Το να μοιράζεσαι το Wi-Fi με τους επισκέπτες είναι απλώς το ευγενικό πράγμα που πρέπει να κάνεις, αλλά αυτό δεν σημαίνει ότι θέλεις να τους δώσεις ευρεία πρόσβαση σε ολόκληρο το LAN. Διαβάστε παρακάτω καθώς σας δείχνουμε πώς να ρυθμίσετε το δρομολογητή σας για διπλά SSID και να δημιουργήσετε ένα ξεχωριστό (και ασφαλές) σημείο πρόσβασης για τους καλεσμένους σας.
Γιατί θέλω να το κάνω αυτό;
Υπάρχουν πολλοί πολύ πρακτικοί λόγοι για τους οποίους θέλετε να ρυθμίσετε το οικιακό σας δίκτυο ώστε να έχει διπλά σημεία πρόσβασης (AP).
Ο λόγος με την πιο πρακτική εφαρμογή για τον μεγαλύτερο αριθμό ατόμων είναι απλώς η απομόνωση του οικιακού σας δικτύου, έτσι ώστε οι επισκέπτες να μην έχουν πρόσβαση σε πράγματα που θέλετε να παραμείνουν ιδιωτικά. Η προεπιλεγμένη διαμόρφωση για σχεδόν κάθε σημείο πρόσβασης / δρομολογητή οικιακού Wi-Fi είναι η χρήση ενός μόνο σημείου ασύρματης πρόσβασης και σε οποιονδήποτε εξουσιοδοτημένο να έχει πρόσβαση σε αυτό το AP δίνεται πρόσβαση στο δίκτυο σαν να ήταν συνδεδεμένο απευθείας στο AP μέσω Ethernet.
Με άλλα λόγια, εάν δώσετε στον φίλο, τον γείτονά σας, τον επισκέπτη του σπιτιού ή Οποιοσδήποτε τον κωδικό πρόσβασης για το AP Wi-Fi, τους έχετε δώσει επίσης πρόσβαση στον εκτυπωτή δικτύου σας, τυχόν ανοιχτές κοινοποιήσεις στο δίκτυό σας, μη ασφαλείς συσκευές στο δίκτυό σας και ούτω καθεξής. Ίσως θέλατε απλώς να τους αφήσετε να ελέγξουν το email τους ή να παίξουν ένα παιχνίδι στο διαδίκτυο, αλλά τους έχετε δώσει την ελευθερία να περιφέρονται οπουδήποτε θέλουν στο εσωτερικό σας δίκτυο.
Τώρα, ενώ η πλειοψηφία από εμάς σίγουρα δεν έχουμε κακόβουλους χάκερ για φίλους, αυτό δεν σημαίνει ότι δεν είναι συνετό να δημιουργήσουμε τα δίκτυά μας έτσι ώστε οι επισκέπτες να μένουν εκεί που ανήκουν (στην ελεύθερη πλευρά πρόσβασης στο διαδίκτυο του φράχτη) και δεν μπορώ να πάω εκεί που δεν το κάνουν (στον κεντρικό διακομιστή / στα προσωπικά κοινόχρηστα μέρη του φράχτη)
Ένας άλλος πρακτικός λόγος για την εκτέλεση ενός AP με δύο SSID είναι η δυνατότητα όχι μόνο περιορισμού του πού μπορεί να πάει ο επισκέπτης AP, αλλά πότε. Εάν είστε γονέας, για παράδειγμα, θέλει να περιορίσει το πόσο αργά το παιδί σας μπορεί να μείνει μέχρι να κοιμάται στον υπολογιστή, μπορείτε να βάλετε τον υπολογιστή, το tablet κ.λπ. στο δευτερεύον AP και να ορίσετε περιορισμούς στην πρόσβαση στο Διαδίκτυο για ολόκληρη -SSID μετά, ας πούμε, 9PM.
Τι χρειάζομαι?
