Berbagi Wi-Fi Anda dengan tamu adalah hal yang sopan untuk dilakukan, tetapi itu tidak berarti Anda ingin memberi mereka akses terbuka lebar ke seluruh LAN Anda. Baca terus selagi kami tunjukkan cara mengatur router Anda untuk SSID ganda dan membuat titik akses terpisah (dan aman) untuk tamu Anda.
Mengapa Saya Ingin Melakukan Ini?
Ada beberapa alasan yang sangat praktis untuk ingin menyiapkan jaringan rumah Anda agar memiliki titik akses ganda (AP).
Alasan penerapan paling praktis untuk sebagian besar orang hanyalah mengisolasi jaringan rumah Anda sehingga tamu tidak dapat mengakses hal-hal yang ingin dirahasiakan. Konfigurasi default untuk hampir setiap titik akses / router Wi-Fi rumah adalah menggunakan satu titik akses nirkabel dan siapa pun yang berwenang untuk mengakses AP tersebut diberi akses ke jaringan seolah-olah mereka disambungkan langsung ke AP melalui Ethernet.
Dengan kata lain jika Anda memberi teman, tetangga, tamu rumah, atau siapapun sandi untuk Wi-Fi AP Anda, Anda juga telah memberi mereka akses ke printer jaringan Anda, semua share terbuka di jaringan Anda, perangkat tidak aman di jaringan Anda, dan seterusnya. Anda mungkin hanya ingin mengizinkan mereka memeriksa email atau bermain game online, tetapi Anda telah memberi mereka kebebasan untuk berkeliaran di mana pun mereka inginkan di jaringan internal Anda.
Sekarang sementara sebagian besar dari kita pasti tidak memiliki peretas jahat untuk teman, itu tidak berarti tidak bijaksana untuk mengatur jaringan kita sehingga tamu tetap berada di tempat mereka (di sisi akses internet gratis pagar) dan tidak bisa pergi ke tempat yang tidak mereka inginkan (di sisi pagar server rumah / saham pribadi).
Alasan praktis lainnya untuk menjalankan AP dengan dua SSID adalah kemampuannya tidak hanya membatasi kemana AP tamu dapat pergi, tetapi juga kapan. Jika Anda adalah orang tua, misalnya, yang ingin membatasi seberapa larut anak Anda dapat terus bermain-main di komputer, Anda dapat meletakkan komputer, tablet, dll. Mereka di AP sekunder dan menetapkan batasan pada akses internet untuk seluruh sub -SSID setelah, katakanlah, jam 9 malam.
Apa yang Saya Butuhkan?
Tutorial kami hari ini difokuskan pada penggunaan router yang kompatibel dengan DD-WRT untuk mencapai SSID ganda. Oleh karena itu, Anda memerlukan hal-hal berikut:
- 1 router yang kompatibel dengan DD-WRT dengan revisi perangkat keras yang sesuai (kami akan menunjukkan cara memeriksanya)
- 1 salinan DD-WRT yang diinstal pada router tersebut
Ini bukan satu-satunya cara untuk menyiapkan SSID ganda untuk jaringan rumah Anda. Kami akan menjalankan SSID kami dari Router Nirkabel seri Linksys WRT54G yang ada di mana-mana. Jika Anda tidak ingin repot-repot mem-flash firmware khusus di router lama dan melakukan langkah-langkah konfigurasi tambahan, Anda dapat:
- Beli perute lebih baru yang mendukung SSID ganda langsung dari kotaknya seperti ASUS RT-N66U .
- Beli perute nirkabel kedua dan konfigurasikan sebagai titik akses yang berdiri sendiri.
Kecuali jika Anda sudah memiliki router yang mendukung SSID ganda (dalam hal ini Anda dapat melewati tutorial ini dan hanya membaca manual untuk perangkat Anda) kedua opsi ini kurang dari ideal karena Anda harus mengeluarkan uang ekstra dan, dalam kasus opsi kedua, lakukan banyak konfigurasi tambahan termasuk mengatur AP sekunder agar tidak mengganggu dan / atau tumpang tindih dengan AP primer Anda.
