Udostępnianie sieci Wi-Fi gościom jest po prostu uprzejmą rzeczą, ale nie oznacza to, że chcesz zapewnić im szeroko otwarty dostęp do całej sieci LAN. Czytaj dalej, ponieważ pokazujemy, jak skonfigurować router pod kątem podwójnych identyfikatorów SSID i utworzyć oddzielny (i zabezpieczony) punkt dostępu dla gości.
Dlaczego chcę to zrobić?
Istnieje kilka bardzo praktycznych powodów, dla których warto skonfigurować sieć domową tak, aby miała podwójne punkty dostępu (AP).
Powodem najbardziej praktycznego zastosowania dla większości osób jest po prostu odizolowanie sieci domowej, aby goście nie mogli uzyskać dostępu do rzeczy, które chcesz zachować prywatnie. Domyślną konfiguracją dla prawie każdego domowego punktu dostępu / routera Wi-Fi jest użycie pojedynczego bezprzewodowego punktu dostępowego, a każda osoba upoważniona do dostępu do tego punktu dostępowego otrzymuje dostęp do sieci tak, jakby była podłączona bezpośrednio do punktu dostępowego przez Ethernet.
Innymi słowy, jeśli dasz swojemu przyjacielowi, sąsiadowi, gościowi domowemu lub ktokolwiek hasło do punktu dostępu Wi-Fi, dajesz im również dostęp do drukarki sieciowej, wszelkich otwartych udziałów w Twojej sieci, niezabezpieczonych urządzeń w Twojej sieci i tak dalej. Być może po prostu chciałeś pozwolić im sprawdzić pocztę e-mail lub zagrać w grę online, ale dałeś im swobodę wędrowania w dowolnym miejscu w sieci wewnętrznej.
Chociaż większość z nas z pewnością nie ma złośliwych hakerów dla znajomych, nie oznacza to, że nie jest rozsądne konfigurowanie naszych sieci tak, aby goście pozostawali tam, gdzie ich miejsce (po stronie ogrodzenia z bezpłatnym dostępem do Internetu) i nie mogą iść tam, gdzie nie (na serwerze macierzystym / udziale osobistym po stronie ogrodzenia).
Innym praktycznym powodem uruchamiania punktu dostępowego z dwoma identyfikatorami SSID jest możliwość ograniczenia nie tylko tego, gdzie może się udać punkt dostępu gościa, ale także kiedy. Jeśli na przykład jesteś rodzicem, który chce ograniczyć czas, w którym Twoje dziecko może spędzać czas na komputerze, możesz umieścić jego komputer, tablet itp. Na dodatkowym punkcie dostępowym i ustawić ograniczenia dostępu do Internetu dla całej podrzędnej -SSID po, powiedzmy, 21:00.
Czego potrzebuję?
Nasz dzisiejszy samouczek koncentruje się na użyciu routera zgodnego z DD-WRT w celu uzyskania podwójnych identyfikatorów SSID. W związku z tym będziesz potrzebować następujących rzeczy:
- 1 router zgodny z DD-WRT z odpowiednią wersją sprzętu (pokażemy, jak to sprawdzić)
- 1 zainstalowana kopia DD-WRT na wspomnianym routerze
Nie jest to jedyny sposób na skonfigurowanie podwójnych identyfikatorów SSID w sieci domowej. Będziemy uruchamiać nasze identyfikatory SSID z wszechobecnego bezprzewodowego routera Linksys WRT54G. Jeśli nie chcesz przechodzić przez kłopoty z flashowaniem niestandardowego oprogramowania układowego na starym routerze i wykonywaniem dodatkowych czynności konfiguracyjnych, możesz zamiast tego:
- Kup nowszy router, który obsługuje podwójne identyfikatory SSID zaraz po wyjęciu z pudełka, na przykład ASUS RT-N66U .
- Kup drugi router bezprzewodowy i skonfiguruj go jako samodzielny punkt dostępu.
O ile nie masz już routera obsługującego podwójne identyfikatory SSID (w takim przypadku możesz pominąć ten samouczek i po prostu przeczytać instrukcję swojego urządzenia), obie te opcje są mniej niż idealne, ponieważ musisz wydać dodatkowe pieniądze, a w przypadku Druga opcja, wykonaj kilka dodatkowych czynności konfiguracyjnych, w tym ustawienie dodatkowego punktu dostępowego, aby nie zakłócał i / lub nie nakładał się na podstawowy punkt dostępowy.
