Het delen van uw wifi met gasten is gewoon beleefd om te doen, maar dat betekent niet dat u ze een wijd open toegang tot uw hele LAN wilt geven. Lees verder terwijl we u laten zien hoe u uw router instelt voor dubbele SSID's en een apart (en beveiligd) toegangspunt voor uw gasten maakt.
Waarom wil ik dit doen?
Er zijn verschillende zeer praktische redenen om uw thuisnetwerk in te stellen met dubbele toegangspunten (AP).
De reden met de meest praktische toepassing voor het grootste aantal mensen is simpelweg het isoleren van uw thuisnetwerk, zodat gasten geen toegang hebben tot dingen die u privé wilt houden. De standaardconfiguratie voor bijna elk Wi-Fi-toegangspunt / router in huis is om één draadloos toegangspunt te gebruiken en iedereen die geautoriseerd is om toegang te krijgen tot dat AP, krijgt toegang tot het netwerk alsof ze rechtstreeks via Ethernet op het AP zijn aangesloten.
Met andere woorden als u uw vriend, buurman, huisgast of wie dan ook het wachtwoord voor je wifi-toegangspunt, je hebt ze ook toegang gegeven tot je netwerkprinter, openstaande shares op je netwerk, onbeveiligde apparaten op je netwerk, enzovoort. Misschien wilde je ze gewoon hun e-mail laten checken of online een game spelen, maar je hebt ze de vrijheid gegeven om overal op je interne netwerk te zwerven waar ze maar willen.
Hoewel de meesten van ons zeker geen kwaadwillende hackers als vrienden hebben, betekent dat niet dat het niet verstandig is om onze netwerken zo op te zetten dat gasten blijven waar ze horen (aan de kant van de gratis internettoegang) en kunnen niet gaan waar ze niet komen (op de thuisserver / persoonlijke aandelenkant van het hek).
Een andere praktische reden om een AP met twee SSID's uit te voeren, is de mogelijkheid om niet alleen te beperken waar het gast-AP naartoe kan, maar ook wanneer. Als u bijvoorbeeld een ouder bent, die wil beperken hoe laat uw kind kan blijven ronddobberen op de computer, kunt u hun computer, tablet, enz. Op het secundaire toegangspunt plaatsen en beperkingen instellen voor internettoegang voor de hele sub. -SSID na bijvoorbeeld 21.00 uur.
Wat heb ik nodig?
Onze tutorial van vandaag is gericht op het gebruik van een DD-WRT-compatibele router om dubbele SSID's te verkrijgen. Hiervoor heeft u de volgende zaken nodig:
- 1 DD-WRT-compatibele router met een geschikte hardwarerevisie (we laten u zien hoe u dit kunt controleren)
- 1 geïnstalleerd exemplaar van DD-WRT op genoemde router
Dit is niet de enige manier om dubbele SSID's voor uw thuisnetwerk in te stellen. We gaan onze SSID's gebruiken op de alomtegenwoordige Linksys WRT54G-serie draadloze router. Als u niet het gedoe wilt hebben met het flashen van aangepaste firmware op uw oude router en het uitvoeren van de extra configuratiestappen, kunt u in plaats daarvan:
- Koop een nieuwere router die dubbele SSID's ondersteunt, zoals de ASUS RT-N66U .
- Koop een tweede draadloze router en configureer deze als een zelfstandig toegangspunt.
Tenzij u al een router bezit die dubbele SSID's ondersteunt (in dat geval kunt u deze tutorial overslaan en gewoon de handleiding van uw apparaat lezen) zijn beide opties niet ideaal omdat u extra geld moet uitgeven en, in het geval van de tweede optie, doe een heleboel extra configuraties, waaronder het instellen van het secundaire AP om uw primaire AP niet te verstoren en / of te overlappen.
In het licht van dat alles, waren we meer dan blij om hardware te gebruiken die we al hadden (de Linksys WRT54G-serie draadloze router) en sloegen we de uitgaven van geld en extra wifi-netwerkaanpassingen over.