Mengingat semua itu, kami sangat senang menggunakan perangkat keras yang sudah kami miliki (Router Nirkabel seri Linksys WRT54G) dan melewatkan pengeluaran uang tunai dan tweaker jaringan Wi-Fi tambahan.
Bagaimana Saya Tahu Router Saya Kompatibel?
Ada dua elemen kompatibilitas penting yang perlu Anda periksa agar berhasil dengan tutorial ini. Yang pertama, dan paling dasar, adalah memeriksa apakah router khusus Anda memiliki dukungan DD-WRT. Anda dapat mengunjungi Basis Data Router DD-WRT wiki di sini untuk memeriksa.
Setelah Anda menetapkan bahwa router Anda kompatibel dengan DD-WRT, kami perlu memeriksa nomor revisi chip router Anda. Jika Anda memiliki router Linksys yang benar-benar lama, misalnya, itu mungkin merupakan router yang dapat diservis sempurna dalam segala hal, tetapi chip tersebut mungkin tidak mendukung SSID ganda (yang membuatnya secara fundamental tidak kompatibel dengan tutorial).
Ada dua tingkat kompatibilitas terkait dengan nomor revisi router. Beberapa router dapat melakukan beberapa SSID tetapi mereka tidak dapat membagi SSID menjadi titik akses yang benar-benar unik (misalnya alamat MAC unik untuk setiap SSID). Dalam beberapa situasi, hal ini dapat menyebabkan masalah dengan beberapa perangkat Wi-Fi karena mereka bingung mengenai SSID mana (karena keduanya memiliki alamat MAC yang sama) yang harus mereka gunakan. Sayangnya, tidak ada cara untuk memprediksi perangkat mana yang akan berperilaku tidak semestinya di jaringan Anda, jadi kami sangat menyarankan agar Anda menghindari teknik yang diuraikan dalam tutorial ini jika Anda menemukan perangkat yang tidak mendukung SSID terpisah.
Anda dapat memeriksa nomor revisi dengan melakukan pencarian Google untuk model tertentu dari router Anda bersama dengan nomor versi yang tercetak pada label informasi (biasanya ditemukan di bagian bawah router) tetapi kami menemukan teknik ini tidak dapat diandalkan (label dapat salah diterapkan, informasi yang diposting online mengenai model dan tanggal pembuatan mungkin tidak akurat, dll.)
Cara paling andal untuk memeriksa nomor revisi chip di dalam router Anda adalah dengan melakukan polling pada router untuk mengetahuinya. Untuk melakukannya, Anda perlu melakukan langkah-langkah berikut. Buka klien telnet (baik program multiguna seperti PuTTY atau perintah Windows Telnet dasar) dan telnet ke alamat IP router Anda (misalnya 192.168.1.1). Login ke router menggunakan login dan kata sandi administrator Anda (perhatikan bahwa untuk beberapa router meskipun Anda mengetik "admin" dan "mypassword" untuk login ke portal manajemen berbasis web di router, Anda mungkin harus mengetikkan "root ”Dan“ mypassword ”untuk login melalui telnet).
Setelah Anda masuk ke router, ketik perintah berikut pada prompt:
acara nvram | grep corerev
Ini akan mengembalikan nomor revisi inti dari chip di router Anda dalam format berikut:
wl0_corerev = 9
Lsrf =
Apa artinya keluaran di atas adalah bahwa router kita memiliki satu radio (wl0, tidak ada wl1) dan revisi inti dari chip radio itu adalah 9. Bagaimana Anda menginterpretasikan keluaran? Angka revisi, dalam hubungannya dengan panduan kami, berarti sebagai berikut:
- 0-4 Router tidak mendukung banyak SSID (dengan pengenal unik atau sebaliknya)
- 5-8 Router mendukung banyak SSID (tetapi tidak dengan pengenal unik)
- 9+ Router mendukung banyak SSID (dengan pengenal unik)
Seperti yang Anda lihat dari keluaran perintah kami di atas, kami beruntung. Chip router kami adalah revisi terendah yang mendukung banyak SSID dengan pengenal unik.
