Att dela ditt Wi-Fi med gäster är bara den artiga saken att göra, men det betyder inte att du vill ge dem bred åtkomst till hela ditt LAN. Läs vidare när vi visar dig hur du ställer in din router för dubbla SSID och skapar en separat (och säker) åtkomstpunkt för dina gäster.
Varför vill jag göra det här?
Det finns flera mycket praktiska skäl för att du vill ställa in ditt hemnätverk för att ha dubbla åtkomstpunkter (AP).
Anledningen till den mest praktiska applikationen för flest personer är att helt enkelt isolera ditt hemnätverk så att gästerna inte kan komma åt saker du vill förbli privata. Standardkonfigurationen för nästan alla hem-Wi-Fi-åtkomstpunkter / routrar är att använda en enda trådlös åtkomstpunkt och alla som har behörighet att komma åt den AP får åtkomst till nätverket som om de var anslutna direkt till AP via Ethernet.
Med andra ord om du ger din vän, granne, husgäst eller vem som än lösenordet till din Wi-Fi AP, har du också gett dem åtkomst till din nätverksskrivare, alla öppna delningar i ditt nätverk, osäkra enheter i ditt nätverk och så vidare. Du kanske bara ville låta dem kontrollera sin e-post eller spela ett spel online, men du har gett dem friheten att vandra var som helst de vill i ditt interna nätverk.
Medan majoriteten av oss verkligen inte har skadliga hackare för vänner, betyder det inte att det inte är klokt att ställa in våra nätverk så att gästerna stannar där de hör hemma (på den fria internetsidan av staketet) och kan inte gå dit de inte gör (på hemservern / personliga aktiesidan av staketet).
En annan praktisk anledning till att köra en AP med två SSID är möjligheten att inte bara begränsa var gäst-AP kan gå, utan när. Om du till exempel är en förälder som vill begränsa hur sent ditt barn kan hålla sig uppe och tänka på datorn kan du sätta deras dator, surfplatta etc. på den sekundära AP och ställa in begränsningar för internetåtkomst för hela sub -SSID efter, säg, 21:00.
Vad behöver jag?
Vår handledning idag fokuserar på att använda en DD-WRT-kompatibel router för att uppnå dubbla SSID. Som sådan behöver du följande saker:
- 1 DD-WRT-kompatibel router med lämplig maskinvaruversion (vi visar dig hur du kontrollerar)
- 1 installerad kopia av DD-WRT på routern
Det här är inte det enda sättet att ställa in dubbla SSID för ditt hemnätverk. Vi kommer att köra våra SSID från den allestädes närvarande Linksys WRT54G-serien Wireless Router. Om du inte vill gå igenom besväret med att blinka anpassad firmware på din gamla router och göra de extra konfigurationsstegen, kan du istället:
- Köp en nyare router som stöder dubbla SSID: er direkt ur lådan som t.ex. ASUS RT-N66U .
- Köp en andra trådlös router och konfigurera den som en fristående åtkomstpunkt.
Om du inte redan äger en router som stöder dubbla SSID (i vilket fall du kan hoppa över den här guiden och bara läsa manualen för din enhet) är båda dessa alternativ mindre än idealiska eftersom du måste spendera extra pengar och, i fallet med det andra alternativet, gör en massa extra konfigurering inklusive att ställa in den sekundära AP för att inte störa och / eller överlappa din primära AP.
Med tanke på allt detta var vi mer än glada att använda hårdvara som vi redan hade (Linksys WRT54G-seriens trådlösa router) och hoppa över utlägget av kontanter och extra Wi-Fi-nätverksjustering.
Hur vet jag att min router är kompatibel?
Det finns två viktiga kompatibilitetselement som du måste kontrollera för att lyckas med den här handledningen. Det första och mest elementära är att kontrollera att din specifika router har DD-WRT-stöd. Du kan besöka DD-WRT wiki's Router Database här för att kontrollera.
När du har fastställt att din router är kompatibel med DD-WRT, måste vi kontrollera revisionsnumret för din routers chip. Om du till exempel har en riktigt gammal Linksys-router kan det vara en perfekt användbar router på alla sätt men chipet stöder kanske inte dubbla SSID (vilket gör det i grunden oförenligt med handledningen).
Det finns två grader av kompatibilitet när det gäller routerns revisionsnummer. Vissa routrar kan göra flera SSID: er, men de kan inte dela SSID: erna i distinkta helt unika åtkomstpunkter (t.ex. en unik MAC-adress för varje SSID). I vissa situationer kan detta orsaka problem med vissa Wi-Fi-enheter eftersom de blir förvirrade över vilket SSID (eftersom båda har samma MAC-adress) de ska använda. Tyvärr finns det inget sätt att förutsäga vilka enheter som fungerar felaktigt i ditt nätverk så vi kan inte rekommendera att du undviker tekniken som beskrivs i den här självstudien om du upptäcker att du har en enhet som inte stöder diskreta SSID.
