Sdílení vaší Wi-Fi s hosty je jen zdvořilá věc, ale to neznamená, že jim chcete poskytnout široce otevřený přístup k celé vaší LAN. Přečtěte si, jak vám ukážeme, jak nastavit router pro duální SSID a vytvořit samostatný (a zabezpečený) přístupový bod pro vaše hosty.
Proč to chci udělat?
Existuje několik velmi praktických důvodů, proč chcete nastavit domácí síť tak, aby měla duální přístupové body (AP).
Důvodem nejpraktičtější aplikace pro většinu lidí je jednoduše izolování vaší domácí sítě, takže hosté nemají přístup k věcem, které si přejete zůstat v soukromí. Výchozí konfigurace pro téměř každý domácí přístupový bod / router Wi-Fi je použití jediného bezdrátového přístupového bodu a každému, kdo má oprávnění k přístupu k tomuto AP, je poskytnut přístup k síti, jako by byl připojen přímo k AP přes Ethernet.
Jinými slovy, pokud dáte svému příteli, sousedovi, domácímu hostovi nebo kdokoli heslo k přístupovému bodu Wi-Fi, poskytli jste jim také přístup k vaší síťové tiskárně, veškerým otevřeným sdíleným složkám v síti, nezajištěným zařízením v síti atd. Možná jste jim chtěli nechat zkontrolovat e-mail nebo hrát hru online, ale dali jste jim svobodu toulat se kdekoli ve vaší interní síti.
I když většina z nás rozhodně nemá škodlivé hackery pro přátele, neznamená to, že není rozumné nastavit naše sítě tak, aby hosté zůstali tam, kam patří (na straně volného přístupu k internetu plotu) a nemohou jít tam, kam nemají (na straně domovského serveru / osobních sdílení plotu).
Dalším praktickým důvodem pro spuštění AP se dvěma SSID je schopnost nejen omezit, kam může hostující AP jít, ale kdy. Pokud jste například rodič, který chce omezit, jak pozdě může vaše dítě zůstat dinkovat na počítači, můžete dát jeho počítač, tablet atd. Na sekundární přístupový bod a nastavit omezení přístupu k internetu pro celý sub -SSID po, řekněme, po 21:00.
Co potřebuji?
Náš dnešní návod je zaměřen na použití směrovače kompatibilního s DD-WRT k dosažení duálních SSID. Jako takové budete potřebovat následující věci:
- 1 směrovač kompatibilní s DD-WRT s příslušnou revizí hardwaru (ukážeme vám, jak to zkontrolovat)
- 1 nainstalovaná kopie DD-WRT na uvedeném routeru
To není jediný způsob, jak nastavit duální SSID pro domácí síť. Chystáme se spustit naše SSID ze všudypřítomného bezdrátového routeru řady Linksys WRT54G. Pokud nechcete projít potížemi s blikáním vlastního firmwaru na starém routeru a provedením dalších konfiguračních kroků, můžete místo toho:
- Kupte si novější router, který podporuje duální SSID, hned po vybalení, například ASUS RT-N66U .
- Kupte si druhý bezdrátový router a nakonfigurujte jej jako samostatný přístupový bod.
Pokud již vlastníte směrovač, který podporuje duální SSID (v takovém případě můžete tento návod přeskočit a přečíst si pouze návod k vašemu zařízení), obě tyto možnosti jsou méně než ideální v tom, že musíte utratit peníze navíc a v případě druhá možnost, proveďte spoustu dalších konfigurací, včetně nastavení sekundárního AP tak, aby nezasahovalo a / nebo nepřekrývalo váš primární AP.
Ve světle toho všeho jsme byli více než rádi, že jsme použili hardware, který jsme již měli (bezdrátový router řady Linksys WRT54G), a přeskočili jsme výdaje na hotovost a vylepšení Wi-Fi sítě.
Jak zjistím, že je můj směrovač kompatibilní?
Abyste měli úspěch v tomto kurzu, musíte zkontrolovat dva důležité prvky kompatibility. První a nejzákladnější je zkontrolovat, zda váš konkrétní router podporuje DD-WRT. Můžete navštívit Router Database DD-WRT wiki tady zkontrolovat.
Jakmile zjistíte, že je váš router kompatibilní s DD-WRT, musíme zkontrolovat číslo revize čipu vašeho routeru. Máte-li například opravdu starý router Linksys, může se jednat o dokonalý opravitelný router ve všech směrech, ale čip nemusí podporovat duální SSID (což je v zásadě nekompatibilní s výukovým programem).