Το σεμινάριό μας σήμερα επικεντρώνεται στη χρήση ενός συμβατού δρομολογητή DD-WRT για την επίτευξη διπλών SSID. Ως εκ τούτου, θα χρειαστείτε τα ακόλουθα πράγματα:
- 1 συμβατός με DD-WRT δρομολογητής με κατάλληλη αναθεώρηση υλικού (θα σας δείξουμε πώς να ελέγξετε)
- 1 εγκατεστημένο αντίγραφο του DD-WRT στον εν λόγω δρομολογητή
Αυτός δεν είναι ο μόνος τρόπος για να δημιουργήσετε διπλά SSID για το οικιακό σας δίκτυο. Θα εκτελέσουμε τα SSID μας από τον πανταχού παρόν ασύρματο δρομολογητή της σειράς Linksys WRT54G. Εάν δεν θέλετε να περάσετε από την ταλαιπωρία του προσαρμοσμένου υλικολογισμικού στον παλιό σας δρομολογητή και να κάνετε τα επιπλέον βήματα διαμόρφωσης, θα μπορούσατε αντ 'αυτού:
- Αγοράστε έναν νεότερο δρομολογητή που υποστηρίζει διπλά SSID απευθείας από το κουτί, όπως το ASUS RT-N66U .
- Αγοράστε έναν δεύτερο ασύρματο δρομολογητή και διαμορφώστε τον ως αυτόνομο σημείο πρόσβασης.
Εάν δεν διαθέτετε ήδη δρομολογητή που υποστηρίζει διπλά SSID (στην περίπτωση αυτή, μπορείτε να παραλείψετε αυτό το σεμινάριο και να διαβάσετε το εγχειρίδιο για τη συσκευή σας) και οι δύο αυτές επιλογές είναι λιγότερο από ιδανικές, καθώς πρέπει να ξοδέψετε επιπλέον χρήματα και, στην περίπτωση τη δεύτερη επιλογή, κάντε μια δέσμη επιπλέον ρυθμίσεων συμπεριλαμβανομένης της ρύθμισης του δευτερεύοντος AP για να μην παρεμβαίνει ή / και να επικαλύπτεται με το κύριο AP σας.
Υπό το πρίσμα όλων αυτών, ήμασταν πολύ ευτυχείς που χρησιμοποιούσαμε υλικό που είχαμε ήδη (το Wireless Router Linksys WRT54G series) και παραλείψαμε την έξοδο μετρητών και επιπλέον μικροδιαμόρφωση δικτύου Wi-Fi.
Πώς ξέρω ότι ο δρομολογητής μου είναι συμβατός;
Υπάρχουν δύο κρίσιμα στοιχεία συμβατότητας που πρέπει να ελέγξετε για να έχετε επιτυχία με αυτό το σεμινάριο. Το πρώτο, και το πιο στοιχειώδες, είναι να ελέγξετε ότι ο συγκεκριμένος δρομολογητής σας διαθέτει υποστήριξη DD-WRT. Μπορείτε να επισκεφθείτε το Βάση δεδομένων Router του DD-WRT wiki εδώ για έλεγχο.
Αφού διαπιστώσετε ότι ο δρομολογητής σας είναι συμβατός με το DD-WRT, πρέπει να ελέγξουμε τον αριθμό αναθεώρησης του chip του δρομολογητή σας. Εάν έχετε έναν πραγματικά παλιό δρομολογητή Linksys, για παράδειγμα, μπορεί να είναι ένας τέλειος δρομολογητής με δυνατότητα εξυπηρέτησης με κάθε τρόπο, αλλά το τσιπ μπορεί να μην υποστηρίζει διπλά SSID (γεγονός που το καθιστά βασικά ασύμβατο με το σεμινάριο).
