncte de acces distincte( de exemplu, o adresă MAC unică pentru fiecare SSID).În unele situații, acest lucru poate provoca probleme cu unele dispozitive Wi-Fi, deoarece acestea se confundă cu privire la SSID-ul( deoarece ambele au aceeași adresă MAC) pe care ar trebui să le utilizeze. Din păcate, nu există nicio modalitate de a anticipa ce dispozitive se vor comporta necorespunzător în rețeaua dvs., astfel încât nu putem să vă recomandăm să evitați tehnica descrisă în acest tutorial dacă descoperiți că aveți un dispozitiv care nu acceptă SSID-uri discrete.
Puteți verifica numărul de revizie efectuând o căutare Google pentru modelul specific al routerului, împreună cu numărul versiunii tipărit pe eticheta de informații( de obicei găsită pe partea inferioară a routerului), dar am descoperit că această tehnică este nesigură( etichetele pot fi aplicate necorespunzător, informația postată online privind modelul și data fabricării poate fi inexactă etc.)
Cea mai fiabilă modalitate de a verifica numărul de revizie al cip-ului în interiorul routerului este de a suna de fapt router-ul pentru a afla. Pentru a face acest lucru, trebuie să efectuați pașii următori. Deschideți un client telnet( fie un program multifuncțional precum PuTTY sau comanda de bază Windows Telnet) și telnet la adresa IP a routerului dvs.( de exemplu, 192.168.1.1).Conectați-vă la router utilizând login-ul și parola administratorului dvs.( rețineți că pentru anumite routere, chiar dacă tastați "admin" și "mypassword" pentru a vă conecta la portalul de administrare web de pe router, este posibil să fie necesar să tastați "root""Și" cuvântul meu "pentru a vă conecta prin telnet).
După ce vă conectați la router, tastați următoarea comandă la prompt:
nvram show | grep corerev
Acest lucru va returna numărul de revizie de bază al cipului( ilor) în routerul dvs. în următorul format:
wl0_corerev = 9
wl_corerev =
Ceea ce înseamnă ieșirea de mai sus este că ruterul nostru are un radio( wl0, nu există wl1) și că revizuirea de bază a acelui cip radio este 9. Cum interpretați ieșirea? Numărul de revizie, în legătură cu ghidul nostru, înseamnă următoarele:
- 0-4 Routerul nu acceptă mai multe SSID( cu identificatori unici sau în alt mod)
- 5-8 Routerul acceptă mai multe SSID-uri( dar nu cu identificatori unici)
- 9+ Routerul acceptă mai multe SSID-uri( cu identificatori unici)
După cum puteți vedea din ieșirea comenzii noastre de mai sus, am reușit. Cipul ruterului nostru este cea mai mică revizie care acceptă mai multe SSID-uri cu identificatori unici.
După ce ați stabilit că ruterul dvs. poate suporta mai multe SSID-uri, va trebui să instalați DD-WRT.Dacă routerul dvs. a fost livrat împreună cu DD-WRT sau dacă l-ați instalat deja, este fantastic. Dacă nu l-ați instalat deja, vă recomandăm să descărcați versiunea corespunzătoare de pe site-ul web DD-WRT și să urmați împreună cu tutorialul nostru: Rotiți router-ul dvs. de acasă într-un router Super-Powered cu DD-WRT.
În plus față de tutorialul nostru, nu putem sublinia valoarea wiki-ului DD-WRT extins și bine întreținut. Citiți ruterul special și cele mai bune practici pentru a bloca un nou firmware acolo.
Configurarea DD-WRT pentru mai multe SSID-uri
Aveți un router compatibil, ați scos DD-WRT la el, acum este timpul să începeți configurarea celui de-al doilea SSID.La fel cum ar trebui să blitzați mereu noul firmware pe o conexiune prin cablu, vă recomandăm cu insistență să lucrați la configurarea fără fir printr-o conexiune prin cablu, astfel încât modificările să nu forțeze calculatorul fără fir din rețea.
Deschideți browserul web pe un computer conectat la router prin Ethernet. Navigați la IP-ul routerului implicit( de obicei 198.168.1.1).În interfața DD-WRT, navigați la Wireless - & gt;Setări de bază( așa cum se vede în captura de ecran de mai sus).Puteți vedea că AP-ul nostru existent Wi-Fi are SSID "HTG_Office".
În partea de jos a paginii, în secțiunea "Interfețe virtuale", faceți clic pe butonul Adăugați. Secțiunea "Interfețe virtuale" goale anterior se va extinde cu această intrare prepopulată:
Această interfață virtuală este introdusă pe cipul radio existent( rețineți wl0.1 în titlul noii intrări).Chiar și stenograma din SSID a indicat acest lucru, "vap" la sfârșitul SSID-ului implicit înseamnă Virtual Access Point. Să distrugem restul intrărilor sub noua interfață virtuală.
Puteți redenumi numele SSID la orice doriți.În conformitate cu convenția noastră actuală de numire( și pentru a face viața mai ușoară oaspeților noștri) vom schimba SSID-ul de la implicit la "HTG_Guest" - reamintim că AP-ul nostru principal Wi-Fi este "HTG_Office".