W świetle tego wszystkiego byliśmy bardziej niż szczęśliwi, mogąc korzystać ze sprzętu, który już posiadaliśmy (router bezprzewodowy serii Linksys WRT54G) i pominąć wydatki na gotówkę i dodatkowe ulepszenia sieci Wi-Fi.
Skąd mam wiedzieć, że mój router jest zgodny?
Istnieją dwa krytyczne elementy zgodności, które musisz sprawdzić, aby odnieść sukces w tym samouczku. Pierwszą i najbardziej podstawową jest sprawdzenie, czy twój router obsługuje DD-WRT. Możesz odwiedzić Baza danych routerów wiki DD-WRT tutaj, aby sprawdzić.
Po ustaleniu, że router jest zgodny z DD-WRT, musimy sprawdzić numer wersji chipa routera. Na przykład, jeśli masz naprawdę stary router Linksys, może to być doskonały, serwisowalny router pod każdym względem, ale chip może nie obsługiwać podwójnych identyfikatorów SSID (co powoduje, że jest zasadniczo niezgodny z samouczkiem).
Istnieją dwa stopnie zgodności w odniesieniu do numeru wersji routera. Niektóre routery mogą tworzyć wiele identyfikatorów SSID, ale nie mogą dzielić identyfikatorów SSID na odrębne, absolutnie unikalne punkty dostępu (np. Unikalny adres MAC dla każdego identyfikatora SSID). W niektórych sytuacjach może to powodować problemy z niektórymi urządzeniami Wi-Fi, ponieważ nie wiedzą, którego identyfikatora SSID (ponieważ oba mają ten sam adres MAC), którego powinny używać. Niestety nie ma sposobu, aby przewidzieć, które urządzenia będą źle działać w Twojej sieci, więc nie możemy od razu zalecić unikania techniki opisanej w tym samouczku, jeśli okaże się, że masz urządzenie, które nie obsługuje dyskretnych identyfikatorów SSID.
Możesz sprawdzić numer wersji, wyszukując w Google konkretny model routera wraz z numerem wersji wydrukowanym na etykiecie informacyjnej (zwykle znajduje się na spodzie routera), ale okazało się, że ta technika jest zawodna (etykiety może być nieprawidłowo zastosowany, zamieszczone w Internecie informacje dotyczące modelu i daty produkcji mogą być niedokładne itp.)
Najbardziej niezawodnym sposobem sprawdzenia numeru wersji chipa wewnątrz routera jest faktycznie sondowanie routera, aby się tego dowiedzieć. Aby to zrobić, wykonaj następujące czynności. Otwórz klienta telnet (program wielofunkcyjny, taki jak PuTTY lub podstawowe polecenie Telnet systemu Windows) i wykonaj telnet na adres IP routera (np. 192.168.1.1). Zaloguj się do routera, używając loginu i hasła administratora (pamiętaj, że w przypadku niektórych routerów, nawet jeśli wpiszesz „admin” i „moje hasło”, aby zalogować się do internetowego portalu zarządzania na routerze, może być konieczne wpisanie „root ”I„ moje hasło ”, aby zalogować się przez telnet).
Po zalogowaniu się do routera wpisz następujące polecenie w wierszu polecenia:
nvram show | grep corerev
Spowoduje to zwrócenie podstawowego numeru wersji chipa (ów) w routerze w następującym formacie:
wl0_corerev = 9
Lsrf =
Powyższe wyjście oznacza, że nasz router ma jedno radio (wl0, nie ma wl1), a wersja podstawowa tego chipa radiowego to 9. Jak interpretujesz wyjście? Numer wersji w odniesieniu do naszego przewodnika oznacza:
- 0-4 Router nie obsługuje wielu identyfikatorów SSID (z unikalnymi identyfikatorami lub w inny sposób)
- 5-8 Router obsługuje wiele identyfikatorów SSID (ale nie z unikalnymi identyfikatorami)
- 9+ Router obsługuje wiele identyfikatorów SSID (z unikalnymi identyfikatorami)
Jak widać z powyższego wyniku polecenia, nam się poszczęściło. Chip naszego routera to najniższa wersja obsługująca wiele identyfikatorów SSID z unikalnymi identyfikatorami.