Υπάρχουν δύο βαθμοί συμβατότητας όσον αφορά τον αριθμό αναθεώρησης του δρομολογητή. Ορισμένοι δρομολογητές μπορούν να κάνουν πολλά SSID, αλλά δεν μπορούν να χωρίσουν τα SSID σε ξεχωριστά εντελώς μοναδικά σημεία πρόσβασης (π.χ. μια μοναδική διεύθυνση MAC για κάθε SSID). Σε ορισμένες περιπτώσεις, αυτό μπορεί να προκαλέσει προβλήματα σε ορισμένες συσκευές Wi-Fi καθώς συγχέονται με το ποιο SSID (καθώς και οι δύο έχουν την ίδια διεύθυνση MAC) που πρέπει να χρησιμοποιούν. Δυστυχώς, δεν υπάρχει τρόπος να προβλεφθεί ποιες συσκευές θα συμπεριφέρονται εσφαλμένα στο δίκτυό σας, οπότε δεν μπορούμε να σας προτείνουμε να αποφύγετε την τεχνική που περιγράφεται σε αυτό το σεμινάριο εάν διαπιστώσετε ότι διαθέτετε μια συσκευή που δεν υποστηρίζει διακριτά SSID.
Μπορείτε να ελέγξετε τον αριθμό αναθεώρησης πραγματοποιώντας μια αναζήτηση Google για το συγκεκριμένο μοντέλο του δρομολογητή σας μαζί με τον αριθμό έκδοσης που αναγράφεται στην ετικέτα πληροφοριών (συνήθως βρίσκεται στην κάτω πλευρά του δρομολογητή), αλλά διαπιστώσαμε ότι αυτή η τεχνική είναι αναξιόπιστη (ετικέτες μπορεί να εφαρμοστεί εσφαλμένα, οι πληροφορίες που δημοσιεύονται στο διαδίκτυο σχετικά με το μοντέλο και την ημερομηνία κατασκευής μπορεί να είναι ανακριβείς κ.λπ.)
Ο πιο αξιόπιστος τρόπος για να ελέγξετε τον αριθμό αναθεώρησης του chip στο δρομολογητή σας είναι να κάνετε πραγματικά δημοσκόπηση του δρομολογητή για να το μάθετε. Για να το κάνετε αυτό πρέπει να ακολουθήσετε τα παρακάτω βήματα. Ανοίξτε ένα πρόγραμμα-πελάτη telnet (είτε ένα πρόγραμμα πολλαπλών χρήσεων όπως το PuTTY είτε τη βασική εντολή Windows Telnet) και telnet στη διεύθυνση IP του δρομολογητή σας (π.χ. 192.168.1.1). Συνδεθείτε στο δρομολογητή χρησιμοποιώντας τη σύνδεση και τον κωδικό πρόσβασης του διαχειριστή σας (να γνωρίζετε ότι για ορισμένους δρομολογητές, ακόμη και αν πληκτρολογήσετε "διαχειριστής" και "mypassword" για να συνδεθείτε στην διαδικτυακή πύλη διαχείρισης στο δρομολογητή, ίσως χρειαστεί να πληκτρολογήσετε "Και" mypassword "για σύνδεση μέσω telnet).
Μόλις συνδεθείτε στο δρομολογητή, πληκτρολογήστε την ακόλουθη εντολή στη γραμμή εντολών:
nvram show | grep corerev
Αυτό θα επιστρέψει τον βασικό αριθμό αναθεώρησης των τσιπ στο δρομολογητή σας στην ακόλουθη μορφή:
wl0_corerev = 9
Lsrf =
Τι σημαίνει η παραπάνω έξοδος είναι ότι ο δρομολογητής μας έχει ένα ραδιόφωνο (wl0, δεν υπάρχει wl1) και ότι η βασική αναθεώρηση αυτού του τσιπ ραδιοφώνου είναι 9. Πώς ερμηνεύετε την έξοδο; Ο αριθμός αναθεώρησης, σε σχέση με τον οδηγό μας, σημαίνει τα εξής:
- 0-4 Ο δρομολογητής δεν υποστηρίζει πολλαπλά SSID (με μοναδικά αναγνωριστικά ή αλλιώς)
- 5-8 Ο δρομολογητής υποστηρίζει πολλαπλά SSID (αλλά όχι με μοναδικά αναγνωριστικά)
- 9+ Ο δρομολογητής υποστηρίζει πολλαπλά SSID (με μοναδικά αναγνωριστικά)
Όπως μπορείτε να δείτε από την έξοδο εντολών μας παραπάνω, είμαστε τυχεροί. Το τσιπ του δρομολογητή μας είναι η χαμηλότερη αναθεώρηση που υποστηρίζει πολλαπλά SSID με μοναδικά αναγνωριστικά.
