Как да активирате гост точка за достъп на вашата безжична мрежа
Споделянето на Wi-Fi с гостите е само любезно нещо, което трябва да направите, но това не означава, че искате да им дадете широко отворен достъп до цялата локална мрежа. Прочетете, като ви покажем как да настроите маршрутизатора си за двойни SSID и да създадете отделна (и защитена) точка за достъп за вашите гости.
Защо искам да направя това?
Има няколко много практични причини да искате да настроите домашната си мрежа да има двойни точки за достъп (AP).
Причината за най-практичното приложение за най-голям брой хора е просто изолирането на домашната ви мрежа, така че гостите да не могат да имат достъп до нещата, които искате да останете частни. Конфигурацията по подразбиране за почти всяка домашна Wi-Fi точка за достъп / маршрутизатор е да се използва единна точка за безжичен достъп и всеки, упълномощен да има достъп до тази АР, получава достъп до мрежата, както ако те са свързани директно към АП през Ethernet..
С други думи, ако давате на приятел, съсед, гост или къща който и паролата за вашата Wi-Fi AP, също така сте им предоставили достъп до мрежовия принтер, всички отворени дялове в мрежата, необезпечени устройства в мрежата и т.н. Може би просто искате да им позволите да проверяват електронната си поща или да играят онлайн, но сте им дали свободата да роумират навсякъде, където пожелаят, във вашата вътрешна мрежа..
Сега, докато повечето от нас със сигурност нямат злонамерени хакери за приятели, това не означава, че не е разумно да създаваме нашите мрежи, така че гостите да останат там, където им е мястото (на безплатната страна на достъп до интернет на оградата) и не може да отиде там, където не е (на домашния сървър / частна част от оградата).
Друга практическа причина за пускане на АР с два SSID е възможността не само да се ограничи мястото, където може да отиде AP, а когато. Ако например сте родител, който желае да ограничи времето, в което детето може да остане, да си върви по компютъра, можете да поставите компютъра, таблета и т.н. във вторичната AP и да зададете ограничения за достъпа до интернет за цялото подчинение -SID след, да кажем, 9:00 ч.
От какво се нуждая?
Нашият урок днес се фокусира върху използването на DD-WRT съвместим рутер за постигане на двойни SSID. Като такива ще са ви необходими следните неща:
- 1 DD-WRT съвместим маршрутизатор с подходяща хардуерна ревизия (ще ви покажем как да проверявате)
- 1 инсталирано копие на DD-WRT на споменатия рутер
Това не е единственият начин да настроите двойни SSID за вашата домашна мрежа. Ще пуснем SSID от безжичния безжичен рутер Linksys WRT54G. Ако не искате да преминете през неприятностите, свързани с мигането на персонализирания фърмуер на стария си рутер и извършването на допълнителни стъпки за конфигуриране, можете вместо това:
- Закупете по-нов маршрутизатор, който поддържа двойни SSID права от кутията, като например ASUS RT-N66U.
- Закупете втори безжичен рутер и го конфигурирайте като самостоятелна точка за достъп.
Освен ако вече не притежавате рутер, който поддържа двойни SSID (в такъв случай можете да пропуснете този урок и просто да прочетете ръководството за устройството), и двете от тези опции са по-малко от идеални, тъй като трябва да харчите допълнителни пари и, в случай на втората опция, направете куп допълнителни настройки, включително настройване на вторичната AP, за да не се намесвате и / или да се припокривате с основната си AP.
В светлината на всичко това, ние бяхме повече от щастливи да използваме хардуера, който вече имахме (Linksys WRT54G серия безжичен рутер) и пропуснем разходите за пари и допълнителни настройки на Wi-Fi мрежата.
Как да разбера, че моят рутер е съвместим?
Има два критични елемента за съвместимост, които трябва да проверите, за да имате успех с този урок. Първият и най-елементарен е да проверите дали вашият маршрутизатор има поддръжка на DD-WRT. Можете да посетите базата данни на маршрутизаторите на DD-WRT уикито тук, за да проверите.
След като установите, че вашият рутер е съвместим с DD-WRT, трябва да проверим номера на редакцията на чипа на вашия рутер. Ако имате наистина стар маршрутизатор на Linksys, например, той може да бъде перфектно работещ рутер по всякакъв начин, но чипът може да не поддържа двойни SSID (което го прави фундаментално несъвместим с урока).
