כיצד להפעיל נקודת גישה לאורח ברשת האלחוטית שלך

שיתוף ה- Wi-Fi שלך עם האורחים הוא רק הדבר המנומס, אבל זה לא אומר שאתה רוצה לתת להם גישה פתוחה לרשת המקומית כולה. המשך לקרוא כאשר אנו מראים לך כיצד להגדיר את הנתב שלך ל- SSID כפול וליצור נקודת גישה נפרדת (ומאובטחת) לאורחים שלך.

מדוע אני רוצה לעשות זאת?

ישנן מספר סיבות מעשיות מאוד לרצון להגדיר את הרשת הביתית שלך כך שתהיה לה נקודות גישה כפולות (AP).

הסיבה ליישום המעשי ביותר למספר האנשים ביותר היא פשוט בידוד הרשת הביתית שלך כך שאורחים לא יוכלו לגשת לדברים שאתה רוצה להישאר פרטיים. תצורת ברירת המחדל של כמעט כל נקודת גישה / נתב Wi-Fi ביתית היא שימוש בנקודת גישה אלחוטית אחת ולכל מי שמורשה לגשת לאותו גישה ניתנת גישה לרשת כאילו הם מחוברים ישר לאינטרנט דרך Ethernet.

במילים אחרות אם אתה נותן לחבר שלך, שכן, אורח הבית או מִי את הסיסמה ל- Wi-Fi AP שלך, נתת להם גם גישה למדפסת הרשת שלך, לכל שיתוף פתוח ברשת שלך, להתקנים לא מאובטחים ברשת שלך, וכן הלאה. אולי רק רצית לתת להם לבדוק את הדוא"ל שלהם או לשחק משחק באינטרנט, אבל נתת להם את החופש לשוטט בכל מקום שהם רוצים ברשת הפנימית שלך.

עכשיו בעוד שלרובנו אין בהחלט האקרים זדוניים לחברים, זה לא אומר שזה לא נבון להקים את הרשתות שלנו כך שהאורחים יישארו איפה שהם שייכים (בצד הגישה החופשית של הגדר) ו לא יכולים ללכת לאן שלא (בשרת הביתי / בצד המניות האישיות של הגדר).

סיבה מעשית נוספת להפעלת AP עם שני SSID היא היכולת לא רק להגביל לאן ה- AP האורח יכול להגיע, אלא מתי. אם אתה הורה, למשל, שרוצה להגביל את המאוחר של ילדך לשהות במחשבות על המחשב, אתה יכול לשים את המחשב, הטאבלט וכו 'ב- AP המשני ולהגביל הגבלות על גישה לאינטרנט עבור כל המשנה -SSID אחרי, נניח, 21:00.

מה אני צריך?

ההדרכה שלנו היום מתמקדת בשימוש בנתב תואם DD-WRT להשגת SSID כפול. ככזה תצטרך את הדברים הבאים:

• נתב תואם DD-WRT אחד עם תיקון חומרה מתאים (אנו נראה לך כיצד לבדוק)
• עותק אחד מותקן של DD-WRT בנתב האמור

זו לא הדרך היחידה להגדיר SSID כפול עבור הרשת הביתית שלך. אנו הולכים להריץ את ה- SSID שלנו מהנתב האלחוטי של Linksys WRT54G בכל מקום. אם אינך רוצה לעבור את הטרחה של הקושחה המותאמת אישית המהבהבת בנתב הישן שלך ולעשות את שלבי התצורה הנוספים, תוכל במקום זאת:

• רכוש נתב חדש יותר התומך בכרטיסי SSID כפולים מייד מהקופסה, כגון ASUS RT-N66U .
• קנה נתב אלחוטי שני והגדר אותו כנקודת גישה עצמאית.

אלא אם כן כבר יש לך נתב שתומך ב- SSID כפול (ובמקרה זה תוכל לדלג על הדרכה זו ופשוט לקרוא את המדריך למכשיר שלך) שתי האפשרויות הללו פחות אידיאליות בכך שאתה צריך להוציא כסף נוסף ובמקרה של באפשרות השנייה, בצע קביעת תצורה נוספת, כולל הגדרת ה- AP המשני כך שלא יפריע ו / או יחפוף את ה- AP הראשי שלך.

לאור כל זאת, שמחנו יותר להשתמש בחומרה שכבר הייתה לנו (הנתב האלחוטי של סדרת Linksys WRT54G) ולדלג על ההוצאות של מזומנים ושינוי רשתות Wi-Fi נוספות.