Gdy już ustalisz, że router obsługuje wiele identyfikatorów SSID, musisz zainstalować DD-WRT. Jeśli twój router został dostarczony z DD-WRT lub już go zainstalowałeś, fantastycznie. Jeśli jeszcze go nie zainstalowałeś, zalecamy pobranie odpowiedniej wersji ze strony internetowej DD-WRT i wykonanie naszego samouczka: Zmień swój domowy router w super-zasilany router z DD-WRT .
Oprócz naszego samouczka nie możemy podkreślić wartości obszernego i świetnie utrzymanego DD-WRT wiki . Zapoznaj się z konkretnym routerem i najlepszymi praktykami dotyczącymi flashowania tam nowego oprogramowania układowego.
Konfigurowanie DD-WRT dla wielu identyfikatorów SSID
Masz zgodny router, sflashowałeś do niego DD-WRT, teraz nadszedł czas, aby rozpocząć konfigurowanie drugiego identyfikatora SSID. Tak jak zawsze powinieneś flashować nowe oprogramowanie sprzętowe przez połączenie przewodowe, zdecydowanie zalecamy pracę nad konfiguracją bezprzewodową przez połączenie przewodowe, aby zmiany nie wymuszały odłączenia komputera bezprzewodowego od sieci.
Otwórz przeglądarkę internetową na komputerze podłączonym do routera przez Ethernet. Przejdź do domyślnego adresu IP routera (zwykle 198.168.1.1). W interfejsie DD-WRT przejdź do Wireless -> Basic Settings (jak widać na powyższym zrzucie ekranu). Możesz zobaczyć, że nasz istniejący punkt dostępu Wi-Fi ma identyfikator SSID „HTG_Office”.
U dołu strony, w sekcji „Wirtualne interfejsy”, kliknij przycisk Dodaj. Poprzednio pusta sekcja „Interfejsy wirtualne” zostanie rozszerzona o ten wstępnie wypełniony wpis:
Ten wirtualny interfejs jest połączony z istniejącym chipem radiowym (zwróć uwagę na wl0.1 w tytule nowego wpisu). Wskazuje na to nawet skrót w SSID, „vap” na końcu domyślnego SSID oznacza wirtualny punkt dostępu. Przeanalizujmy pozostałe wpisy w nowym interfejsie wirtualnym.
Możesz zmienić nazwę SSID na dowolną. Zgodnie z naszą obecną konwencją nazewnictwa (i aby ułatwić życie naszym gościom) zamierzamy zmienić SSID z domyślnego na „HTG_Guest” - pamiętajmy, że naszym głównym punktem dostępu Wi-Fi jest „HTG_Office”.
Pozostaw włączone bezprzewodowe rozgłaszanie SSID. Nie tylko wiele starszych komputerów i urządzeń obsługujących Wi-Fi nie gra zbyt dobrze z tajnymi identyfikatorami SSID, ale ukryta sieć dla gości nie jest zbyt zachęcającą / użyteczną siecią dla gości.
Izolacja punktu dostępu to ustawienie zabezpieczeń, które pozostawimy do włączenia lub wyłączenia według własnego uznania. Jeśli włączysz izolację punktu dostępu, każdy klient w sieci Wi-Fi gościa będzie całkowicie odizolowany od siebie. Z punktu widzenia bezpieczeństwa jest to świetne, ponieważ powstrzymuje złośliwego użytkownika przed szpiegowaniem klientów innych użytkowników. To jednak bardziej niepokoi sieci korporacyjne i publiczne punkty dostępu. Praktycznie rzecz biorąc, oznacza to również, że jeśli twoja siostrzenica i siostrzeniec się skończyli i chcą zagrać w grę połączoną z Wi-Fi na swoich urządzeniach Nintendo DS, ich jednostki DS nie będą mogły się widzieć. W większości zastosowań domowych i małych biur nie ma powodu, aby izolować punkty dostępowe.
Opcja Unbridged / Bridged w konfiguracji sieci odnosi się do tego, czy punkt dostępu Wi-Fi będzie połączony mostem z siecią fizyczną, czy nie. Choć jest to sprzeczne z intuicją, musisz pozostawić ustawienie Bridged. Zamiast pozwolić oprogramowaniu sprzętowemu routera obsłużyć (raczej niezgrabnie) proces odłączania, zamierzamy ręcznie odblokować wszystko samodzielnie, uzyskując czystszy i stabilniejszy wynik.