Setelah Anda menentukan bahwa router Anda dapat mendukung beberapa SSID, Anda perlu memasang DD-WRT. Jika router Anda dikirimkan dengan DD-WRT atau Anda sudah menginstalnya, hebat. Jika Anda belum menginstalnya, kami sarankan untuk mengunduh versi yang sesuai dari situs web DD-WRT dan mengikuti tutorial kami: Ubah Router Rumah Anda Menjadi Router Bertenaga Super dengan DD-WRT .
Selain tutorial kami, kami tidak dapat menekankan nilai ekstensif dan dijaga dengan sangat baik Wiki DD-WRT . Baca di router khusus Anda dan praktik terbaik untuk mem-flash firmware baru ke sana.
Mengonfigurasi DD-WRT untuk Beberapa SSID
Anda memiliki router yang kompatibel, Anda telah mem-flash DD-WRT ke sana, sekarang saatnya untuk mulai menyiapkan SSID kedua tersebut. Sama seperti Anda harus selalu mem-flash firmware baru melalui koneksi kabel, kami sangat menyarankan untuk bekerja pada penyiapan nirkabel Anda melalui koneksi kabel sehingga perubahan tidak memaksa komputer nirkabel Anda keluar dari jaringan.
Buka browser web Anda di komputer yang terhubung ke router melalui Ethernet. Arahkan ke IP router default (biasanya 198.168.1.1). Di dalam antarmuka DD-WRT, navigasikan ke Nirkabel -> Pengaturan Dasar (seperti yang terlihat pada gambar di atas). Anda dapat melihat bahwa AP Wi-Fi kami yang ada memiliki SSID “HTG_Office”.
Di bagian bawah halaman, di bagian "Antarmuka Virtual", klik tombol Add. Bagian "Antarmuka Virtual" yang sebelumnya kosong akan meluas dengan entri yang telah diisi sebelumnya ini:
Antarmuka virtual ini didukung oleh chip radio Anda yang sudah ada (perhatikan wl0.1 di judul entri baru). Bahkan singkatan di SSID menunjukkan ini, "vap" di akhir SSID default adalah singkatan dari Virtual Access Point. Mari kita uraikan sisa entri di bawah Antarmuka Virtual baru.
Anda dapat mengganti nama SSID menjadi apa pun yang Anda inginkan. Sesuai dengan konvensi penamaan kami yang ada (dan untuk memudahkan hidup tamu kami), kami akan mengubah SSID dari default menjadi “HTG_Guest” –mengingat AP Wi-Fi utama kami adalah “HTG_Office”.
Biarkan Wireless SSID Broadcast diaktifkan. Tidak hanya banyak komputer lama dan perangkat berkemampuan Wi-Fi tidak berfungsi dengan baik dengan SSID rahasia, tetapi jaringan tamu yang tersembunyi bukanlah jaringan tamu yang sangat mengundang / berguna.
Isolasi AP adalah pengaturan keamanan yang kami biarkan sesuai kebijaksanaan Anda untuk mengaktifkan atau menonaktifkannya. Jika Anda mengaktifkan Isolasi AP, setiap klien di jaringan Wi-Fi tamu Anda akan benar-benar diisolasi satu sama lain. Dari sudut pandang keamanan, ini bagus, karena menjaga pengguna jahat agar tidak mencari-cari klien pengguna lain. Namun, itu lebih merupakan perhatian untuk jaringan perusahaan dan hotspot publik. Secara praktis, itu juga berarti jika keponakan Anda sudah berakhir dan mereka ingin memainkan game yang terhubung dengan Wi-Fi di unit Nintendo DS mereka, unit DS mereka tidak akan dapat melihat satu sama lain. Di sebagian besar aplikasi rumah dan kantor kecil, ada sedikit alasan untuk mengisolasi AP.
Opsi Unbridged / Bridged di Network Configuration mengacu pada apakah Wi-Fi AP akan dijembatani atau tidak ke jaringan fisik. Meskipun berlawanan dengan intuisi, Anda harus membiarkannya disetel ke Bridged. Daripada membiarkan firmware router menangani (agak kikuk) proses pemutusan tautan, kami akan memutuskan sendiri semuanya secara manual dengan hasil yang lebih bersih dan lebih stabil.