Pokud jde o číslo revize routeru, existují dva stupně kompatibility. Některé směrovače mohou provádět více SSID, ale nemohou SSID rozdělit do odlišných naprosto jedinečných přístupových bodů (např. Jedinečná MAC adresa pro každý SSID). V některých situacích to může způsobit problémy s některými zařízeními Wi-Fi, protože jsou zmateni, které SSID (protože obě mají stejnou adresu MAC), které by měly použít. Bohužel neexistuje způsob, jak předpovědět, která zařízení se ve vaší síti budou chovat špatně, takže nemůžeme úplně doporučit, abyste se vyhnuli metodě popsané v tomto kurzu, pokud zjistíte, že máte zařízení, které nepodporuje diskrétní SSID.
Číslo revize můžete zkontrolovat provedením vyhledávání Google pro konkrétní model vašeho routeru spolu s číslem verze vytištěným na informačním štítku (obvykle se nachází na spodní straně routeru), ale zjistili jsme, že tato technika je nespolehlivá (štítky mohou být nesprávně použity, informace zveřejněné online týkající se modelu a data výroby mohou být nepřesné atd.)
Nejspolehlivějším způsobem, jak zkontrolovat číslo revize čipu ve vašem routeru, je skutečně dotazovat router, abyste to zjistili. K tomu je třeba provést následující kroky. Otevřete klienta telnet (buď víceúčelový program, jako je PuTTY nebo základní příkaz Windows Telnet) a telnet na IP adresu vašeho routeru (např. 192.168.1.1). Přihlaste se ke směrovači pomocí přihlašovacího jména a hesla správce (mějte na paměti, že u některých směrovačů, i když zadáte „admin“ a „moje heslo“ pro přihlášení k webovému portálu pro správu na routeru, možná budete muset zadat „root“ “A„ moje heslo “pro přihlášení přes telnet).
Jakmile jste přihlášeni k routeru, zadejte do příkazového řádku následující příkaz:
nvram show | grep corerev
Tím se vrátí číslo základní revize čipu (čipů) ve vašem routeru v následujícím formátu:
wl0_corerev = 9
Lsrf =
Výše uvedený výstup znamená, že náš router má jedno rádio (wl0, není tam wl1) a že základní revize tohoto rádiového čipu je 9. Jak interpretujete výstup? Číslo revize ve vztahu k našemu průvodci znamená následující:
- 0-4 Router nepodporuje více SSID (s jedinečnými identifikátory nebo jinak)
- 5-8 Router podporuje více SSID (ale ne s jedinečnými identifikátory)
- 9+ Router podporuje více SSID (s jedinečnými identifikátory)
Jak můžete vidět z našeho výstupního příkazu výše, měli jsme štěstí. Čip našeho routeru je nejnižší revizí, která podporuje více SSID s jedinečnými identifikátory.
Jakmile zjistíte, že váš směrovač podporuje více SSID, budete si muset nainstalovat DD-WRT. Pokud byl váš router dodán s DD-WRT nebo jste jej již nainstalovali, je to skvělé. Pokud jste si ji ještě nenainstalovali, doporučujeme stáhnout příslušnou verzi z webu DD-WRT a postupovat společně s naším tutoriálem: Proměňte svůj domácí router na vysoce výkonný router s DD-WRT .
Kromě našeho tutoriálu nemůžeme zdůraznit hodnotu rozsáhlých a skvěle udržovaných DD-WRT wiki . Přečtěte si informace o konkrétním routeru a osvědčené postupy pro aktualizaci nového firmwaru.
Konfigurace DD-WRT pro více SSID
Máte kompatibilní směrovač, připojili jste k němu DD-WRT, nyní je čas začít nastavovat druhý SSID. Stejně jako byste měli vždy aktualizovat nový firmware přes kabelové připojení, důrazně doporučujeme pracovat na bezdrátovém nastavení pomocí kabelového připojení, aby změny nevynucovaly bezdrátový počítač mimo síť.
Otevřete webový prohlížeč na počítači připojeném k routeru přes Ethernet. Přejděte na výchozí adresu IP routeru (obvykle 198.168.1.1). V rozhraní DD-WRT přejděte na Bezdrátové -> Základní nastavení (jak je vidět na snímku obrazovky výše). Uvidíte, že náš stávající Wi-Fi AP má SSID „HTG_Office“.
V dolní části stránky v části „Virtuální rozhraní“ klikněte na tlačítko Přidat. Dříve prázdná část „Virtuální rozhraní“ se rozbalí s touto předem vyplněnou položkou:
Toto virtuální rozhraní je připojeno k vašemu stávajícímu rádiovému čipu (všimněte si wl0.1 v názvu nového záznamu). I zkratka v SSID to naznačovala, „vap“ na konci výchozího SSID znamená Virtual Access Point. Pojďme rozebrat zbývající položky v novém virtuálním rozhraní.
SSID můžete přejmenovat na libovolné. V souladu s naší existující konvencí pojmenování (a pro usnadnění života našim hostům) změníme SSID z výchozího na „HTG_Guest“ - nezapomeňte, že náš hlavní Wi-Fi AP je „HTG_Office“.