Αφού διαπιστώσετε ότι ο δρομολογητής σας μπορεί να υποστηρίξει πολλά SSID, θα χρειαστεί να εγκαταστήσετε το DD-WRT. Εάν ο δρομολογητής σας αποστέλλεται με DD-WRT ή το έχετε ήδη εγκαταστήσει, φανταστικό. Εάν δεν το έχετε ήδη εγκαταστήσει, σας συνιστούμε να κατεβάσετε την κατάλληλη έκδοση από τον ιστότοπο DD-WRT και να ακολουθήσετε μαζί με το σεμινάριό μας: Μετατρέψτε τον οικιακό δρομολογητή σας σε έναν υπερδύναμο δρομολογητή με DD-WRT .
Εκτός από το σεμινάριό μας, δεν μπορούμε να τονίσουμε την αξία του εκτεταμένου και άριστα διατηρημένου WD DD-WRT . Διαβάστε τον συγκεκριμένο δρομολογητή σας και τις βέλτιστες πρακτικές για την αναβάθμιση ενός νέου υλικολογισμικού εκεί.
Διαμόρφωση DD-WRT για πολλαπλά SSID
Έχετε έναν συμβατό δρομολογητή, έχετε κάνει λάμψη DD-WRT, τώρα ήρθε η ώρα να ξεκινήσετε τη ρύθμιση αυτού του δεύτερου SSID. Ακριβώς όπως θα πρέπει πάντα να αναβοσβήνετε νέο υλικολογισμικό μέσω ενσύρματης σύνδεσης, σας συνιστούμε ανεπιφύλακτα να εργαστείτε στην ασύρματη εγκατάσταση μέσω ενσύρματης σύνδεσης, ώστε οι αλλαγές να μην αναγκάζουν τον ασύρματο υπολογιστή σας από το δίκτυο.
Ανοίξτε το πρόγραμμα περιήγησης ιστού σε έναν υπολογιστή που είναι συνδεδεμένος στο δρομολογητή μέσω Ethernet. Μεταβείτε στην προεπιλεγμένη IP του δρομολογητή (συνήθως 198.168.1.1). Στη διεπαφή DD-WRT, μεταβείτε στην επιλογή Wireless -> Basic Settings (όπως φαίνεται στο παραπάνω στιγμιότυπο οθόνης). Μπορείτε να δείτε ότι το υπάρχον AP Wi-Fi διαθέτει το SSID "HTG_Office".
Στο κάτω μέρος της σελίδας, στην ενότητα "Εικονικές διεπαφές", κάντε κλικ στο κουμπί Προσθήκη. Η προηγούμενη κενή ενότητα «Εικονικές διασυνδέσεις» θα επεκταθεί με αυτήν την προπληρωμένη καταχώριση:
Αυτή η εικονική διεπαφή μεταφέρεται στο υπάρχον ραδιόφωνο chip (σημειώστε το wl0.1 στον τίτλο της νέας καταχώρησης) Ακόμη και η συντομογραφία στο SSID το έδειξε αυτό, το "vap" στο τέλος του προεπιλεγμένου SSID σημαίνει Virtual Access Point. Ας αναλύσουμε τις υπόλοιπες καταχωρήσεις κάτω από τη νέα εικονική διεπαφή
Μπορείτε να μετονομάσετε το SSID σε ό, τι θέλετε. Σύμφωνα με την υπάρχουσα σύμβαση ονομασίας (και για να διευκολύνουμε τη ζωή των επισκεπτών μας), θα αλλάξουμε το SSID από την προεπιλογή σε "HTG_Guest" - θυμηθείτε ότι το κύριο AP Wi-Fi είναι το "HTG_Office".