Hoe weet ik of mijn router compatibel is?
Er zijn twee essentiële compatibiliteitselementen die u moet controleren om succes te hebben met deze zelfstudie. De eerste en meest elementaire is om te controleren of uw specifieke router DD-WRT-ondersteuning heeft. U kunt de DD-WRT wiki's routerdatabase hier om te controleren.
Zodra u heeft vastgesteld dat uw router compatibel is met DD-WRT, moeten we het revisienummer van de chip van uw router controleren. Als u bijvoorbeeld een echt oude Linksys-router heeft, kan deze op alle mogelijke manieren een herstelbare router zijn, maar de chip ondersteunt mogelijk geen dubbele SSID's (waardoor deze fundamenteel incompatibel is met de zelfstudie).
Er zijn twee graden van compatibiliteit met betrekking tot het revisienummer van de router. Sommige routers kunnen meerdere SSID's gebruiken, maar ze kunnen de SSID's niet opsplitsen in verschillende absoluut unieke toegangspunten (bijvoorbeeld een uniek MAC-adres voor elke SSID). In sommige situaties kan dit problemen veroorzaken met sommige Wi-Fi-apparaten, omdat ze niet weten welke SSID ze moeten gebruiken (aangezien ze allebei hetzelfde MAC-adres hebben). Helaas is er geen manier om te voorspellen welke apparaten zich misdragen op uw netwerk, dus we kunnen u niet zonder meer aanraden om de techniek die in deze tutorial wordt beschreven te vermijden als u merkt dat u een apparaat heeft dat geen afzonderlijke SSID's ondersteunt.
U kunt het revisienummer controleren door een Google-zoekopdracht uit te voeren voor het specifieke model van uw router samen met het versienummer dat is afgedrukt op het informatielabel (meestal te vinden op de onderkant van de router), maar we hebben vastgesteld dat deze techniek onbetrouwbaar is (labels kan verkeerd worden toegepast, informatie die online wordt geplaatst over het model en de fabricagedatum kan onnauwkeurig zijn, enz.)
De meest betrouwbare manier om het revisienummer van de chip in uw router te controleren, is door de router te pollen om erachter te komen. Om dit te doen, moet u de volgende stappen uitvoeren. Open een Telnet-client (ofwel een multifunctioneel programma zoals PuTTY of de standaard Windows Telnet-opdracht) en telnet naar het IP-adres van uw router (bijv.192.168.1.1). Log in op de router met uw beheerderslogin en wachtwoord (houd er rekening mee dat voor sommige routers, zelfs als u "admin" en "mijnwachtwoord" typt om in te loggen op de webgebaseerde beheerportal op de router, u mogelijk "root" moet typen. ”En“ mijnwachtwoord ”om in te loggen via telnet).
Nadat u bent aangemeld bij de router, typt u de volgende opdracht bij de prompt:
nvram show | grep corerev
Dit zal het core-revisienummer van de chip (s) in uw router in het volgende formaat retourneren:
wl0_corerev = 9
Lsrf =
Wat de bovenstaande uitvoer betekent is dat onze router één radio heeft (wl0, er is geen wl1) en dat de kernrevisie van die radiochip 9 is. Hoe interpreteer je de uitvoer? Het revisienummer, in relatie tot onze gids, betekent het volgende:
- 0-4 De router ondersteunt niet meerdere SSID's (met unieke ID's of anderszins)
- 5-8 De router ondersteunt meerdere SSID's (maar niet met unieke ID's)
- 9+ De router ondersteunt meerdere SSID's (met unieke ID's)
Zoals je kunt zien aan de hand van onze opdrachtuitvoer hierboven, hebben we geluk gehad. De chip van onze router is de laagste revisie die meerdere SSID's met unieke ID's ondersteunt.
Zodra u heeft vastgesteld dat uw router meerdere SSID's ondersteunt, moet u DD-WRT installeren. Als uw router is geleverd met DD-WRT of u deze al hebt geïnstalleerd, fantastisch. Als je het nog niet hebt geïnstalleerd, raden we je aan de juiste versie van de DD-WRT-website te downloaden en onze tutorial te volgen: Verander uw thuisrouter in een superkrachtige router met DD-WRT .
