3Jul
Zdieľanie Wi-Fi s hosťami je len zdvorilá vec, ktorú chcete urobiť, ale to neznamená, že by ste im chceli poskytnúť široký otvorený prístup do celej vašej siete LAN.Čítajte ďalej, ako vám ukážeme, ako nastaviť smerovač pre dvojité SSID a vytvoriť pre svojich hostí samostatný( a zabezpečený) prístupový bod.
Prečo to mám robiť?
Existuje niekoľko veľmi praktických dôvodov, prečo chcete nastaviť domácu sieť, aby mala dvojité prístupové body( AP).
Dôvodom s najpraktickejšou aplikáciou pre väčšinu ľudí je jednoduchá izolácia domácej siete, aby hostia nemali prístup k veciam, ktoré chcete zostať súkromné.Predvolená konfigurácia pre takmer každý domovský prístupový bod / smerovač Wi-Fi má použiť jediný bezdrôtový prístupový bod a každý, kto má oprávnenie na prístup k AP, má prístup do siete, ako keby bol pripojený priamo do AP prostredníctvom siete Ethernet.
Inými slovami, ak dáte svojmu priateľovi, susedom, hosťujúcemu hosťovi alebo ktokoľvek heslo k vášmu Wi-Fi AP, dali ste im tiež prístup k sieťovej tlačiarni, všetkým otvoreným zdieľaným položkám v sieti, nezabezpečeným zariadeniamvašej sieti atď.Možno ste ich chceli len nechať skontrolovať e-mail alebo hrať online, ale dali ste im slobodu cestovať kamkoľvek chcú vo vašej internej sieti.
Teraz, zatiaľ čo väčšina z nás určite nemá škodlivých hackerov pre priateľov, to neznamená, že nie je rozumné nastaviť naše siete tak, aby ich hostia zostali tam, kde patria( na voľnej strane prístupu na internet)a nemôžu ísť tam, kde nemajú( na domácom serveri / osobné akcie strane plotu).
Ďalším praktickým dôvodom pre spustenie AP s dvoma SSID je schopnosť nielen obmedziť to, kam hosť AP môže ísť, ale kedy. Ak ste napríklad rodič, ktorý chce obmedziť to, ako neskoro môže vaše dieťa zostať hore na počítači, môžete dať svoj počítač, tablet atď. Na sekundárnom AP a nastaviť obmedzenia prístupu na internet pre celú sub-SSID po, povedzme, 9PM.
Čo potrebujem?
Náš tutoriál je dnes zameraný na použitie smerovača kompatibilného s DD-WRT na dosiahnutie dvojitého SSID.Ako taký budete potrebovať nasledovné:
- 1 DD-WRT kompatibilný smerovač s príslušnou revíziou hardvéru( ukážeme vám, ako skontrolovať)
- 1 nainštalovaná kópia DD-WRT na uvedenom smerovači
Nie je to jediný spôsob, akonastavte dvojité SSID pre svoju domácu sieť.Budeme používať naše SSID zo všadeprítomného bezdrôtového smerovača série Linksys WRT54G.Ak nechcete prejsť problémom s blikajúcim vlastným firmvérom na starom smerovači a vykonaním ďalších krokov konfigurácie, môžete namiesto toho:
- Kúpiť novší smerovač, ktorý podporuje dvojité SSIDy priamo z krabice, ako napríklad ASUS RT-N66U.
- Zakúpte druhý bezdrôtový smerovač a nakonfigurujte ho ako samostatný prístupový bod.
Ak už nie ste vlastníkom routeru, ktorý podporuje duálne identifikátory SSID( v tomto prípade môžete preskočiť tento návod a jednoducho si prečítať príručku pre vaše zariadenie), obe tieto možnosti sú menej než ideálne, pretože musíte minúť ďalšie peniaze a v prípadez druhej možnosti, urobte veľa extra konfigurácie, vrátane nastavenia sekundárneho AP, aby ste nezasahovali a / alebo nepresahovali svoj primárny AP.
Vzhľadom na to sme boli radi, že sme použili hardvér, ktorý sme už mali( bezdrôtový smerovač Linksys WRT54G) a preskočili výdavky na hotovosť a ďalšiu úpravu siete Wi-Fi.