Setelah Anda mengubah SSID dan meninjau setelannya, klik Simpan.
Selanjutnya arahkan ke Nirkabel -> Keamanan Nirkabel:
Secara default tidak ada keamanan di AP kedua. Anda dapat membiarkannya sementara untuk tujuan pengujian (kami membiarkannya terbuka sampai akhir) untuk menyelamatkan diri Anda dari memasukkan kata sandi pada perangkat pengujian Anda. Namun, kami tidak menyarankan untuk membiarkannya terbuka secara permanen. Apakah Anda memilih untuk membiarkannya terbuka atau tidak pada saat ini, Anda perlu mengklik Simpan dan kemudian Terapkan Pengaturan untuk perubahan yang kami buat di bagian sebelumnya dan yang ini untuk diterapkan. Bersabarlah, perlu waktu hingga 2 menit agar perubahan diterapkan.
Sekarang adalah saat yang tepat untuk mengonfirmasi bahwa perangkat Wi-Fi terdekat dapat melihat AP primer dan sekunder. Membuka antarmuka Wi-Fi di smartphone adalah cara terbaik untuk memeriksa dengan cepat. Berikut tampilan dari halaman konfigurasi Wi-Fi ponsel Android kami:
Kami belum dapat terhubung ke AP sekunder karena kami perlu melakukan beberapa perubahan lagi pada router, tetapi selalu menyenangkan melihat keduanya dalam daftar.
Langkah selanjutnya adalah memulai proses pemisahan SSID di jaringan dengan menetapkan rentang alamat IP yang unik ke perangkat Wi-Fi tamu.
Arahkan ke Setup -> Networking. Di bawah bagian "Menjembatani", klik tombol Tambah.
Pertama, ubah slot awal menjadi "br1", biarkan nilai lainnya tetap sama. Anda belum dapat melihat entri IP / Subnet di atas. Klik "Terapkan Pengaturan". Jembatan baru akan berada di bagian Menjembatani dengan bagian IP dan Subnet tersedia. Setel alamat IP ke satu nilai dari IP jaringan biasa Anda (mis. Jaringan utama Anda adalah 192.168.1.1, jadi buatlah nilai ini 192.168.2.1). Atur Subnet Mask ke 255.255.255.0. Klik "Terapkan Pengaturan" di bagian bawah halaman lagi.
Tetapkan Jaringan Tamu ke Bridge
Catatan: terima kasih kepada pembaca Joel karena telah menunjukkan bagian ini dan memberi kami instruksi untuk ditambahkan ke tutorial.
Di bawah "Assign to Bridge", klik "Add". Pilih jembatan baru yang Anda buat dari tarik-turun pertama, dan pasangkan dengan antarmuka “wl0.1 ″.
Sekarang klik "Simpan" dan "Terapkan Pengaturan".
Setelah perubahan diterapkan, gulir ke bawah halaman sekali lagi ke bagian DHCPD. Klik "Tambahkan". Ganti slot pertama ke "br1". Biarkan sisa pengaturannya sama (seperti yang terlihat pada gambar di bawah).
Klik "Terapkan Pengaturan" sekali lagi. Setelah Anda menyelesaikan semua tugas di halaman Setup -> Networking, Anda dapat menggunakan konektivitas dan penetapan DHCP.
Catatan: Jika AP Wi-Fi yang Anda konfigurasikan untuk SSID ganda mendukung perangkat lain (misalnya, Anda memiliki dua router Wi-Fi di rumah atau kantor untuk memperluas jangkauan Anda dan yang Anda atur SSID tamu on adalah # 2 dalam rantai) Anda harus menyiapkan DHCP di bagian Layanan. Jika ini terdengar seperti penyiapan Anda, inilah saatnya untuk menavigasi ke bagian Layanan -> Layanan.