Nechejte bezdrátové vysílání SSID povoleno. Mnoho starších počítačů a zařízení podporujících Wi-Fi nejenže nehraje moc dobře s tajnými SSID, ale skrytá síť pro hosty není příliš příjemná / užitečná síť pro hosty.
AP Isolation je nastavení zabezpečení, které podle vašeho uvážení povolíme nebo zakážeme. Pokud povolíte izolaci AP, bude každý klient ve vaší Wi-Fi síti hosta zcela izolován od sebe navzájem. Z bezpečnostního hlediska je to skvělé, protože uživateli se zlými úmysly brání v pronásledování klientů ostatních uživatelů. To se ale spíše týká firemních sítí a veřejných hotspotů. V praxi to také znamená, že pokud vaše neteř a synovec skončili a chtějí si zahrát hru spojenou s Wi-Fi na svých jednotkách Nintendo DS, jejich jednotky DS se navzájem nevidí. Ve většině domácích a malých kancelářských aplikací není důvod izolovat přístupové body.
Možnost Unbridged / Bridged v Network Configuration odkazuje na to, zda bude Wi-Fi AP přemostěn či nikoli do fyzické sítě. Jakkoli je to neintuitivní, musíte to nechat nastaveno na Bridged. Spíše než necháme firmware routeru zpracovat (spíše neohrabaně) proces odpojení, budeme vše ručně odpojovat s čistším a stabilnějším výsledkem.
Po změně SSID a kontrole nastavení klikněte na Uložit.
Dále přejděte na Bezdrátové připojení -> Zabezpečení bezdrátové sítě:
Ve výchozím nastavení není na druhém přístupovém bodu žádné zabezpečení. Můžete jej tak dočasně nechat pro účely testování (naši jsme nechali otevřenou až do samého konce), abyste se ušetřili zadávání hesla na svých testovacích zařízeních. Nedoporučujeme však ponechat jej trvale otevřený. Ať už se rozhodnete v tomto okamžiku nechat otevřené, nebo ne, musíte kliknout na Uložit a poté Použít nastavení, aby se změny, které jsme provedli v předchozí části i v této, projevily. Buďte trpěliví, změny se projeví až za 2 minuty.
Nyní je skvělý čas potvrdit, že blízká zařízení Wi-Fi mohou vidět primární i sekundární přístupové body. Otevření rozhraní Wi-Fi ve smartphonu je skvělý způsob, jak rychle zkontrolovat. Toto je pohled z konfigurační stránky Wi-Fi telefonu Android:
K sekundárnímu přístupovému bodu se zatím nemůžeme připojit, protože v routeru potřebujeme provést několik dalších změn, ale je vždy příjemné je vidět v seznamu.
Dalším krokem je zahájení procesu oddělování identifikátorů SSID v síti přiřazením jedinečného rozsahu adres IP hostujícím zařízením Wi-Fi.
Přejděte na Nastavení -> Sítě. V části Přemostění klikněte na tlačítko Přidat.
Nejprve změňte počáteční slot na „br1“, zbývající hodnoty ponechte stejné. Zatím neuvidíte výše zobrazenou položku IP / Subnet. Klikněte na „Použít nastavení“. Nový most bude v sekci Přemostění s dostupnými částmi IP a Subnet. Nastavte IP adresu na jednu hodnotu oproti IP vaší běžné sítě (např. Vaše primární síť je 192.168.1.1, takže tuto hodnotu nastavte na 192.168.2.1). Nastavte masku podsítě na 255.255.255.0. Znovu klikněte na „Použít nastavení“ v dolní části stránky.
Přiřaďte síť hosta k Bridge
Poznámka: děkujeme čtenáři Joelovi za to, že upozornil na tuto část a dal nám pokyny, jak přidat do tohoto kurzu.
V části „Přiřadit k Bridge“ klikněte na „Přidat“. V prvním rozevíracím seznamu vyberte nový most, který jste vytvořili, a spárujte jej s rozhraním „wl0.1“.
Nyní klikněte na „Uložit“ a „Použít nastavení“.
Po provedení změn přejděte ještě jednou do dolní části stránky do sekce DHCPD. Klikněte na „Přidat“. Přepněte první slot na „br1“. Zbytek nastavení ponechte stejná (jak je vidět na obrázku níže).
Ještě jednou klikněte na „Použít nastavení“. Po dokončení všech úkolů na stránce Nastavení -> Sítě byste měli jít na připojení a přiřazení DHCP.
Poznámka: Pokud přístupový bod Wi-Fi, který konfigurujete pro duální SSID, podporuje jiné zařízení (např. Máte doma dva nebo dva směrovače Wi-Fi pro rozšíření pokrytí a ten, který nastavujete SSID hosta on je # 2 v řetězci), budete muset nastavit DHCP v sekci Služby. Pokud to zní jako vaše nastavení, je čas přejít do sekce Služby -> Služby.