Ako zistím, že môj router je kompatibilný?
Existujú dva dôležité prvky kompatibility, ktoré musíte skontrolovať, aby ste dosiahli úspech v tomto výučbe. Prvým a najzákladnejším je skontrolovať, či daný smerovač má podporu DD-WRT.Môžete tu navštíviť databázu smerovačov WDT wiki a skontrolovať.
Po zistení, že váš smerovač je kompatibilný s DD-WRT, musíme skontrolovať číslo revízie čipu smerovača. Ak máte naozaj starý router Linksys, môže to byť perfektne použiteľný router v každom smere, ale čip nemusí podporovať dvojité SSIDy( čo z toho zásadne nekompatibilné s tutoriálom).
Vzhľadom na číslo revízie smerovača existujú dva stupne kompatibility. Niektoré smerovače môžu robiť viacero identifikátorov SSID, ale nemôžu rozdeliť identifikátory SSID na odlišné úplne unikátne prístupové body( napríklad jedinečnú MAC adresu pre každý identifikátor SSID).V niektorých situáciách to môže spôsobiť problémy s niektorými zariadeniami Wi-Fi, pretože sa zamieňajú, čo SSID( pretože obe majú rovnakú adresu MAC), ktoré by mali používať.Bohužiaľ neexistuje žiadny spôsob, ako predpovedať, ktoré zariadenia sa budú vo vašej sieti správať nesprávne, takže nemôžeme jednoznačne odporúčať vyhnúť sa technike uvedenej v tejto príručke, ak zistíte, že máte zariadenie, ktoré nepodporuje diskrétne identifikátory SSID.
Číslo revízie môžete skontrolovať tak, že vykonáte vyhľadávanie Google pre konkrétny model smerovača spolu s číslom verzie vytlačenou na informačnom štítku( zvyčajne sa nachádza na spodnej strane smerovača), ale našli sme túto metódu nespoľahlivú( štítky môžu byť nesprávne aplikované, informácie týkajúce sa modelu a dátumu výroby online môžu byť nepresné atď.)
Najspoľahlivejšou cestou, ako skontrolovať číslo revízie čipu vo vašom smerovači, je skutočné vyhľadanie smerovača. Aby ste tak urobili, musíte vykonať nasledujúce kroky. Otvorte klienta telnet( buď viacúčelový program ako PuTTY alebo základný príkaz Windows Telnet) a telnet na adresu IP smerovača( napr. 192.168.1.1).Prihláste sa do smerovača pomocou prihlasovacieho mena a hesla administrátora( upozorňujeme, že pre niektoré smerovače, aj keď zadávate "admin" a "mypassword" na prihlásenie sa na portál webového riadenia na smerovači, možno budete musieť zadať "root""A" mypassword "na prihlásenie cez telnet).
Po prihlásení do smerovača zadajte na výzvu nasledujúci príkaz:
nvram show | grep corerev
Vráti sa číslo základnej verzie čipu( ov) vo vašom smerovači v nasledujúcom formáte:
wl0_corerev = 9
wl_corerev =
Čo vyššie uvedený výstup znamená, že náš smerovač má jedno rádio( wl0, neexistuje wl1) a že základná revízia tohto rádiového čipu je 9. Ako interpretujete výstup?Číslo revízie vo vzťahu k nášmu sprievodcovi znamená:
- 0-4 Router nepodporuje viac SSID( s jedinečnými identifikátormi alebo inak)
- 5-8 Smerovač podporuje viac SSID( ale nie s jedinečnými identifikátormi)
- 9+ Smerovač podporuje viaceré identifikátory SSID( s jedinečnými identifikátormi)
Ako vidíte z nášho príkazového výstupu vyššie, sme šťastne vyskúšali.Čip nášho smerovača je najnižšia verzia, ktorá podporuje viacero identifikátorov SSID s jedinečnými identifikátormi.
Po zistení, že váš smerovač môže podporovať viaceré identifikátory SSID, budete musieť nainštalovať DD-WRT.Ak je váš smerovač dodávaný s DD-WRT alebo ste ho už nainštalovali, je to fantastické.Ak ste ho ešte nenainštalovali, odporúčame vám prevziať príslušnú verziu z webovej lokality DD-WRT a pokračovať spolu s naším tutoriálom: Prepnite svoj domovský smerovač do super-Powered Router s DD-WRT.