Du kan kontrollera revisionsnumret genom att utföra en Google-sökning efter den specifika modellen för din router tillsammans med versionsnumret som är tryckt på informationsetiketten (vanligtvis finns på routerns undersida) men vi har funnit att denna teknik är opålitlig (etiketter kan missbrukas, information som publiceras online om modell och tillverkningsdatum kan vara felaktig, etc.)
Det mest tillförlitliga sättet att kontrollera revisionsnumret på chipet inuti din router är att faktiskt undersöka routern för att ta reda på det. För att göra det måste du utföra följande steg. Öppna en telnetklient (antingen ett multifunktionellt program som PuTTY eller det grundläggande Windows Telnet-kommandot) och telnet till din routers IP-adress (t.ex. 192.168.1.1). Logga in på routern med ditt administratörsinloggning och lösenord (tänk på att för vissa routrar, även om du skriver in "admin" och "mypassword" för att logga in på den webbaserade hanteringsportalen på routern, kan du behöva skriva in "root ”Och” mitt lösenord ”för att logga in via telnet).
När du är inloggad på routern skriver du följande kommando vid prompten:
nvram-show | grep corerev
Detta returnerar kärnversionen av chip (er) i din router i följande format:
wl0_corerev = 9
Lsrf =
Vad ovanstående utgång betyder är att vår router har en radio (wl0, det finns ingen wl1) och att kärnversionen av det radiochipet är 9. Hur tolkar du utdata? Revisionsnumret, i förhållande till vår guide, betyder följande:
- 0-4 Routern stöder inte flera SSID (med unika identifierare eller på annat sätt)
- 5-8 Routern stöder flera SSID (men inte med unika identifierare)
- 9+ Routern stöder flera SSID (med unika identifierare)
Som du kan se från vår kommandoutgång ovan, lyckades vi. Vår routers chip är den lägsta versionen som stöder flera SSID med unika identifierare.
När du har bestämt att din router kan stödja flera SSID: er måste du installera DD-WRT. Om din router levererades med DD-WRT eller om du redan har installerat den, fantastiskt. Om du inte redan har installerat det rekommenderar vi att du laddar ner lämplig version från DD-WRT-webbplatsen och följer med vår handledning: Förvandla din hemrouter till en superdriven router med DD-WRT .
Förutom vår handledning kan vi inte betona värdet av det omfattande och utmärkt underhållna DD-WRT wiki . Läs om din specifika router och de bästa metoderna för att blinka en ny firmware till den där.
Konfigurera DD-WRT för flera SSID
Du har en kompatibel router, du har blinkat DD-WRT till den, nu är det dags att komma igång med att konfigurera det andra SSID. Precis som att du alltid ska blinka ny firmware via en trådbunden anslutning, rekommenderar vi starkt att du arbetar med din trådlösa installation via en kabelansluten anslutning så att ändringarna inte tvingar din trådlösa dator från nätverket.
Öppna din webbläsare på en dator som är ansluten till routern via Ethernet. Navigera till standard-routerns IP (vanligtvis 198.168.1.1). Gå in i DD-WRT-gränssnittet till Trådlöst -> Grundinställningar (som visas på skärmdumpen ovan). Du kan se att vår befintliga Wi-Fi AP har SSID “HTG_Office”.
Klicka på knappen Lägg till längst ner på sidan, i avsnittet "Virtuella gränssnitt". Det tidigare tomma avsnittet "Virtuella gränssnitt" kommer att utvidgas med denna förbestämda post:
Detta virtuella gränssnitt är piggybacked på ditt befintliga radiochip (notera wl0.1 i titeln på den nya posten). Även förkortningen i SSID indikerade detta, "vap" i slutet av standard SSID står för Virtual Access Point. Låt oss dela upp resten av posterna under det nya virtuella gränssnittet.
Du kan byta namn på SSID till vad du vill. I enlighet med vår befintliga namngivningskonvention (och för att göra livet lättare för våra gäster) kommer vi att ändra SSID från standard till "HTG_Guest" - kom ihåg att vår huvudsakliga Wi-Fi-AP är "HTG_Office".
Lämna Wireless SSID Broadcast aktiverat. Inte bara spelar många äldre datorer och Wi-Fi-aktiverade enheter inte så bra med hemliga SSID: er, men ett dolt gästnätverk är inte ett mycket inbjudande / användbart gästnätverk.