Po zmianie identyfikatora SSID i sprawdzeniu ustawień kliknij Zapisz.
Następnie przejdź do Wireless -> Wireless Security:
Domyślnie nie ma zabezpieczeń na drugim AP. Możesz zostawić to tymczasowo do celów testowych (zostawiliśmy nasze otwarte do samego końca), aby uchronić się przed wprowadzaniem hasła na urządzeniach testowych. Nie zalecamy jednak pozostawiania go na stałe otwartego. Niezależnie od tego, czy w tym momencie zdecydujesz się pozostawić ją otwartą, czy nie, musisz kliknąć Zapisz, a następnie Zastosuj ustawienia, aby zmiany, które wprowadziliśmy zarówno w poprzedniej sekcji, jak iw tej, zaczęły obowiązywać. Zachowaj cierpliwość, zastosowanie zmian może potrwać do 2 minut.
Teraz jest dobry moment, aby potwierdzić, że pobliskie urządzenia Wi-Fi widzą zarówno główne, jak i dodatkowe punkty dostępu. Otwarcie interfejsu Wi-Fi na smartfonie to świetny sposób na szybkie sprawdzenie. Oto widok ze strony konfiguracji Wi-Fi naszego telefonu z Androidem:
Nie możemy jeszcze połączyć się z dodatkowym punktem dostępowym, ponieważ musimy wprowadzić jeszcze kilka zmian w routerze, ale zawsze dobrze jest zobaczyć je oba na liście.
Następnym krokiem jest rozpoczęcie procesu oddzielania identyfikatorów SSID w sieci poprzez przypisanie unikalnego zakresu adresów IP urządzeniom Wi-Fi gościa.
Przejdź do Konfiguracja -> Sieć. W sekcji „Mostkowanie” kliknij przycisk Dodaj.
Najpierw zmień początkową pozycję na „br1”, pozostałe wartości pozostaw bez zmian. Na razie nie będzie można zobaczyć powyższego wpisu IP / podsieci. Kliknij „Zastosuj ustawienia”. Nowy most będzie znajdować się w sekcji Bridging z dostępnymi sekcjami IP i Subnet. Ustaw adres IP na wartość równą adresowi IP Twojej zwykłej sieci (np. Twoja sieć podstawowa to 192.168.1.1, więc wprowadź tę wartość jako 192.168.2.1). Ustaw maskę podsieci na 255.255.255.0. Ponownie kliknij „Zastosuj ustawienia” u dołu strony.
Przypisz sieć gościa do mostka
Uwaga: dziękuję czytelnikowi Joelowi za wskazanie tej części i przekazanie nam instrukcji dodania do samouczka.
W sekcji „Przypisz do mostka” kliknij „Dodaj”. Wybierz nowy utworzony most z pierwszego menu rozwijanego i sparuj go z interfejsem „wl0.1”.
Teraz kliknij „Zapisz” i „Zastosuj ustawienia”.
Po zastosowaniu zmian ponownie przewiń do dołu strony, do sekcji DHCPD. Kliknij „Dodaj”. Przełącz pierwsze gniazdo na „br1”. Resztę ustawień pozostaw bez zmian (jak widać na poniższym zrzucie ekranu).
Kliknij „Zastosuj ustawienia” jeszcze raz. Po wykonaniu wszystkich zadań na stronie Konfiguracja -> Sieć powinieneś przejść do połączenia i przypisania DHCP.
Uwaga: jeśli punkt dostępu Wi-Fi, który konfigurujesz dla podwójnych identyfikatorów SSID, jest utworzony na innym urządzeniu (np. Masz dwa routery Wi-Fi w domu lub w biurze, aby zwiększyć zasięg i ten, dla którego konfigurujesz identyfikator SSID gościa) on jest numerem 2 w łańcuchu), musisz skonfigurować DHCP w sekcji Usługi. Jeśli wygląda to na Twoją konfigurację, czas przejść do sekcji Usługi -> Usługi.