V sekci služeb musíme do sekce DNSMasq přidat trochu kódu, aby router správně přidělil dynamické IP adresy zařízením připojeným k síti hosta. Přejděte dolů do sekce DNSMasq. Do pole „Další možnosti DNSMasq“ vložte následující kód (minus # komentářů vysvětlujících funkčnost každého řádku):
# Povoluje DHCP na br1
interface = br1
# Nastavte výchozí bránu pro klienty br1
dhcp-option = br1,3,192.168.2.1
# Nastavte rozsah DHCP a výchozí dobu pronájmu 24 hodin pro klienty br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255,255,255,0,24h
V dolní části stránky klikněte na „Použít nastavení“.
Ať už jste použili techniku jeden nebo dva, počkejte několik minut, než se připojíte k novému SSID hosta. Když se připojíte k SSID hosta, zkontrolujte svou IP adresu. Měli byste mít IP v rozsahu, který jsme specifikovali výše. Opět je užitečné použít smartphone ke kontrole:
Všechno vypadá dobře. Sekundární AP přiřazuje dynamické adresy IP ve vhodném rozsahu, který můžeme získat na internetu - zde si děláme poznámku, obrovský úspěch.
Jediným problémem však je, že sekundární přístupový bod má stále přístup ke zdrojům primární sítě. To znamená, že všechny síťové tiskárny, sdílené síťové složky a podobné jsou stále viditelné (můžete to nyní otestovat, zkuste najít síťovou sdílenou složku z vaší primární sítě na sekundárním přístupovém bodu).
jestli ty chci hosté na sekundárním přístupovém bodu mají přístup k těmto věcem (a sledují společně s tutoriálem, takže můžete dělat další úkoly s duálními SSID, jako je omezit šířku pásma pro hosty nebo časy, kdy mají povoleno používat internet), pak jste skutečně tutorial.
Představujeme si, že většina z vás by chtěla zabránit svým hostům, aby se hnali po vaší síti, a jemně je stádovat, aby se drželi Facebooku a e-mailu. V takovém případě musíme proces dokončit odpojením sekundárního AP od fyzické sítě.
Přejděte do části Správa -> Příkazy. Uvidíte oblast označenou „Command Shell“. Vložte následující příkazy, bez řádků # komentáře, do upravitelné oblasti:
# Odebere přístup hosta k fyzické síti
iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
# Odebere přístup hosta ke konfiguračnímu grafickému uživatelskému rozhraní / portům routeru
iptables -I VSTUP -i br1 -p tcp --dport telnet -j ODMÍTNOUT - odmítnout-s tcp-reset
iptables -I VSTUP -i br1 -p tcp --dport ssh -j ODMÍTNOUT - odmítnout-s tcp-reset
iptables -I VSTUP -i br1 -p tcp --dport www -j ODMÍTNOUT - odmítnout-s tcp-reset
iptables -I VSTUP -i br1 -p tcp --dport https -j ODMÍTNOUT - odmítnout-s tcp-reset
Klikněte na „Uložit bránu firewall“ a restartujte router.
Tato další pravidla brány firewall jednoduše zabrání všem hovorům na dvou mostech (privátní síť a veřejná / hostující síť) a odmítnou jakýkoli kontakt mezi klientem v síti hosta a porty telnetu, SSH nebo webového serveru na router (což jim znemožňuje vůbec pokus o přístup k konfiguračním souborům routeru).
Slovo o používání příkazového prostředí a skriptech spouštění, vypínání a brány firewall. Nejprve jsou příkazy IPTABLES zpracovány v pořadí. Změna pořadí jednotlivých linií může významně změnit výsledek. Za druhé, DD-WRT podporuje desítky až desítky routerů a v závislosti na vašem konkrétním routeru a konfiguraci budete možná muset vyladit výše uvedené příkazy IPTABLES. Skript fungoval pro náš směrovač a k provedení úkolu používá nejširší a nejjednodušší možné příkazy, takže by měl fungovat pro většinu směrovačů. Pokud tomu tak není, důrazně vás žádáme, abyste vyhledali svůj konkrétní model routeru diskusní fóra DD-WRT a zjistěte, zda se ostatní uživatelé setkali se stejnými problémy jako vy.
V tomto okamžiku jste s konfigurací hotovi a jste připraveni využívat duální SSID a všechny výhody, které jejich spuštění přináší. Můžete snadno rozdat heslo pro hosta (a libovolně ho změnit), nastavit pravidla QoS pro síť pro hosty a jinak upravit a omezit síť pro hosty způsobem, který nebude mít na vaši primární síť vůbec žádný vliv.