Okrem nášho tutoriálu nemôžeme zdôrazniť hodnotu rozsiahlej a výborne udržiavanej wiki DD-WRT.Prečítajte si informácie o vašom konkrétnom smerovači a najlepších postupoch pre blikanie nového firmvéru tam.
Konfigurácia DD-WRT pre viaceré SSIDy
Máte kompatibilný smerovač, do ktorého ste dostali DD-WRT, teraz je čas na začatie nastavenia druhého SSID.Rovnako, ako by ste mali vždy blikať nový firmware cez káblové pripojenie, dôrazne odporúčame pracovať na bezdrôtovej konfigurácii prostredníctvom káblového pripojenia, aby zmeny nevynútili váš bezdrôtový počítač zo siete.
Otvorte webový prehliadač na počítači pripojenom k smerovaču cez ethernet. Prejdite na predvolenú IP smerovača( typicky 198.168.1.1).V rozhraní DD-WRT prejdite na položku Bezdrôtové pripojenie - & gt;Základné nastavenia( ako je vidieť na snímke obrazovky vyššie).Môžete vidieť, že náš existujúci prístupový bod Wi-Fi má SSID "HTG_Office".
V dolnej časti stránky v sekcii "Virtuálne rozhrania" kliknite na tlačidlo Pridať.Predtým prázdna sekcia "Virtuálne rozhrania" sa rozbalí s touto predpopulovanou položkou:
Toto virtuálne rozhranie je nasmerované na váš existujúci rádiový čip( všimnite si wl0.1 v názve nového záznamu).Dokonca aj skratka v SSID to označila, "vap" na konci predvoleného SSID znamená Virtual Access Point. Poďme rozložiť zvyšok položiek pod novým virtuálnym rozhraním.
SSID môžete premenovať na čokoľvek, čo chcete. V súlade s našou existujúcou konvenciou pomenovania( a aby sme uľahčili život našim hosťom) zmeníme SSID z predvolenej hodnoty na "HTG_Guest" - poznamenať, že náš hlavný Wi-Fi AP je "HTG_Office".
Povoliť povolené vysielanie bezdrôtového SSID.Nielen, že veľa starších počítačov a zariadení s podporou Wi-Fi nehrá veľmi pekné s tajnými SSID, ale skrytá hosťovská sieť nie je veľmi príjemná / užitočná hosťovská sieť.
AP Izolácia je bezpečnostné nastavenie, ktoré necháme podľa vlastného uváženia povoliť alebo zakázať.Ak povolíte AP Izolácia, každý klient vašej hosťujúcej Wi-Fi siete bude navzájom úplne izolovaný.Z bezpečnostného hľadiska je to skvelé, pretože zabraňuje tomu, aby sa zlomyseľný používateľ pokúšal o klientov iných používateľov. To však viac znepokojuje podnikové siete a verejné hotspoty. Prakticky povedané, to tiež znamená, že ak vaša neter a synovec skončia a chcú hrať Wi-Fi pripojenú hru na svojich zariadeniach Nintendo DS, ich jednotky DS sa nebudú môcť navzájom vidieť.Vo väčšine domácich a malých kancelárskych aplikácií nie je dôvod izolovať AP.
Voľba Nekompatibilná / premostená v Konfigurácii siete označuje, či bude AP Wi-Fi premostené, alebo nie, do fyzickej siete. Pretože je to nenápadné, musíte ho ponechať nastavené na Prepojené.Namiesto toho, aby firmvér smerovača zvládol( skôr nemotorne) proces prepájania, budeme ručne zbaviť všetko sami s čistejším a stabilnejším výsledkom.
Po zmene SSID a kontrole nastavení kliknite na tlačidlo Uložiť.
Ďalej prejdite na Bezdrôtové - & gt;Bezdrôtové zabezpečenie:
V predvolenom nastavení nie je žiadna bezpečnosť v druhom AP.Môžete to dočasne nechať na účely testovania( nechali sme otvorené až do konca), aby ste sa ušetrili heslom na testovacích zariadeniach. Neodporúčame vám však, aby bol natrvalo otvorený.Bez ohľadu na to, či ste v tomto okamihu ponechali otvorenú alebo nie, musíte kliknúť na položku Uložiť a potom na položku Použiť nastavenia pre zmeny, ktoré sme vykonali tak v predchádzajúcej sekcii, ako aj vtedy, keď sa táto zmena prejaví.Buďte trpezliví, môže to trvať až 2 minúty, kým sa zmeny prejavia.