כיצד אוכל לדעת שהנתב שלי תואם?

ישנם שני רכיבי תאימות קריטיים שעליך לבדוק כדי להצליח במדריך זה. הראשון, והיסודי ביותר, הוא לבדוק שלנתב המסוים שלכם יש תמיכה ב- DD-WRT. אתה יכול לבקר ב מאגר הנתבים של WD של DD-WRT כאן כדי לבדוק.

לאחר שתקבע כי הנתב שלך תואם ל- DD-WRT, עלינו לבדוק את מספר התיקון של שבב הנתב שלך. אם יש לך נתב של Linksys ישן באמת, למשל, זה יכול להיות נתב שניתן לשמש בצורה מושלמת מכל בחינה שהיא, אך ייתכן שהשבב אינו תומך בכרטיסי SSID כפולים (מה שהופך אותו לא תואם באופן בסיסי את ההדרכה).

ישנן שתי דרגות תאימות ביחס למספר הגרסאות של הנתב. נתבים מסוימים יכולים לבצע מספר SSID אך הם אינם יכולים לפצל את ה- SSID לנקודות גישה ייחודיות לחלוטין (למשל כתובת MAC ייחודית לכל SSID). במצבים מסוימים זה יכול לגרום לבעיות במכשירי Wi-Fi מסוימים מכיוון שהם מתבלבלים באיזה SSID (מכיוון שלשניהם יש אותה כתובת MAC) עליהם להשתמש. למרבה הצער, אין שום דרך לחזות אילו מכשירים יתנהגו בצורה לא נכונה ברשת שלך, ולכן איננו יכולים להמליץ ​​לך להימנע מהטכניקה המתוארת במדריך זה אם תגלה שיש לך מכשיר שאינו תומך ב- SSID בדידים.

אתה יכול לבדוק את מספר התיקון על ידי ביצוע חיפוש בגוגל אחר המודל הספציפי של הנתב שלך יחד עם מספר הגרסה המודפס על תווית המידע (בדרך כלל נמצא בחלק התחתון של הנתב), אך מצאנו כי טכניקה זו אינה אמינה (תוויות יכול להיות מיושם בצורה שגויה, מידע שפורסם באינטרנט לגבי המודל ותאריך הייצור יכול להיות לא מדויק וכו ')

הדרך האמינה ביותר לבדוק את מספר התיקונים של השבב בתוך הנתב שלך היא ממש לסקור את הנתב כדי לגלות. על מנת לעשות זאת עליך לבצע את השלבים הבאים. פתח לקוח Telnet (או תוכנית רב-תכליתית כמו PuTTY או הפקודה הבסיסית של Windows Telnet) ו- Telnet לכתובת ה- IP של הנתב שלך (למשל 192.168.1.1). היכנס לנתב באמצעות כניסה וסיסמת מנהל המערכת שלך (שים לב כי עבור נתבים מסוימים גם אם תקליד "admin" ו- "mypassword" כדי להתחבר לפורטל הניהול מבוסס האינטרנט בנתב, ייתכן שיהיה עליך להקליד "root "ו-" mypassword "להתחברות דרך Telnet).

לאחר הכניסה לנתב, הקלד את הפקודה הבאה בהנחיה:

מופע nvram | grep corerev

פעולה זו תחזיר את מספר התיקון המרכזי של השבבים בנתב שלך בפורמט הבא:

wl0_corerev = 9
Lsrf =

מה המשמעות של הפלט הנ"ל הוא שלנתב שלנו יש רדיו אחד (wl0, אין wl1) ושהגרסה המרכזית של שבב הרדיו הזה היא 9. איך אתה מפרש את הפלט? מספר התיקון, ביחס למדריך שלנו, פירושו הדברים הבאים:

• 0-4 הנתב אינו תומך במספר SSID (עם מזהים ייחודיים או אחרת)
• 5-8 הנתב תומך במספר SSID (אך לא עם מזהים ייחודיים)
• 9+ הנתב תומך במספר SSID (עם מזהים ייחודיים)

כפי שניתן לראות מפלט הפקודה שלנו לעיל, התמזל מזלנו. השבב של הנתב שלנו הוא הגרסה הנמוכה ביותר התומכת במספר SSID עם מזהים ייחודיים.

לאחר שקבעת שהנתב שלך יכול לתמוך במספר SSID תצטרך להתקין DD-WRT. אם הנתב שלך נשלח עם DD-WRT או שכבר התקנת אותו, נהדר. אם עדיין לא התקנת אותו, אנו ממליצים להוריד את הגרסה המתאימה מאתר DD-WRT וללכת יחד עם המדריך שלנו: הפוך את הנתב הביתי שלך לנתב עם סופר-מופעל עם DD-WRT .