Naast onze tutorial kunnen we de waarde van het uitgebreide en uitstekend onderhouden niet benadrukken DD-WRT-wiki . Lees meer over uw specifieke router en de beste werkwijzen om daar een nieuwe firmware naar te flashen.
DD-WRT configureren voor meerdere SSID's
Je hebt een compatibele router, je hebt DD-WRT ernaar geflitst, nu is het tijd om te beginnen met het instellen van die tweede SSID. Net zoals u altijd nieuwe firmware moet flashen via een bekabelde verbinding, raden we u ten zeerste aan om aan uw draadloze installatie te werken via een bekabelde verbinding, zodat de wijzigingen uw draadloze computer niet uit het netwerk dwingen.
Open uw webbrowser op een computer die via Ethernet met de router is verbonden. Navigeer naar het standaard IP-adres van de router (meestal 198.168.1.1). Navigeer in de DD-WRT-interface naar Draadloos -> Basisinstellingen (zoals te zien in de bovenstaande schermafbeelding). U kunt zien dat ons bestaande Wi-Fi AP de SSID "HTG_Office" heeft.
Onderaan de pagina, in het gedeelte "Virtuele interfaces", klikt u op de knop Toevoegen. Het voorheen lege gedeelte 'Virtuele interfaces' wordt uitgebreid met dit vooraf ingevulde item:
Deze virtuele interface wordt op uw bestaande radiochip meegestuurd (let op de wl0.1 in de titel van het nieuwe item). Zelfs de afkorting in de SSID gaf dit aan, de "vap" aan het einde van de standaard SSID staat voor Virtual Access Point. Laten we de rest van de vermeldingen opsplitsen onder de nieuwe virtuele interface.
U kunt de SSID hernoemen naar wat u maar wilt. In overeenstemming met onze bestaande naamgevingsconventie (en om het leven van onze gasten gemakkelijk te maken) gaan we de SSID wijzigen van de standaardwaarde naar "HTG_Guest" - onthoud dat ons belangrijkste Wi-Fi-toegangspunt "HTG_Office" is.
Laat Wireless SSID Broadcast ingeschakeld. Niet alleen spelen veel oudere computers en Wi-Fi-apparaten niet erg goed met geheime SSID's, maar een verborgen gastnetwerk is ook niet echt een uitnodigend / nuttig gastnetwerk.
AP-isolatie is een beveiligingsinstelling die we naar eigen goeddunken kunnen in- of uitschakelen. Als u AP-isolatie inschakelt, wordt elke client op uw wifi-gastnetwerk volledig van elkaar geïsoleerd. Vanuit beveiligingsoogpunt is dit geweldig, omdat het voorkomt dat een kwaadwillende gebruiker rondsnuffelt op de clients van andere gebruikers. Dat is echter meer een zorg voor bedrijfsnetwerken en openbare hotspots. Praktisch gezien betekent dat ook dat als je nichtje en neefje voorbij zijn en ze een via Wi-Fi gekoppeld spel op hun Nintendo DS-apparaten willen spelen, hun DS-apparaten elkaar niet kunnen zien. In de meeste thuis- en kleine kantoortoepassingen is er weinig reden om de AP's te isoleren.
De optie Unbridged / Bridged in netwerkconfiguratie verwijst naar het al dan niet overbruggen van het Wi-Fi AP met het fysieke netwerk. Hoe contra-intuïtief dit ook is, u moet het op Bridged laten staan. In plaats van de routerfirmware (nogal onhandig) het ontkoppelingsproces te laten afhandelen, gaan we alles zelf handmatig opheffen met een schoner en stabieler resultaat.
Nadat u uw SSID heeft gewijzigd en de instellingen heeft gecontroleerd, klikt u op Opslaan.