W sekcji usług musimy dodać trochę kodu do sekcji DNSMasq, aby router poprawnie przypisał dynamiczne adresy IP urządzeniom łączącym się z siecią gościa. Przewiń w dół sekcję DNSMasq. W polu „Dodatkowe opcje DNSMasq” wklej następujący kod (bez # komentarzy wyjaśniających funkcjonalność każdej linii):
# Włącza DHCP na br1
interfejs = br1
# Ustaw domyślną bramę dla klientów br1
dhcp-option = br1,3,192.168.2.1
# Ustaw zakres DHCP i domyślny czas dzierżawy na 24 godziny dla klientów br1
zakres dhcp = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Kliknij „Zastosuj ustawienia” u dołu strony.
Niezależnie od tego, czy użyłeś jednej, czy drugiej techniki, poczekaj kilka minut, aby połączyć się z nowym identyfikatorem SSID gościa. Gdy łączysz się z SSID gościa, sprawdź swój adres IP. Powinieneś mieć adres IP z zakresu określonego powyżej. Ponownie, warto użyć smartfona do sprawdzenia:
Wszystko wygląda dobrze. Dodatkowy punkt dostępu przypisuje dynamiczne adresy IP w odpowiednim zakresie, które możemy uzyskać w Internecie - odnotowujemy tutaj, ogromny sukces.
Jedynym problemem jest jednak to, że dodatkowy punkt dostępu nadal ma dostęp do zasobów sieci podstawowej. Oznacza to, że wszystkie drukarki sieciowe, udziały sieciowe itp. Są nadal widoczne (możesz to teraz przetestować, spróbuj znaleźć udział sieciowy z sieci podstawowej w dodatkowym punkcie dostępowym).
Jeśli ty chcieć gości na dodatkowym punkcie dostępowym, aby mieć dostęp do tych rzeczy (i postępują zgodnie z samouczkiem, dzięki czemu można wykonywać inne zadania z podwójnym SSID, takie jak ograniczanie przepustowości gości lub czasu, w którym mogą korzystać z Internetu), a następnie skutecznie skończysz z instruktaż.
Wyobrażamy sobie, że większość z was chciałaby powstrzymać swoich gości przed przeglądaniem sieci i delikatnie nakłaniać ich do korzystania z Facebooka i poczty elektronicznej. W takim przypadku musimy zakończyć proces odłączając dodatkowy punkt dostępowy od sieci fizycznej.
Przejdź do Administracja -> Polecenia. Zobaczysz obszar oznaczony „Command Shell”. Wklej następujące polecenia, bez # linii komentarza, do obszaru edytowalnego:
# Usuwa dostęp gościa do sieci fizycznej
iptables -I FORWARD -i br1 -o br0 -m stan --state NOWOŚĆ -j DROP
iptables -I FORWARD -i br0 -o br1 -m stan --state NOWOŚĆ -j DROP
# Usuwa dostęp gościa do GUI / portów konfiguracji routera
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Kliknij „Save Firewall” i zrestartuj router.
Te dodatkowe reguły zapory po prostu uniemożliwiają rozmowę wszystkim na dwóch mostach (sieci prywatnej i sieci publicznej / gościnnej), a także odrzucają jakikolwiek kontakt między klientem w sieci gościa a portami telnet, SSH lub serwerem sieciowym router (w ten sposób uniemożliwiając im w ogóle dostęp do plików konfiguracyjnych routera).
Kilka słów o używaniu powłoki poleceń oraz skryptów uruchamiania, zamykania i zapory. Najpierw polecenia IPTABLES są przetwarzane w kolejności. Zmiana kolejności poszczególnych linii może znacząco zmienić wynik. Po drugie, istnieją dziesiątki routerów obsługiwanych przez DD-WRT iw zależności od konkretnego routera i konfiguracji może być konieczne dostosowanie powyższych poleceń IPTABLES. Skrypt działał na naszym routerze i używa najszerszych i najprostszych możliwych poleceń do wykonania zadania, więc powinien działać na większości routerów. Jeśli tak nie jest, gorąco zachęcamy do wyszukania konkretnego modelu routera w fora dyskusyjne DD-WRT i sprawdź, czy inni użytkownicy napotkali te same problemy, co Ty.
W tym momencie konfiguracja jest zakończona i możesz cieszyć się dwoma identyfikatorami SSID i wszystkimi korzyściami związanymi z ich uruchomieniem. Możesz łatwo podać hasło gościa (i zmienić je w dowolnym momencie), skonfigurować reguły QoS dla sieci gościa, a także zmodyfikować i ograniczyć sieć gościa w sposób, który w najmniejszym stopniu nie wpłynie na twoją główną sieć.