Αφήστε την ασύρματη μετάδοση SSID ενεργοποιημένη. Όχι μόνο πολλοί παλαιότεροι υπολογιστές και συσκευές με δυνατότητα Wi-Fi δεν παίζουν πολύ ωραία με μυστικά SSID, αλλά ένα κρυφό δίκτυο επισκεπτών δεν είναι ένα πολύ ελκυστικό / χρήσιμο δίκτυο επισκεπτών.
Το AP Isolation είναι μια ρύθμιση ασφαλείας που θα αφήσουμε κατά την κρίση σας για ενεργοποίηση ή απενεργοποίηση. Εάν ενεργοποιήσετε το AP Isolation κάθε πελάτης στο δίκτυο Wi-Fi των επισκεπτών σας θα είναι εντελώς απομονωμένος ο ένας από τον άλλο. Από άποψη ασφάλειας, αυτό είναι υπέροχο, καθώς αποτρέπει έναν κακόβουλο χρήστη από το να σπρώχνει τους πελάτες άλλων χρηστών. Ωστόσο, αυτό αφορά περισσότερο τα εταιρικά δίκτυα και τα δημόσια σημεία πρόσβασης. Πρακτικά, αυτό σημαίνει επίσης ότι αν η ανιψιά και ο ανιψιός σας έχουν τελειώσει και θέλουν να παίξουν ένα παιχνίδι με σύνδεση Wi-Fi στις μονάδες Nintendo DS, οι μονάδες DS τους δεν θα μπορούν να δουν ο ένας τον άλλον. Στις περισσότερες εφαρμογές οικιακών και μικρών γραφείων υπάρχει λίγος λόγος για την απομόνωση των AP.
Η επιλογή Unbridged / Bridged στο Network Configuration αναφέρεται στο εάν το Wi-Fi AP θα γεφυρωθεί ή όχι στο φυσικό δίκτυο. Όσο αντίθετο είναι αυτό, πρέπει να το αφήσετε στο Bridged. Αντί να αφήσουμε το υλικολογισμικό του δρομολογητή να χειριστεί (μάλλον αδέξια) τη διαδικασία αποσύνδεσης, θα καταργήσουμε χειροκίνητα τα πάντα με ένα καθαρότερο και πιο σταθερό αποτέλεσμα.
Μόλις αλλάξετε το SSID και ελέγξετε τις ρυθμίσεις, κάντε κλικ στην επιλογή Αποθήκευση.
Στη συνέχεια πλοηγηθείτε στο Wireless -> Wireless Security:
Από προεπιλογή, δεν υπάρχει ασφάλεια στο δεύτερο AP. Μπορείτε να το αφήσετε ως προσωρινό για δοκιμαστικούς σκοπούς (αφήσαμε το δικό μας ανοιχτό μέχρι το τέλος) για να σώσετε τον εαυτό σας από το να πληκτρολογήσετε τον κωδικό πρόσβασης στις δοκιμαστικές συσκευές σας. Δεν συνιστούμε, ωστόσο, να το αφήσετε μόνιμα ανοιχτό. Είτε επιλέξετε να το αφήσετε ανοιχτό είτε όχι σε αυτό το σημείο, πρέπει να κάνετε κλικ στο Αποθήκευση και, στη συνέχεια, Εφαρμογή ρυθμίσεων για τις αλλαγές που κάναμε τόσο στην προηγούμενη ενότητα όσο και σε αυτήν για να τεθεί σε ισχύ. Να είστε υπομονετικοί, μπορεί να χρειαστούν έως και 2 λεπτά για να εφαρμοστούν οι αλλαγές.