Navigeer vervolgens naar Draadloos -> Draadloze beveiliging:
Standaard is er geen beveiliging op het tweede AP. U kunt het tijdelijk als zodanig laten voor testdoeleinden (we hebben de onze open gelaten tot het einde) om te voorkomen dat u het wachtwoord op uw testapparaten intoetst. We raden u echter niet aan deze permanent open te laten. Of u er nu voor kiest om het open te laten of niet, u moet op Opslaan en vervolgens op Instellingen toepassen klikken om de wijzigingen die we in de vorige sectie hebben aangebracht en deze hebben doorgevoerd. Wees geduldig, het kan tot 2 minuten duren voordat de wijzigingen van kracht worden.
Dit is een goed moment om te bevestigen dat Wi-Fi-apparaten in de buurt zowel de primaire als secundaire AP's kunnen zien. Het openen van de Wi-Fi-interface op een smartphone is een geweldige manier om snel te controleren. Hier is de weergave van de wifi-configuratiepagina van onze Android-telefoon:
We kunnen nog geen verbinding maken met het secundaire AP, omdat we nog een paar wijzigingen aan de router moeten aanbrengen, maar het is altijd leuk om ze allebei in de lijst te zien.
De volgende stap is om te beginnen met het scheiden van de SSID's op het netwerk door een uniek bereik van IP-adressen toe te wijzen aan de gast-wifi-apparaten.
Navigeer naar Instellingen -> Netwerken. Klik onder het gedeelte "Overbrugging" op de knop Toevoegen.
Verander eerst de initiële sleuf in “br1”, laat de rest van de waarden hetzelfde. U kunt het IP- / subnet-item hierboven nog niet zien. Klik op "Instellingen toepassen". De nieuwe bridge bevindt zich in de sectie Overbrugging met de beschikbare IP- en subnetsecties. Stel het IP-adres in op één waarde ten opzichte van het IP-adres van uw normale netwerk (bijv. Uw primaire netwerk is 192.168.1.1, dus maak deze waarde 192.168.2.1). Stel het subnetmasker in op 255.255.255.0. Klik nogmaals op 'Instellingen toepassen' onder aan de pagina.
Wijs gastnetwerk toe aan Bridge
Opmerking: dank aan lezer Joel voor het wijzen op dit deel en het geven van instructies om toe te voegen aan de tutorial.
Klik onder "Toewijzen aan Bridge" op "Toevoegen". Selecteer de nieuwe bridge die je hebt gemaakt in de eerste vervolgkeuzelijst en koppel deze met de "wl0.1" -interface.
Klik nu op "Opslaan" en "Instellingen toepassen".
Nadat de wijzigingen zijn toegepast, scrolt u nogmaals naar de onderkant van de pagina naar het gedeelte DHCPD. Klik op "Toevoegen". Schakel het eerste slot naar "br1". Laat de rest van de instellingen hetzelfde (zoals te zien in de onderstaande schermafbeelding).
Klik nog een keer op "Instellingen toepassen". Als je eenmaal alle taken op de pagina Instellingen -> Netwerken hebt voltooid, zou je goed moeten zijn voor connectiviteit en DHCP-toewijzing.
Opmerking: als het Wi-Fi-toegangspunt dat u configureert voor dubbele SSID's op een ander apparaat wordt gebruikt (u hebt bijvoorbeeld twee Wi-Fi-routers in uw huis of kantoor om uw dekking uit te breiden en degene die u de gast-SSID instelt) on is # 2 in de keten) moet u de DHCP instellen in het gedeelte Services. Als dit klinkt als uw configuratie, is het tijd om naar het gedeelte Services -> Services te gaan.
In de services-sectie moeten we een klein beetje code toevoegen aan de DNSMasq-sectie, zodat de router correct dynamische IP-adressen toewijst aan de apparaten die verbinding maken met het gastnetwerk. Scroll naar beneden in het DNSMasq-gedeelte. Plak in het vak "Extra DNSMasq-opties" de volgende code (minus de # opmerkingen die de functionaliteit van elke regel uitleggen):
# Schakelt DHCP in op br1
interface = br1
# Stel de standaardgateway in voor br1-clients
dhcp-optie = br1,3,192.168.2.1
# Stel het DHCP-bereik en de standaardleasetijd van 24 uur in voor br1-clients
dhcp-bereik = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Klik op 'Instellingen toepassen' onder aan de pagina.