בנוסף להדרכה שלנו, איננו יכולים להדגיש את ערכם של הנרחבים והמתוחזקים בצורה מצוינת DD-WRT וויקי . קרא את הנתב הספציפי שלך ואת שיטות העבודה המומלצות להבהבת קושחה חדשה אליו שם.

קביעת תצורה של DD-WRT למספר SSID

יש לך נתב תואם, הבהבת אליו DD-WRT, עכשיו הגיע הזמן להתחיל בהגדרת ה- SSID השני. בדיוק כמו שתמיד צריך להבהב קושחה חדשה דרך חיבור קווי, אנו ממליצים בחום לעבוד על ההתקנה האלחוטית שלך באמצעות חיבור קווי כדי שהשינויים לא יאלצו את המחשב האלחוטי שלך לרשת.

פתח את דפדפן האינטרנט שלך במחשב המחובר לנתב באמצעות אתרנט. נווט ל- IP של הנתב המוגדר כברירת מחדל (בדרך כלל 198.168.1.1). בתוך ממשק DD-WRT, נווט אל האלחוטי -> הגדרות בסיסיות (כפי שנראה בצילום המסך לעיל). אתה יכול לראות שנגישת ה- Wi-Fi הקיימת שלנו כוללת את ה- SSID "HTG_Office".

בתחתית הדף, במקטע "ממשקים וירטואליים", לחץ על כפתור הוסף. החלק "ממשקים וירטואליים" הריק קודם לכן יתרחב עם ערך זה שהוכן מראש:

ממשק וירטואלי זה מוגדר על גבי שבב הרדיו הקיים שלך (שים לב ל- wl0.1 בכותרת הערך החדש). אפילו הקיצור ב- SSID ציין זאת, ה"וואפ "בסוף ה- SSID המוגדר כברירת מחדל מייצג נקודת גישה וירטואלית. בואו נפרק את שאר הערכים תחת הממשק הווירטואלי החדש.

אתה יכול לשנות את שם ה- SSID לכל מה שתרצה. בהתאם למוסכמת השמות הקיימת שלנו (וכדי להקל על האורחים שלנו) אנו הולכים לשנות את ה- SSID כברירת המחדל ל- "HTG_Guest" - זכור ש- AP ה- Wi-Fi העיקרי שלנו הוא "HTG_Office".

השאר את שידור ה- SSID האלחוטי מופעל. לא רק שמחשבים ותיקים רבים יותר והתקני Wi-Fi אינם משחקים יפה מאוד עם SSID סודי, אלא שרשת אורחים מוסתרת אינה רשת אורחים מזמינה / שימושית במיוחד.

AP בידוד היא הגדרת אבטחה שנשאיר על פי שיקול דעתך להפעיל או להשבית. אם תפעיל בידוד AP כל לקוח ברשת ה- Wi-Fi האורחת שלך יהיה מבודד לחלוטין זה מזה. מנקודת מבט ביטחונית זה נהדר, מכיוון שהוא מונע ממשתמש זדוני שלא להתעסק בלקוחות של משתמשים אחרים. זה יותר דאגה עבור רשתות ארגוניות ומוקדים ציבוריים. מבחינה מעשית, זה גם אומר שאחייניתך ואחייניתך נגמרו והם רוצים לשחק משחק מקושר ל- Wi-Fi ביחידות ה- Nintendo DS שלהם, יחידות ה- DS שלהם לא יוכלו לראות זה את זה. ברוב יישומי המשרדים הביתיים והקטנים אין שום סיבה לבודד את שירותי הנגישות.

האפשרות Unbridged / Bridged בתצורת רשת מתייחסת לשאלה אם ה- Wi-Fi AP יוגשר או לא לרשת הפיזית. עד כמה שזה לא אינטואיטיבי, עליכם להשאיר אותו מוגדר כגשר. במקום לתת לקושחת הנתב לטפל (באופן מגושם למדי) בתהליך ביטול הקישור, אנו הולכים לפשר ידנית הכל בעצמנו עם תוצאה נקייה ויציבה יותר.

לאחר ששינית את ה- SSID ובדק את ההגדרות, לחץ על שמור.