Lăsați Wireless Broadcast SSID activat activat. Nu numai că multe computere mai vechi și dispozitive Wi-Fi nu se joacă foarte bine cu SSID-uri secrete, dar o rețea ascunsă de clienți nu este o rețea foarte invitantă / utilă.
AP Izolarea este o setare de securitate pe care o vom lăsa la discreția dvs. pentru a activa sau dezactiva. Dacă activați izolarea AP, fiecare client din rețeaua Wi-Fi a oaspeților dvs. va fi total izolat unul de celălalt. Din punct de vedere al securității, acest lucru este minunat, deoarece menține un utilizator rău intenționat de la a încerca în jurul clienților altor utilizatori. Cu toate acestea, este mai mult o preocupare pentru rețelele corporative și hotspoturile publice. Practic vorbind, asta înseamnă, de asemenea, dacă nepoata și nepotul tău s-au terminat și vor să joace un joc legat de Wi-Fi pe unitățile Nintendo DS, unitățile lor DS nu se vor putea vedea reciproc.În majoritatea aplicațiilor de birou și de birou, există puține motive pentru a izola AP-urile.
Opțiunea Necordată / Împreună în Rețeaua de Configurație se referă la faptul dacă AP-ul Wi-Fi va fi sau nu legat de rețeaua fizică.Deoarece este contraintuitiv, trebuie să lăsați-o setată la Bridged. Mai degrabă decât să lăsați firmware-ul router-ului să manipuleze( mai degrabă stoarce) procesul de deconectare, vom renunța manual la totul cu un rezultat mai curat și mai stabil.
Odată ce ați modificat codul SSID și ați revizuit setările, faceți clic pe Salvați.
Apoi navigați pe Wireless - & gt;Securitate wireless:
În mod implicit, nu există nici o securitate în al doilea AP.Puteți să o lăsați temporar în scopuri de testare( ne-am lăsat deschise până la sfârșit) pentru a vă salva de la tastarea parolei pe dispozitivele dvs. de testare. Cu toate acestea, noi nu recomandăm să îl lăsăm permanent deschis. Indiferent dacă optați să lăsați-o deschisă sau nu în acest moment, trebuie să dați clic pe Salvați și apoi pe Aplicați setările pentru modificările pe care le-am făcut atât în secțiunea anterioară, cât și pe cea pentru a intra în vigoare. Aveți răbdare, poate dura până la 2 minute pentru ca modificările să aibă efect.
Acum este un moment excelent pentru a confirma faptul că dispozitivele Wi-Fi din apropiere pot vedea atât AP primar, cât și secundar. Deschiderea interfeței Wi-Fi pe un smartphone este o modalitate foarte bună de a verifica rapid. Iată punctul de vedere din pagina noastră de configurare Wi-Fi a telefonului Android:
Nu ne putem conecta la AP secundar, tocmai pentru că trebuie să facem mai multe schimbări în router, dar este întotdeauna plăcut să le vedem pe amândouă în listă.
Următorul pas este să începeți procesul de separare a SSID-urilor în rețea atribuind o gamă unică de adrese IP dispozitivelor Wi-Fi oaspete.
Navigați la Setup - & gt;Rețele.În secțiunea "Punte de legătură", faceți clic pe butonul Adăugați.
Mai întâi, modificați slotul inițial la "br1", lăsați restul valorilor la fel.Încă nu veți putea vedea intrarea IP / Subnet văzută mai sus. Faceți clic pe "Aplicați setările".Noul bridge va fi în secțiunea Bridgeing cu secțiunile IP și Subnet disponibile. Setați adresa IP la o valoare din rețeaua dvs. obișnuită( de ex., Rețeaua principală este 192.168.1.1, deci faceți această valoare 192.168.2.1).Setați masca de subrețea la 255.255.255.0.Faceți clic din nou pe "Aplicați setările" din partea de jos a paginii.
Atribuirea rețelei clienților la Bridge
Notă: mulțumită cititorului Joel pentru că a arătat această parte și ne-a dat instrucțiunile de adăugare la tutorial.
Sub "Assign to Bridge" faceți clic pe "Add".Selectați noul pod creat de la primul drop-down și împerecheați-l cu interfața "wl0.1".
Faceți clic pe "Salvați" și pe "Aplicați setările".
După aplicarea modificărilor, derulați încă o dată partea de jos a paginii în secțiunea DHCPD.Faceți clic pe "Adăugați".Schimbați primul slot la "br1".Lăsați restul setărilor la fel( după cum se vede în imaginea de mai jos).
Faceți clic pe "Aplicați setările" o dată.După ce ați terminat toate sarcinile din Setup - & gt;Pagina de rețea trebuie să fiți bine să mergeți pentru conectivitate și atribuire DHCP.
Notă: dacă AP-ul Wi-Fi pe care îl configurați pentru SSID-uri duale este compatibil cu un alt dispozitiv( de ex. Aveți două routere Wi-Fi în casa sau biroul dvs. pentru a vă extinde acoperirea și cea pe care o setați SSID pentru cliențiup este # 2 în lanț), va trebui să configurați DHCP în secțiunea Servicii. Dacă aceasta pare a fi setarea dvs., este timpul să navigați la serviciile - & gt;Secțiunea Servicii.