Τώρα είναι η κατάλληλη στιγμή για να επιβεβαιώσετε ότι οι κοντινές συσκευές Wi-Fi μπορούν να δουν τόσο τα κύρια όσο και τα δευτερεύοντα AP. Το άνοιγμα της διεπαφής Wi-Fi σε smartphone είναι ένας πολύ καλός τρόπος για γρήγορο έλεγχο. Ακολουθεί η προβολή από τη σελίδα διαμόρφωσης Wi-Fi του τηλεφώνου Android:
Δεν μπορούμε να συνδεθούμε με το δευτερεύον AP, καθώς πρέπει να κάνουμε μερικές ακόμη αλλαγές στο δρομολογητή, αλλά είναι πάντα ωραίο να βλέπουμε και τα δύο στη λίστα.
Το επόμενο βήμα είναι να ξεκινήσετε τη διαδικασία διαχωρισμού των SSID στο δίκτυο, εκχωρώντας ένα μοναδικό εύρος διευθύνσεων IP στις συσκευές Wi-Fi των επισκεπτών.
Μεταβείτε στο Ρύθμιση -> Δικτύωση. Στην ενότητα "Bridging", κάντε κλικ στο κουμπί Προσθήκη.
Αρχικά, αλλάξτε την αρχική υποδοχή σε "br1", αφήστε τις υπόλοιπες τιμές ίδιες. Δεν θα μπορείτε να δείτε την καταχώριση IP / Subnet που φαίνεται παραπάνω. Κάντε κλικ στο "Εφαρμογή ρυθμίσεων". Η νέα γέφυρα θα βρίσκεται στην ενότητα Bridging με τις διαθέσιμες ενότητες IP και Subnet. Ορίστε τη διεύθυνση IP σε μία τιμή από την κανονική IP του δικτύου σας (π.χ. το πρωτεύον δίκτυό σας είναι 192.168.1.1, οπότε κάντε αυτήν την τιμή 192.168.2.1). Ορίστε τη μάσκα υποδικτύου σε 255.255.255.0. Κάντε ξανά κλικ στο «Εφαρμογή ρυθμίσεων» στο κάτω μέρος της σελίδας.
Αντιστοίχιση δικτύου επισκεπτών στο Bridge
Σημείωση: ευχαριστώ τον αναγνώστη Joel που μας επεσήμανε αυτό το μέρος και μας έδωσε τις οδηγίες για προσθήκη στο σεμινάριο.
Στην ενότητα "Αντιστοίχιση στη γέφυρα", κάντε κλικ στην επιλογή "Προσθήκη". Επιλέξτε τη νέα γέφυρα που δημιουργήσατε από το πρώτο αναπτυσσόμενο μενού και αντιστοιχίστε τη με τη διεπαφή "wl0.1".
Τώρα κάντε κλικ στο "Αποθήκευση" και "Εφαρμογή ρυθμίσεων".
Μετά την εφαρμογή των αλλαγών, μεταβείτε ξανά στο κάτω μέρος της σελίδας στην ενότητα DHCPD. Κάντε κλικ στο "Προσθήκη". Αλλάξτε την πρώτη υποδοχή σε "br1". Αφήστε τις υπόλοιπες ρυθμίσεις ίδιες (όπως φαίνεται στο παρακάτω στιγμιότυπο οθόνης).
Κάντε κλικ στο "Εφαρμογή ρυθμίσεων" για άλλη μια φορά. Μόλις ολοκληρώσετε όλες τις εργασίες στη σελίδα Ρύθμιση -> Δικτύωση θα πρέπει να είστε έτοιμοι για σύνδεση και ανάθεση DHCP.