Има две степени на съвместимост по отношение на номера на ревизията на рутера. Някои рутери могат да правят множество SSID, но не могат да разделят SSID на отделни абсолютно уникални точки за достъп (например уникален MAC адрес за всеки SSID). В някои ситуации това може да доведе до проблеми с някои Wi-Fi устройства, тъй като те се объркват за това кой SSID (тъй като и двамата имат един и същи MAC адрес) трябва да използват. За съжаление няма начин да се предскаже кои устройства ще се държат неправилно във вашата мрежа, затова не можем да ви препоръчаме да избягвате техниката, описана в този урок, ако откриете, че имате устройство, което не поддържа дискретни SSID..
Можете да проверите номера на редакцията, като извършите търсене с Google за конкретния модел на маршрутизатора заедно с номера на версията, отпечатан на етикета с информация (обикновено се намира на долната страна на маршрутизатора), но установихме, че тази техника е ненадеждна (етикети) може да бъде неправилно приложен, информацията, публикувана онлайн относно модела и датата на производство, може да бъде неточна и т.н.)
Най-надеждният начин да проверите номера на ревизията на чипа вътре в маршрутизатора е действително да проверите маршрутизатора, за да разберете. За да направите това, трябва да изпълните следните стъпки. Отворете telnet клиент (многофункционална програма като PuTTY или основната Windows Telnet команда) и telnet до IP адреса на вашия рутер (например 192.168.1.1). Влезте в маршрутизатора, като използвате потребителското си име и парола (имайте предвид, че за някои рутери, дори ако въведете „admin“ и „mypassword“, за да влезете в уеб-базирания портал за управление на маршрутизатора, може да се наложи да въведете „root“ "И" mypassword "за вход чрез telnet).
След като влезете в маршрутизатора, въведете следната команда в реда:
nvram покажи | grep corerev
Така ще се върне номерът на основната версия на чипа във вашия рутер в следния формат:
wl0_corerev = 9
wl_corerev =
Какво означава по-горе изход означава, че нашият рутер има един радио (wl0, няма wl1) и че основната ревизия на този радио чип е 9. Как тълкувате изхода? Номерът на редакцията, във връзка с нашето ръководство, означава следното:
- 0-4 Маршрутизаторът не поддържа множество SSID (с уникални идентификатори или по друг начин)
- 5-8 Маршрутизаторът поддържа множество SSID (но не с уникални идентификатори)
- 9+ Рутерът поддържа множество SSID (с уникални идентификатори)
Както можете да видите от командния изход по-горе, ние извадихме удоволствие. Чипът на нашия рутер е най-ниската версия, която поддържа множество SSID с уникални идентификатори.
След като определите, че вашият рутер може да поддържа множество SSID, ще трябва да инсталирате DD-WRT. Ако вашият маршрутизатор е доставен с DD-WRT или вече сте го инсталирали, фантастично. Ако все още не сте го инсталирали, препоръчваме да изтеглите подходящата версия от уеб сайта на DD-WRT и да следвате заедно с нашия урок: Превърнете домашния си маршрутизатор в супер-монтиран рутер с DD-WRT.
В допълнение към нашия урок, ние не можем да подчертаем стойността на обширната и отлично поддържана wiki-DD-WRT. Прочетете на вашия конкретен рутер и най-добрите практики за мигане на нов фърмуер там.
Конфигуриране на DD-WRT за множество SSID
Имате съвместим маршрутизатор, вие сте пробвали DD-WRT към него, сега е време да започнете да настройвате втория SSID. Точно както винаги трябва да мигате нов фърмуер през кабелна връзка, ние силно препоръчваме да работите по безжичната си настройка през кабелна връзка, така че промените да не накарат безжичния ви компютър да излезе от мрежата.
Отворете уеб браузъра на компютър, свързан с маршрутизатора чрез Ethernet. Отидете до IP на рутера по подразбиране (обикновено 198.168.1.1). В интерфейса DD-WRT преминете към Wireless -> Basic Settings (както е показано на снимката по-горе). Можете да видите, че съществуващата ни AP Wi-Fi има SSID „HTG_Office“.
В долната част на страницата, в секцията “Виртуални интерфейси”, кликнете върху бутона Добавяне. По-рано празната секция „Виртуални интерфейси“ ще се разширява с този предварително наложен запис:
Този виртуален интерфейс се препраща към съществуващия ви радиочип (забележете wl0.1 в заглавието на новия запис). Дори и стенограмите в SSID показват това, "vap" в края на SSID по подразбиране означава Виртуална точка за достъп. Нека разбием останалите записи под новия виртуален интерфейс.