În secțiunea de servicii, trebuie să adăugăm un pic de cod la secțiunea DNSMasq, astfel încât routerul să aloce corect adreselor IP dinamice dispozitivelor care se conectează la rețeaua de clienți. Derulați în jos secțiunea DNSMasq.În caseta "Additional DNSMasq Options", lipiți următorul cod( minus # comentarii care explică funcționalitatea fiecărei linii):
# Activează DHCP pe br1
interface = br1
# Setați gateway-ul implicit pentru clienții br1
dhcp-option =br1,3,192.168.2.1
# Setați intervalul DHCP și durata implicită de leasing pentru 24 de ore pentru clienții br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Faceți clic pe "Apply Settings" în partea de josa paginii.
Dacă ați folosit tehnica una sau două, așteptați câteva minute pentru a vă conecta la noul SSID de vizitator. Când vă conectați la SSID-ul pentru clienți, verificați adresa IP.Ar trebui să aveți un IP în intervalul specificat cu cele de mai sus. Din nou, este util să folosiți telefonul smartphone pentru a verifica:
Totul arată bine. AP secundar atribuie IP-uri dinamice într-un domeniu adecvat, putem ajunge pe Internet - facem o notă aici, un succes imens.
Singura problemă, totuși, este că AP secundar are încă acces la resursele rețelei primare. Aceasta înseamnă că toate imprimantele din rețea, acțiunile de rețea și altele asemenea sunt încă vizibile( puteți încerca acum, încercați să găsiți o partajare de rețea din rețeaua principală pe AP secundar).
Dacă doreste ca invitații de pe AP secundar să aibă acces la aceste lucruri( și urmăresc împreună cu tutorialul astfel încât să puteți face și alte activități SSID dual, cum ar fi restricționarea lățimii de bandă clienților sau ori de câte ori li se permite să utilizeze Internetul)'Realizați cu ajutorul tutorialului.
Ne imaginăm că majoritatea dintre dvs. ar dori să vă împiedică pe invitații să vă înșele în jurul rețelei dvs. și să-i îndreptați ușor spre Facebook și email.În acest caz, trebuie să terminăm procesul prin deconectarea AP secundară din rețeaua fizică.
Navigați la administrare - & gt;Comenzi. Veți vedea o zonă denumită "Command Shell".Inserați următoarele comenzi, fără linii de comentarii #, în zona editabilă:
#Demovează accesul invitat la rețeaua fizică
iptables -I FORWARD -i br1 -o br0 -m stare -state NEW -j DROP
iptables -I FORWARD-i br0 -o br1 -m stare -state NEW -j DROP
#Demovează accesul clienților la porturile de configurare ale portului routerului
iptables -I INPUT -i br1 -p tcp -dport telnet -j REJECT -reject-cu resetare tcp
iptables -I INPUT -i br1 -p tcp -dport ssh -j REJECT -reject cu tcp-reset
iptables -I INPUT -i br1 -p tcp -dotare www -j REJECT -respinge-cu resetarea tcp
iptables -I INPUT -i br1 -p tcp -dport https -j REJECT -reject-cu tcp-reset
Faceți clic pe "Salvați firewall" și reporniți ruterul.
Aceste reguli suplimentare de firewall simplifică simpla oprire a tuturor celor două punți( rețeaua privată și rețeaua publică / clienți) să vorbească și să respingă orice contact între un client din rețeaua gazdă și porturile serverului telnet, SSH sau serverului webrouter-ul( restricționându-le astfel de încercarea de a accesa fișierele de configurare ale router-ului la toate).
Un cuvânt despre utilizarea shell-ului de comandă și a script-urilor de pornire, oprire și firewall.În primul rând, comenzile IPTABLES sunt prelucrate în ordine. Schimbarea ordinii liniilor persoanelor poate schimba semnificativ rezultatul.În al doilea rând, există zeci de zeci de routere care sunt suportate de DD-WRT și, în funcție de router-ul dvs. specific și de configurație, poate fi necesar să modificați comenzile IPTABLES de mai sus. Scriptul a lucrat pentru routerul nostru și utilizează cele mai largi și simple comenzi posibile pentru a îndeplini sarcina, astfel încât ar trebui să funcționeze pentru majoritatea routerelor. Dacă nu, vă recomandăm să căutați modelul ruterului dvs. specific în forumurile de discuții ale DD-WRT și să vedeți dacă ceilalți utilizatori au experimentat aceleași probleme pe care le aveți.
În acest moment ați terminat configurația și sunteți gata să vă bucurați de SSID-uri duale și de toate avantajele pe care le aduceți acestora. Puteți să dați cu ușurință o parolă pentru oaspeți( și să o schimbați la alegere), să configurați reguli QoS pentru rețeaua de clienți și altfel să modificați și să restricționați rețeaua de clienți în moduri care nu vor afecta cel mai puțin rețeaua dvs. principală.