Σημείωση: Εάν το AP Wi-Fi που διαμορφώνετε για διπλά SSID υποστηρίζει piggy σε άλλη συσκευή (π.χ. έχετε δύο δρομολογητές Wi-Fi στο σπίτι ή το γραφείο σας για να επεκτείνετε την κάλυψή σας και αυτόν που ρυθμίζετε το SSID επισκέπτη είναι το # 2 στην αλυσίδα) θα χρειαστεί να ρυθμίσετε το DHCP στην ενότητα Υπηρεσίες. Αν αυτό μοιάζει με τη ρύθμισή σας, ήρθε η ώρα να μεταβείτε στην ενότητα Υπηρεσίες -> Υπηρεσίες.
Στην ενότητα υπηρεσιών πρέπει να προσθέσουμε λίγο κώδικα στην ενότητα DNSMasq έτσι ώστε ο δρομολογητής να εκχωρήσει σωστά δυναμικές διευθύνσεις IP στις συσκευές που συνδέονται στο δίκτυο επισκεπτών. Κάντε κύλιση προς τα κάτω στην ενότητα DNSMasq. Στο πλαίσιο "Πρόσθετες επιλογές DNSMasq", επικολλήστε τον ακόλουθο κώδικα (μείον τα # σχόλια που εξηγούν τη λειτουργικότητα κάθε γραμμής):
# Ενεργοποιεί το DHCP στο br1
διεπαφή = br1
# Ορίστε την προεπιλεγμένη πύλη για πελάτες br1
dhcp-option = br1,3,192.168.2.1
# Ρυθμίστε το εύρος DHCP και τον προεπιλεγμένο χρόνο μίσθωσης 24 ωρών για πελάτες BR1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24 ώρες
Κάντε κλικ στο "Εφαρμογή ρυθμίσεων" στο κάτω μέρος της σελίδας.
Είτε χρησιμοποιήσατε την τεχνική ένα ή δύο, περιμένετε λίγα λεπτά για να συνδεθείτε στο νέο σας SSID επισκέπτη. Όταν συνδέεστε στο SSID επισκέπτη, ελέγξτε τη διεύθυνση IP σας. Πρέπει να έχετε IP εντός του εύρους που καθορίσαμε με τα παραπάνω. Και πάλι, είναι βολικό να χρησιμοποιήσετε το smartphone σας για να ελέγξετε:
Όλα φαίνονται καλά. Το δευτερεύον AP εκχωρεί δυναμικές IP σε ένα κατάλληλο εύρος, μπορούμε να φτάσουμε στο Διαδίκτυο - κάνουμε μια σημείωση εδώ, τεράστια επιτυχία.
Το μόνο πρόβλημα, ωστόσο, είναι ότι το δευτερεύον AP εξακολουθεί να έχει πρόσβαση στους πόρους του πρωτεύοντος δικτύου. Αυτό σημαίνει ότι όλοι οι δικτυωμένοι εκτυπωτές, τα κοινόχρηστα δίκτυα και παρόμοιοι εξακολουθούν να είναι ορατοί (μπορείτε να το δοκιμάσετε τώρα, προσπαθήστε να βρείτε ένα κοινόχρηστο στοιχείο δικτύου από το κύριο δίκτυο στο δευτερεύον AP).
Αν εσύ θέλω οι επισκέπτες στο δευτερεύον AP έχουν πρόσβαση σε αυτά τα πράγματα (και ακολουθούν μαζί με το σεμινάριο, ώστε να μπορείτε να κάνετε άλλες εργασίες διπλού SSID, όπως περιορισμός του εύρους ζώνης των επισκεπτών ή χρόνοι στους οποίους επιτρέπεται να χρησιμοποιούν το Διαδίκτυο), τότε τελειώσατε αποτελεσματικά με το φροντιστήριο.