Можете да преименувате SSID на каквото искате. В съответствие с нашата съществуваща конвенция за именуване (и за да улесним живота на нашите гости) ще променим SSID от подразбиращото се на „HTG_Guest“ - помнете, че основната ни AP Wi-Fi е „HTG_Office“.
Оставете безжичното SSID излъчване активирано. Не само, че много по-стари компютри и устройства, активирани с Wi-Fi, не играят много приятно с тайни SSID, но скритата мрежа за гости не е много привлекателна / полезна мрежа за гости.
AP Isolation е настройка за сигурност, която ще оставим по ваше усмотрение да разрешите или забраните. Ако активирате AP Isolation, всеки клиент от вашата гост Wi-Fi мрежа ще бъде напълно изолиран един от друг. От гледна точка на сигурността това е чудесно, тъй като не позволява на злонамерен потребител да обикаля клиентите на други потребители. Това обаче е по-скоро загриженост за корпоративните мрежи и публичните горещи точки. Практически това означава, че ако племенницата ви и племенникът свършат и искат да играят в Wi-Fi свързана игра на техните устройства от Nintendo DS, техните DS устройства няма да могат да се виждат. В повечето домашни и малки офис приложения има малка причина да се изолират AP.
Опцията Unbridged / Bridged в Network Configuration се отнася до това дали AP Wi-Fi ще бъде преодоляна или не във физическата мрежа. Тъй като това е контраинтуитивно, трябва да го оставите настроено на Bridged. Вместо да позволим на фърмуера на рутера да обработва (доста тромаво) процеса на прекъсване на връзката, ще премахнем ръчно всичко себе си с по-чист и по-стабилен изход.
След като промените своя SSID и прегледате настройките, кликнете върху Запиши.
След това преминете към Wireless -> Wireless Security:
По подразбиране няма втора защита. Можете да го оставите като такова временно за целите на тестването (ние оставихме нашите отворени до самия край), за да се спасим от въвеждането на паролата на вашите тестови устройства. Ние обаче не препоръчваме да го оставяте постоянно отворен. Независимо дали сте избрали да го оставите отворено или не в този момент, трябва да кликнете върху Запиши и след това да приложите Настройките за промените, които направихме и в предишния раздел, и този, за да влезе в сила. Бъдете търпеливи, може да отнеме до 2 минути, за да влязат в сила промените.
Сега е чудесно да потвърдите, че близките Wi-Fi устройства могат да виждат както първичните, така и вторичните AP. Отварянето на Wi-Fi интерфейса на смартфон е чудесен начин за бърза проверка. Ето изгледа от страницата за конфигуриране на Wi-Fi на нашия Android телефон:
Още не можем да се свържем с второстепенната AP, тъй като трябва да направим още няколко промени в маршрутизатора, но винаги е хубаво да ги виждаме и в списъка.
Следващата стъпка е да започнете процеса на разделяне на SSID в мрежата, като присвоите уникален набор от IP адреси на Wi-Fi устройствата за гости.
Придвижете се до Setup -> Networking. В раздела „Преодоляване“ кликнете върху бутона „Добавяне“.
Първо променете първоначалния слот на “br1”, оставете останалите стойности еднакви. Още няма да можете да виждате IP / Subnet влизането, видяно по-горе. Кликнете върху „Прилагане на настройките“. Новият мост ще бъде в раздела за преодоляване с наличните секции IP и подмрежа. Задайте IP адреса на една стойност от обичайния IP адрес на мрежата (например основната ви мрежа е 192.168.1.1, затова направете тази стойност 192.168.2.1). Задайте подмрежовата маска на 255.255.255.0. Кликнете отново върху „Прилагане на настройките“ в долната част на страницата.
Присвояване на мрежа за гости към Bridge
Забележка: благодарение на читателя Joel за посочване на тази част и даване на инструкции за добавяне към урока.
В „Присвояване на мост“ кликнете върху „Добавяне“. Изберете новия мост, който сте създали от първото падащо меню, и го сдвоите с интерфейса „wl0.1“.
Сега кликнете върху „Запазване“ и „Прилагане на настройките“.
След като промените бъдат приложени, превъртете до дъното на страницата още веднъж до секцията DHCPD. Кликнете върху „Добавяне“. Превключете първия слот на „br1“. Оставете останалите настройки еднакви (както е показано на снимката по-долу).
Натиснете още веднъж „Прилагане на настройките“. След като приключите всички задачи в страницата Setup -> Networking, трябва да сте добре да се свържете с DHCP заданието.