Di bagian layanan kita perlu menambahkan sedikit kode ke bagian DNSMasq sehingga router akan menetapkan alamat IP dinamis dengan benar ke perangkat yang terhubung ke jaringan tamu. Gulir ke bawah bagian DNSMasq. Di kotak "Opsi DNSMasq Tambahan", tempel kode berikut (tanpa # komentar yang menjelaskan fungsionalitas setiap baris):
# Mengaktifkan DHCP di br1
antarmuka = br1
# Atur gateway default untuk klien br1
dhcp-option = br1,3,192.168.2.1
# Atur rentang DHCP dan waktu sewa default 24 jam untuk klien br1
kisaran-dhcp = br1,192.168.2.100,192.168.2.150,255.255.255.0,24j
Klik "Terapkan Pengaturan" di bagian bawah halaman.
Baik Anda menggunakan teknik satu atau dua, tunggu beberapa menit untuk terhubung ke SSID tamu baru Anda. Saat Anda terhubung ke SSID tamu, periksa alamat IP Anda. Anda harus memiliki IP dalam rentang yang kami tentukan di atas. Sekali lagi, berguna untuk menggunakan ponsel cerdas Anda untuk memeriksa:
Semuanya terlihat bagus. AP sekunder menetapkan IP dinamis dalam kisaran yang sesuai, yang bisa kita dapatkan di Internet – kami membuat catatan di sini, sukses besar.
Namun, satu-satunya masalah adalah AP sekunder masih memiliki akses ke sumber daya jaringan primer. Ini berarti semua printer berjaringan, berbagi jaringan, dan semacamnya masih terlihat (Anda dapat mengujinya sekarang, coba temukan berbagi jaringan dari jaringan primer Anda di AP sekunder).
Jika kamu ingin tamu di AP sekunder untuk memiliki akses ke hal-hal ini (dan mengikuti tutorial sehingga Anda dapat melakukan tugas SSID ganda lainnya seperti membatasi bandwidth tamu atau waktu mereka diizinkan untuk menggunakan Internet) maka Anda sudah selesai secara efektif dengan tutorial.
Kami membayangkan bahwa sebagian besar dari Anda ingin agar tamu Anda tidak melihat-lihat jaringan Anda dan dengan lembut menggiring mereka agar tetap menggunakan Facebook dan email. Dalam hal ini kita perlu menyelesaikan proses dengan memutuskan tautan AP sekunder dari jaringan fisik.
Arahkan ke Administrasi -> Perintah. Anda akan melihat area berlabel "Command Shell". Tempel perintah berikut, tanpa # baris komentar, ke area yang dapat diedit:
#Menghapus akses tamu ke jaringan fisik
iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
#Menghapus akses tamu ke GUI / port konfigurasi router
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Klik "Save Firewall" dan reboot router Anda.
Aturan firewall tambahan ini dengan sederhana menghentikan semua yang ada di dua jembatan (jaringan pribadi dan jaringan publik / tamu) dari berbicara serta menolak kontak apa pun antara klien di jaringan tamu dan telnet, SSH, atau port server web di router (sehingga membatasi mereka untuk mencoba mengakses file konfigurasi router sama sekali).
Sebuah kata tentang penggunaan shell perintah dan skrip startup, shutdown, dan firewall. Pertama, perintah IPTABLES diproses secara berurutan. Mengubah urutan garis individu dapat mengubah hasilnya secara signifikan. Kedua, ada lusinan per lusinan yang didukung oleh DD-WRT dan tergantung pada perute dan konfigurasi spesifik Anda, Anda mungkin perlu mengubah perintah IPTABLES di atas. Skrip berfungsi untuk router kami dan menggunakan perintah terluas dan sesederhana mungkin untuk menyelesaikan tugas sehingga harus berfungsi untuk sebagian besar router. Jika tidak, kami sangat menyarankan Anda untuk mencari model router spesifik Anda di forum diskusi DD-WRT dan lihat apakah pengguna lain mengalami masalah yang sama dengan Anda.
Pada tahap ini Anda telah selesai dengan konfigurasi dan siap untuk menikmati SSID ganda dan semua manfaat yang menyertai menjalankannya. Anda dapat dengan mudah memberikan kata sandi tamu (dan mengubahnya sesuka hati), mengatur aturan QoS untuk jaringan tamu, dan sebaliknya mengubah dan membatasi jaringan tamu dengan cara yang tidak akan mempengaruhi jaringan utama Anda.