Teraz je skvelý čas na potvrdenie, že v blízkosti zariadenia Wi-Fi sa môžu zobraziť primárne aj sekundárne AP.Otvorenie rozhrania Wi-Fi na smartphone je skvelý spôsob, ako rýchlo skontrolovať.Tu je náhľad z našej stránky konfigurácie Wi-Fi na telefóne s Androidom:
Nemôžeme sa pripojiť k sekundárnemu AP len preto, lebo potrebujeme vykonať ešte niekoľko zmien v smerovači, ale je vždy príjemné vidieť ich v zozname.
Ďalším krokom je začať proces oddeľovania SSID v sieti priradením jedinečného rozsahu IP adries hosťom Wi-Fi zariadeniam.
Prejdite na položku Nastavenie - & gt;Networking. V časti Prepojenie kliknite na tlačidlo Pridať.
Najskôr zmeňte počiatočný slot na hodnotu "br1", ostatné hodnoty nechajte rovnaké.Zatiaľ nebudete môcť zobraziť záznam IP / podsietenia. Kliknite na položku Použiť nastavenia. Nový most bude v sekcii Prepojenie s dostupnými sekciami IP a Subnet. Nastavte IP adresu na jednu hodnotu z IP vašej bežnej siete( napr. Vaša primárna sieť je 192.168.1.1, takže túto hodnotu nastavte na 192.168.2.1).Nastavte masku podsiete na 255.255.255.0.Kliknite na tlačidlo "Použiť nastavenia" v spodnej časti stránky.
Priradenie hostiteľskej siete k mostu
Poznámka: vďaka čitateľovi Joelovi za poukázanie na túto časť a poskytnutie nám pokynov na pridanie do tutoriálu.
V časti "Priradiť k Bridge" kliknite na "Pridať".Vyberte nový most, ktorý ste vytvorili z prvého rozbaľovacieho zoznamu a spárujte ho s rozhraním "wl0.1".
Teraz kliknite na tlačidlo "Uložiť" a "Použiť nastavenia".
Po vykonaní zmien znovu prejdite na spodnú časť stránky do sekcie DHCPD.Kliknite na položku Pridať.Prepnite prvý slot na "br1".Ostatné nastavenia nechajte rovnaké( ako je vidieť na obrázku nižšie).
Kliknite na tlačidlo "Apply Settings" ešte raz. Po dokončení všetkých úloh v nastaveniach - & gt;Sieťová stránka by ste mali mať dobré pripojenie a pridelenie DHCP.
Poznámka: Ak konfigurujete prístupový bod Wi-Fi, ktorý ste nastavili pre duálne identifikátory SSID, pracuje na inom zariadení( napríklad máte vo svojom dome alebo v kancelárii dva smerovače Wi-Fi, aby ste rozšírili pokrytie a ten, ktorý nastavujete SSID hosťaup je # 2 v reťazci), budete musieť nastaviť DHCP v sekcii Služby. Ak to znie ako vaše nastavenie, je čas prejsť na služby - & gt;Sekcia služieb.
V sekcii služieb je potrebné do sekcie DNSMasq pridať trochu kódu, aby router správne priradil dynamické adresy IP zariadeniam, ktoré sa pripájajú k hostiteľskej sieti. Posuňte nadol sekciu DNSMasq. V poli "Ďalšie nastavenia DNSMasq" prilepte nasledujúci kód( mínus # komentáre vysvetľujúce funkčnosť každého riadku):
# Umožňuje DHCP na br1
interface = br1
# Nastavenie predvolenej brány pre klientov br1
dhcp-option =br1,3,192.168.2.1
# Nastavenie rozsahu DHCP a predvoleného prenájmu 24 hodín pre klientov br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Kliknite na "Apply Settings" v dolnej častistránky.