Φανταζόμαστε ότι οι περισσότεροι από εσάς θα θέλατε να αποτρέψετε τους καλεσμένους σας από το να στριφογυρίζουν στο δίκτυό σας και να τους οδηγήσετε απαλά για να κολλήσουν στο Facebook και το email. Σε αυτήν την περίπτωση πρέπει να ολοκληρώσουμε τη διαδικασία αποσυνδέοντας το δευτερεύον AP από το φυσικό δίκτυο.
Μεταβείτε στη Διαχείριση -> Εντολές. Θα δείτε μια περιοχή με την ένδειξη "Command Shell". Επικολλήστε τις ακόλουθες εντολές, χωρίς τις # γραμμές σχολίων, στην περιοχή με δυνατότητα επεξεργασίας:
# Αφαιρεί την πρόσβαση των επισκεπτών στο φυσικό δίκτυο
iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
# Αφαιρεί την πρόσβαση επισκεπτών στο GUI / θύρες διαμόρφωσης του δρομολογητή
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT - απόρριψη-με tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT - απόρριψη-με tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT - απόρριψη-με tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT - απόρριψη-με tcp-reset
Κάντε κλικ στην επιλογή "Αποθήκευση τείχους προστασίας" και επανεκκινήστε το δρομολογητή σας.
Αυτοί οι πρόσθετοι κανόνες τείχους προστασίας απλώς σταματούν τα πάντα στις δύο γέφυρες (το ιδιωτικό δίκτυο και το δημόσιο / δίκτυο επισκεπτών) από την ομιλία, καθώς και απορρίπτουν οποιαδήποτε επαφή μεταξύ ενός πελάτη στο δίκτυο επισκεπτών και των θυρών telnet, SSH ή διακομιστή ιστού στο router (περιορίζοντάς τους έτσι από το να προσπαθούν να έχουν πρόσβαση στα αρχεία διαμόρφωσης του router)
Μια λέξη για τη χρήση του κελύφους εντολών και των σεναρίων εκκίνησης, τερματισμού λειτουργίας και τείχους προστασίας. Πρώτον, οι εντολές IPTABLES υποβάλλονται σε επεξεργασία με τη σειρά. Η αλλαγή της σειράς των γραμμών ατόμων μπορεί να αλλάξει σημαντικά το αποτέλεσμα. Δεύτερον, υπάρχουν δεκάδες δεκάδες δρομολογητές που υποστηρίζονται από το DD-WRT και ανάλογα με τον συγκεκριμένο δρομολογητή και τη διαμόρφωση σας, ίσως χρειαστεί να τροποποιήσετε τις παραπάνω εντολές IPTABLES. Το σενάριο λειτούργησε για τον δρομολογητή μας και χρησιμοποιεί τις ευρύτερες και απλούστερες δυνατές εντολές για την ολοκλήρωση της εργασίας, οπότε πρέπει να λειτουργεί για τους περισσότερους δρομολογητές. Εάν όχι, σας συνιστούμε να αναζητήσετε το συγκεκριμένο μοντέλο δρομολογητή σας στο τα φόρουμ συζήτησης DD-WRT και δείτε εάν άλλοι χρήστες έχουν αντιμετωπίσει τα ίδια προβλήματα που έχετε.
Σε αυτό το σημείο έχετε τελειώσει με τη διαμόρφωση και είστε έτοιμοι να απολαύσετε διπλά SSID και όλα τα οφέλη που συνοδεύουν τη λειτουργία τους. Μπορείτε εύκολα να δώσετε έναν κωδικό πρόσβασης επισκέπτη (και να τον αλλάξετε κατά βούληση), να ρυθμίσετε κανόνες QoS για το δίκτυο επισκεπτών και διαφορετικά να τροποποιήσετε και να περιορίσετε το δίκτυο επισκεπτών με τρόπους που δεν θα επηρεάσουν το κύριο δίκτυό σας στο ελάχιστο.