לאחר מכן נווט אל אלחוטי -> אבטחה אלחוטית:

כברירת מחדל אין אבטחה ב- AP השני. אתה יכול להשאיר את זה ככזה באופן זמני למטרות בדיקה (השארנו את שלנו פתוח עד הסוף) כדי להציל את עצמך מהקלדת הסיסמה במכשירי הבדיקה שלך. איננו ממליצים להשאיר אותו פתוח לצמיתות. בין אם תבחר להשאיר אותו פתוח או לא בשלב זה, עליך ללחוץ על שמור ואז להחיל הגדרות כדי שהשינויים שביצענו הן בסעיף הקודם והן זה שייכנס לתוקף. היה סבלני, עד שינויים ייכנסו לתוקף יכולים לחלוף עד 2 דקות.

עכשיו זה זמן מצוין לאשר שמכשירי Wi-Fi סמוכים יכולים לראות את הגישה הראשי והמשנית. פתיחת ממשק ה- Wi-Fi בסמארטפון היא דרך נהדרת לבדוק במהירות. הנה התצוגה מדף התצורה של Wi-Fi של טלפון ה- Android שלנו:

איננו יכולים להתחבר ל- AP המשני עדיין כיוון שעלינו לבצע עוד כמה שינויים בנתב, אך תמיד נחמד לראות את שניהם ברשימה.

השלב הבא הוא להתחיל בתהליך ההפרדה בין ה- SSID ברשת על ידי הקצאת מגוון ייחודי של כתובות IP למכשירי ה- Wi-Fi האורחים.

נווט אל הגדרה -> רשת. בקטע "גישור", לחץ על כפתור הוסף.

ראשית, שנה את החריץ ההתחלתי ל "br1", השאר את שאר הערכים זהים. עדיין לא תוכלו לראות את ערך ה- IP / רשת המשנה. לחץ על "החל הגדרות". הגשר החדש יהיה בקטע גישור עם קטעי ה- IP וה- Subnet זמינים. הגדר את כתובת ה- IP לערך אחד מה- IP של הרשת הרגילה שלך (למשל, הרשת הראשית שלך היא 192.168.1.1, אז הגדר ערך זה 192.168.2.1). הגדר את מסכת רשת המשנה ל- 255.255.255.0. לחץ שוב על "החל הגדרות" בתחתית הדף.

הקצה רשת אורחים לגשר

הערה: תודה לקורא ג'ואל שהצביע על חלק זה ונתן לנו את ההוראות להוסיף להדרכה.

תחת "הקצה לגשר" לחץ על "הוסף". בחר את הגשר החדש שיצרת מהתפריט הנפתח הראשון, והתאם אותו לממשק "wl0.1".

כעת לחץ על "שמור" ועל "החל הגדרות".

לאחר החלת השינויים, גלול לתחתית הדף פעם נוספת לקטע DHCPD. לחץ על "הוסף". העבר את החריץ הראשון ל- "br1". השאר את שאר ההגדרות זהות (כפי שנראה בצילום המסך למטה).

לחץ על "החל הגדרות" פעם נוספת. לאחר שסיימתם את כל המשימות בדף הגדרות -> רשתות, כדאי לכם ללכת על קישוריות והקצאת DHCP.

הערה: אם ה- Wi-Fi AP שאתה מגדיר עבור SSID כפול מגובה באמצעות מכשיר אחר (למשל, יש לך שני נתבי Wi-Fi בבית או במשרד כדי להרחיב את הכיסוי שלך ואת זה שאתה מגדיר את ה- SSID לאורח. הוא מספר 2 בשרשרת) תצטרך להגדיר את ה- DHCP במקטע השירותים. אם זה נשמע כמו ההתקנה שלך הגיע הזמן לנווט לחלק השירותים -> שירותים.

במקטע השירותים עלינו להוסיף מעט קוד למקטע DNSMasq כך שהנתב יקצה כהלכה כתובות IP דינמיות למכשירים המתחברים לרשת האורחים. גלול מטה לקטע DNSMasq. בתיבה "אפשרויות DNSMasq נוספות", הדבק את הקוד הבא (פחות הערות המסבירות את הפונקציונליות של כל שורה):

# מאפשר DHCP ב- br1
ממשק = br1
# הגדר את שער ברירת המחדל עבור לקוחות br1
dhcp-option = br1,3,192.168.2.1
# הגדר את טווח DHCP וזמן החכירה המוגדר כברירת מחדל של 24 שעות עבור לקוחות br1
טווח dhcp = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h

לחץ על "החל הגדרות" בתחתית הדף.