Či už ste použili techniku jeden alebo dva, počkajte niekoľko minút, kým sa pripojte k vášmu novému hosťu SSID.Keď sa pripojíte k SSID hosťa, skontrolujte svoju IP adresu. Mali by ste mať IP v rozsahu, ktorý sme špecifikovali vyššie. Znovu je to užitočné, ak chcete použiť smartphone na kontrolu:
Všetko vyzerá dobre. Sekundárny prístupový bod priraďuje dynamické IP adresy vo vhodnom rozsahu, môžeme sa dostať na internet - uvádzame tu poznámku, obrovský úspech.
Jediným problémom však je, že sekundárny AP stále má prístup k zdrojom primárnej siete. To znamená, že všetky sieťové tlačiarne, sieťové zdieľania a také sú stále viditeľné( môžete to vyskúšať teraz, pokúste sa nájsť sieťový podiel z primárnej siete na sekundárnom AP).
Ak chce hostiteľovi na sekundárnom AP, aby mali prístup k týmto veciam( a sledujú spolu s tutoriálom, aby ste mohli vykonávať iné úlohy s dvojitým SSID, ako je obmedzenie hosťovskej šírky pásma alebo časy, kedy je povolené používať internet), potomefektívne vykonávať s tutoriálom.
Predstavujeme si, že väčšina z vás by chcela, aby sa vaši hostia snažili zablokovať vašu sieť a opatrne ich stádo prilepili na Facebook a e-mail. V takomto prípade musíme dokončiť proces odpojením sekundárnej AP z fyzickej siete.
Prejdite na správu - & gt;Príkazy. Uvidíte oblasť označenú ako "Command Shell".Vložte nasledovné príkazy, bez riadkov # komentárov, do upraviteľnej oblasti:
# Odstráni prístup hosťa k fyzickej sieti
iptables -I FORWARD -i br1 -o br0 -m stav -state NOVÉ -j DROP
iptables -I VYPLÝVAJ-i br0 -o br1 -m stav - štát NOVÉ -j DROP
# Odstráni hosť prístup k konfigurácii smerovača GUI / porty
iptables -I INPUT -i br1 -p tcp -dport telnet -j REJECT --reject-s tcp-reset
iptables -I INPUT -i br1 -p tcp -dport ssh -j REJECT -reject-s tcp-reset
iptables -I INPUT -i br1 -p tcp -dport www -j REJECT -odmietnuť s tcp-reset
iptables -I INPUT -i br1 -p tcp -dport https -j REJECT -reject-s tcp-reset
Kliknite na "Uložiť bránu firewall" a reštartujte smerovač.
Tieto dodatočné pravidlá brány firewall jednoducho zastavujú všetko na dvoch mostoch( súkromná sieť a verejná / hosťovská sieť) a zároveň odmieta akýkoľvek kontakt medzi klientom v hosťovskej sieti a portami telnet, SSH alebo webového serverasmerovač( čo ich obmedzuje pred pokusom o prístup k konfiguračným súborom smerovača vôbec).
Slovo o používaní príkazového shellu a spúšťacích, vypínacích a firewallových skriptoch. Po prvé, príkazy IPTABLES sa spracúvajú v poradí.Zmena poradia jednotlivcov môže značne zmeniť výsledok. Po druhé, DD-WRT podporuje desiatky z desiatok smerovačov a v závislosti od konkrétneho smerovača a konfigurácie budete musieť vylepšiť vyššie uvedené príkazy IPTABLES.Skript pracoval pre náš smerovač a používa najširšie a najjednoduchšie možné príkazy na splnenie úlohy, takže by mal fungovať pre väčšinu smerovačov. Ak tomu tak nie je, dôrazne vás vyzývame, aby ste vyhľadali konkrétny model smerovača v diskusných fórach DD-WRT a zistite, či ostatní používatelia majú rovnaké problémy, aké máte.
V tomto momente ste skončili s konfiguráciou a ste pripravení užívať si dvojité SSID a všetky výhody, ktoré im prináša bežiaci program. Môžete jednoducho dať heslo hosťa( a zmeniť ho podľa vlastného uváženia), nastaviť pravidlá QoS pre hosťovskú sieť a inak upraviť a obmedziť hosťovskú sieť spôsobom, ktorý neovplyvní prinajmenšom vašu primárnu sieť.