Of je nu techniek één of twee hebt gebruikt, wacht een paar minuten om verbinding te maken met je nieuwe gast-SSID. Controleer uw IP-adres wanneer u verbinding maakt met de gast-SSID. U moet een IP-adres hebben binnen het bereik dat we hierboven hebben gespecificeerd. Nogmaals, het is handig om uw smartphone te gebruiken om te controleren:
Alles ziet er goed uit. Het secundaire toegangspunt wijst dynamische IP's toe in een geschikt bereik, we kunnen op internet komen - we maken hier een notitie, enorm succes.
Het enige probleem is echter dat het secundaire AP nog steeds toegang heeft tot de bronnen van het primaire netwerk. Dit betekent dat alle netwerkprinters, netwerkshares en dergelijke nog steeds zichtbaar zijn (u kunt het nu testen, probeer een netwerkshare te vinden vanaf uw primaire netwerk op het secundaire toegangspunt).
als jij willen gasten op het secundaire toegangspunt om toegang te hebben tot deze dingen (en de tutorial volgen zodat je andere dual-SSID-taken kunt uitvoeren, zoals het beperken van de bandbreedte van gasten of de tijden dat ze het internet mogen gebruiken), dan ben je effectief klaar met de tutorial.
We stellen ons voor dat de meesten van jullie zouden willen voorkomen dat je gasten in je netwerk rondneuzen en ze voorzichtig naar Facebook en e-mail drijven. In dat geval moeten we het proces voltooien door het secundaire AP los te koppelen van het fysieke netwerk.
Navigeer naar Beheer -> Opdrachten. U ziet een gebied met het label "Command Shell". Plak de volgende commando's, zonder de # commentaarregels, in het bewerkbare gebied:
#Verwijdert gasttoegang tot fysiek netwerk
iptables -I FORWARD -i br1 -o br0 -m state --state NIEUW -j DROP
iptables -I FORWARD -i br0 -o br1 -m state --state NIEUW -j DROP
#Verwijdert gasttoegang tot de configuratie-GUI / poorten van de router
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-met tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-met tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-met tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-met tcp-reset
Klik op "Save Firewall" en start uw router opnieuw op.
Deze aanvullende firewallregels zorgen ervoor dat alles op de twee bridges (het privé-netwerk en het openbare / gastnetwerk) niet kan praten en weigeren elk contact tussen een client op het gastnetwerk en de telnet-, SSH- of webserverpoorten op de router (waardoor ze helemaal niet proberen toegang te krijgen tot de configuratiebestanden van de router).
Een woord over het gebruik van de opdrachtshell en de opstart-, afsluit- en firewallscripts. Eerst worden de IPTABLES-opdrachten op volgorde verwerkt. Het veranderen van de volgorde van de individuele regels kan de uitkomst aanzienlijk veranderen. Ten tweede worden er tientallen en tientallen routers ondersteund door DD-WRT en afhankelijk van uw specifieke router en configuratie moet u mogelijk de IPTABLES-opdrachten hierboven aanpassen. Het script werkte voor onze router en het gebruikt de breedste en eenvoudigste opdrachten om de taak uit te voeren, dus het zou voor de meeste routers moeten werken. Als dit niet het geval is, raden we u ten zeerste aan om uw specifieke routermodel te zoeken in de DD-WRT-discussieforums en kijk of andere gebruikers dezelfde problemen hebben ondervonden als jij.
Op dit punt bent u klaar met de configuratie en kunt u genieten van dubbele SSID's en alle voordelen die het uitvoeren ervan met zich meebrengt. U kunt gemakkelijk een gastwachtwoord afgeven (en het naar believen wijzigen), QoS-regels instellen voor het gastnetwerk en het gastnetwerk op een andere manier aanpassen en beperken op manieren die uw primaire netwerk totaal niet beïnvloeden.