Забележка: Ако AP-то Wi-Fi, което конфигурирате за двойни SSID, е копие на копие на друго устройство (например имате два Wi-Fi маршрутизатора във вашия дом или офис, за да разширите покритието си и този, който задавате на SSID до госта на е # 2 във веригата) ще трябва да настроите DHCP в секцията Услуги. Ако това ви звучи като настройка, е време да преминете към секцията Услуги -> Услуги.
В секцията за услуги трябва да добавим малко код към секцията DNSMasq, така че маршрутизаторът да назначи динамично IP адреси на устройствата, които се свързват с мрежата за гости. Превъртете надолу в секцията DNSMasq. В полето „Допълнителни опции за DNSMasq“ поставете следния код (минус # коментарите, обясняващи функционалността на всеки ред):
# Позволява DHCP на br1
интерфейс = BR1
# Задайте шлюз по подразбиране за br1 клиенти
DHCP-опция = br1,3,192.168.2.1
# Задайте DHCP диапазон и време на лизинг по подразбиране от 24 часа за br1 клиенти
DHCP-гама = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Кликнете върху „Прилагане на настройките“ в долната част на страницата.
Независимо дали сте използвали техника една или две, изчакайте няколко минути, за да се свържете с новия си SSID за гости. Когато се свържете с SSID за гости, проверете вашия IP адрес. Трябва да имате IP адрес в диапазона, който посочихме по-горе. Отново е удобно да използвате смартфона си, за да проверите:
Всичко изглежда добре. Вторичната AP присвоява динамични IP адреси в подходящ диапазон, ние можем да влезем в интернет - правим бележка тук, огромен успех.
Единственият проблем обаче е, че вторичната АР все още има достъп до ресурсите на основната мрежа. Това означава, че всички мрежови принтери, мрежови дялове и такива са все още видими (можете да го тествате сега, опитайте се да намерите мрежов дял от основната си мрежа във вторичната AP)..
Ако ти искам гостите на вторичната AP да имат достъп до тези неща (и следват заедно с урока, за да можете да изпълнявате други задачи с двойна SSID, като ограничаване на честотната лента за гости или време, в което им е разрешено да използват интернет), след което ефективно се прави с настойнически.
Предполагаме, че повечето от вас биха искали да предпазят вашите гости от това да се гърчат в мрежата ви и да ги внимават да се придържат към Facebook и електронната поща. В този случай трябва да приключим процеса, като премахнем връзката на вторичната АР от физическата мрежа.
Отидете до Администрация -> Команди. Ще видите област с надпис „Command Shell“. Поставете следните команди, без реда за коментари в областта за редактиране:
#Removes гост достъп до физическа мрежа
iptables -I FORWARD -i br1 -o br0 -m състояние - състояние NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m състояние - състояние NEW -j DROP
#Removes гост достъп до GUI / портове за конфигуриране на маршрутизатора
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT - режектор-с tcp-reset
iptables -I INPUT -i br1 -p tcp - порт ssh -j REJECT - режектор с tcp-reset
iptables -I INPUT -i br1 -p tcp - порт на WWW -j REJECT - режектор-с tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT - режектор-с tcp-reset
Кликнете върху „Запазване на защитната стена“ и рестартирайте маршрутизатора.
Тези допълнителни правила за защитна стена просто спират всичко на два моста (частната мрежа и мрежата за обществено / гост) от говорене, както и отхвърлят всеки контакт между клиент в мрежата за гости и портовете telnet, SSH или уеб сървър на маршрутизатор (като по този начин ги ограничава от опит за достъп до конфигурационните файлове на рутера).
Думата за използването на командния интерфейс и скриптовете за стартиране, изключване и защитна стена. Първо, IPTABLES командите се обработват по ред. Промяната на реда на отделните линии може значително да промени изхода. Второ, има десетки на десетки маршрутизатори, поддържани от DD-WRT и в зависимост от вашия конкретен рутер и конфигурация може да се наложи да настроите командите IPTABLES по-горе. Скриптът работи за нашия рутер и използва най-широките и прости команди, за да изпълни задачата, така че трябва да работи за повечето рутери. Ако това не стане, ние настоятелно ви приканваме да потърсите вашия конкретен модел рутер в дискусионните форуми за DD-WRT и да видите дали други потребители са имали същите проблеми, които имате.
На този етап сте готови с конфигурацията и сте готови да се насладите на двойни SSID и всички предимства, които идват с тях. Можете лесно да дадете парола за гости (и да я промените по желание), да зададете правила за QoS за мрежата за гости и по друг начин да модифицирате и ограничите мрежата за гости по начин, който няма да повлияе на основната ви мрежа най-малко.