בין אם השתמשת בטכניקה אחת או שתיים, המתן מספר דקות כדי להתחבר ל- SSID האורח החדש שלך. כאשר אתה מתחבר ל- SSID האורח, בדוק את כתובת ה- IP שלך. אתה אמור להיות IP בתוך הטווח שציינו עם האמור לעיל. שוב, זה שימושי להשתמש בסמארטפון שלך כדי לבדוק:

הכל נראה טוב. ה- AP המשני מקצה כתובות IP דינמיות בטווח מתאים, אנו יכולים להיכנס לאינטרנט - אנו רושמים כאן הערה, הצלחה אדירה.

הבעיה היחידה, לעומת זאת, היא של- AP המשני יש עדיין גישה למשאבי הרשת הראשית. המשמעות היא שכל המדפסות ברשת, שיתופי הרשת וכאלה עדיין גלויים (תוכלו לבדוק זאת כעת, לנסות למצוא נתח רשת מהרשת הראשית שלכם ב- AP המשני).

אם אתה רוצה לאורחים ב- AP המשנית יש גישה לדברים האלה (ועוקבים אחר ההדרכה כדי שתוכלו לבצע משימות כפולות מסוג SSID אחרות כמו להגביל את רוחב הפס של האורחים או את הפעמים בהן הם רשאים להשתמש באינטרנט) אז סיימתם ביעילות עם הדרכה.

אנו מתארים לעצמנו שרובכם תרצו למנוע מהאורחים שלכם לחטט ברחבי הרשת שלכם ולעדר אותם בעדינות בכדי להיצמד לפייסבוק ולדוא"ל. במקרה כזה עלינו לסיים את התהליך על ידי ביטול קישור ה- AP המשני לרשת הפיזית.

נווט לניהול -> פקודות. תראה אזור שכותרתו "מעטפת פיקוד". הדבק את הפקודות הבאות, החלף את שורות התגובה # לאזור הניתן לעריכה:

# מסיר את הגישה של האורחים לרשת הפיזית
iptables -I FORWARD -i br1 -o br0 -m state - מדינה חדש -j DROP
iptables -I FORWARD -i br0 -o br1 -m state - מדינה חדש -j DROP
# מסיר את הגישה של האורח ל- GUI / יציאות התצורה של הנתב
iptables -I INPUT -i br1 -p tcp --port telnet -j REJECT - לדחות-עם tcp-reset
iptables -I INPUT -i br1 -p tcp --port ssh -j REJECT - לדחות-עם tcp-reset
iptables -I INPUT -i br1 -p tcp --port www -j REJECT - לדחות-עם tcp-reset
iptables -I INPUT -i br1 -p tcp --port https -j REJECT - לדחות-עם tcp-reset

לחץ על "שמור חומת אש" והפעל מחדש את הנתב שלך.

כללי חומת האש הנוספים הללו פשוטים מונעים מכל דבר שנמצא בשני הגשרים (הרשת הפרטית ורשת הציבור / אורח) מלדבר וכן דוחים כל קשר בין לקוח ברשת האורחת לבין יציאות ה- telnet, SSH או שרת האינטרנט ברשת. נתב (ובכך מגביל אותם מכל ניסיון לגשת לקבצי התצורה של הנתב בכלל).

מילה על שימוש בקליפת הפקודה וסקריפטים של אתחול, כיבוי וחומת אש. ראשית, פקודות ה- IPTABLES מעובדות לפי הסדר. שינוי סדר קווי האינדיבידואלים יכול לשנות משמעותית את התוצאה. שנית, ישנם עשרות על עשרות נתבים הנתמכים על ידי DD-WRT ובהתאם לנתב ולתצורה הספציפיים שלך, ייתכן שיהיה עליך לשנות את פקודות ה- IPTABLES לעיל. התסריט עבד עבור הנתב שלנו והוא משתמש בפקודות הרחבות והפשוטות ביותר האפשריות כדי לבצע את המשימה כך שהוא אמור לעבוד עבור רוב הנתבים. אם זה לא קורה, אנו נבקש ממך מאוד לחפש את דגם הנתב הספציפי שלך ב פורומי הדיון DD-WRT ובדוק אם משתמשים אחרים חוו את אותן הבעיות שיש לך.

---

בשלב זה סיימתם עם התצורה ומוכנים ליהנות מ- SSID כפול ומכל היתרונות הנלווים להפעלתם. אתה יכול בקלות להוציא סיסמת אורח (ולשנות אותה כרצונך), להגדיר כללי QoS עבור רשת האורחים, ובכלל זאת לשנות ולהגביל את רשת האורחים בדרכים שלא ישפיעו לפחות על הרשת הראשית שלך.