AP Isolation är en säkerhetsinställning som vi lämnar efter eget gottfinnande för att aktivera eller inaktivera. Om du aktiverar AP Isolation kommer varje klient i ditt gäst-Wi-Fi-nätverk att vara helt isolerad från varandra. Ur säkerhetssynpunkt är detta fantastiskt, eftersom det hindrar en skadlig användare från att kikka på andra användares klienter. Det är emellertid mer bekymmer för företagsnätverk och offentliga hotspots. Praktiskt taget betyder det också att om din systerdotter och brorson är över och de vill spela ett Wi-Fi-länkat spel på sina Nintendo DS-enheter, kommer deras DS-enheter inte att kunna se varandra. I de flesta hem- och småkontorsapplikationer finns det liten anledning att isolera AP-apparaterna.
Alternativet Oöverbryggad / överbryggad i nätverkskonfiguration avser huruvida Wi-Fi-AP: n kommer att överbryggas eller inte till det fysiska nätverket. Så kontraintuitivt som det här måste du lämna det inställt på Bridged. I stället för att låta routerns firmware hantera (ganska klumpigt) avlänkningsprocessen, kommer vi att manuellt överbrygga allt själva med ett renare och mer stabilt resultat.
När du har ändrat ditt SSID och granskat inställningarna klickar du på Spara.
Navigera sedan vidare till Trådlöst -> Trådlös säkerhet:
Som standard finns det ingen säkerhet för den andra AP. Du kan lämna det som sådant tillfälligt för teständamål (vi lämnade vårt öppet till slutet) för att spara dig från att skriva in lösenordet på dina testenheter. Vi rekommenderar dock inte att låta den vara permanent öppen. Oavsett om du väljer att låta den vara öppen eller inte vid det här tillfället måste du klicka på Spara och sedan tillämpa Inställningar för att de ändringar som vi gjorde både i föregående avsnitt och den här ska träda i kraft. Var tålmodig, det kan ta upp till två minuter innan ändringarna träder i kraft.
Nu är det en bra tid att bekräfta att Wi-Fi-enheter i närheten kan se både de primära och sekundära AP-apparaterna. Att öppna Wi-Fi-gränssnittet på en smartphone är ett utmärkt sätt att snabbt kontrollera. Här är vyn från vår Android-telefons Wi-Fi-konfigurationssida:
Vi kan inte ansluta till den sekundära AP just nu eftersom vi behöver göra några fler ändringar i routern, men det är alltid trevligt att se dem båda i listan.
Nästa steg är att börja processen med att separera SSID: erna i nätverket genom att tilldela ett unikt utbud av IP-adresser till gäst-Wi-Fi-enheterna.
Navigera till Inställningar -> Nätverk. Klicka på Lägg till under avsnittet "Överbrygga".
Börja först med att byta startplatsen till “br1”, lämna resten av värdena desamma. Du kommer inte att kunna se IP / subnet-posten som visas ovan ännu. Klicka på "Använd inställningar". Den nya bron kommer att finnas i överbryggningsavsnittet med IP- och subnätavsnitten tillgängliga. Ställ in IP-adressen till ett värde från ditt vanliga nätverks IP (t.ex. är ditt primära nätverk 192.168.1.1, så gör detta värde 192.168.2.1). Ställ in nätmask till 255.255.255.0. Klicka på "Använd inställningar" längst ner på sidan igen.
Tilldela gästnätverk till Bridge
Obs: tack till läsaren Joel för att du påpekade den här delen och gav oss instruktionerna att lägga till i självstudien.
Klicka på "Lägg till" under "Tilldela överbrygga". Välj den nya bryggan du skapade från den första rullgardinsmenyn och para den med gränssnittet “wl0.1 ″.
Klicka nu på "Spara" och "Tillämpa inställningar".
När ändringarna har tillämpats, bläddrar du till botten av sidan en gång till avsnittet DHCPD. Klicka på "Lägg till". Byt den första platsen till “br1”. Lämna resten av inställningarna desamma (som framgår av skärmdumpen nedan).
Klicka på "Tillämpa inställningar" en gång till. När du har slutfört alla uppgifter på sidan Inställningar -> Nätverk bör du vara bra för anslutning och DHCP-tilldelning.
Obs! Om Wi-Fi-AP: n som du konfigurerar för dubbla SSID: er är piggy backing på en annan enhet (t.ex. har du två Wi-Fi-routrar i ditt hem eller kontor för att utöka täckningen och den du ställer in gäst-SSID upp on är nummer 2 i kedjan) måste du ställa in DHCP i avsnittet Tjänster. Om det låter som din inställning är det dags att navigera till avsnittet Tjänster -> Tjänster.
I tjänsteavdelningen måste vi lägga till lite kod i avsnittet DNSMasq så att routern tilldelas korrekt dynamiska IP-adresser till enheterna som ansluter till gästnätverket. Rulla ner DNSMasq-avsnittet. I rutan "Ytterligare DNSMasq-alternativ" klistrar du in följande kod (minus # kommentarer som förklarar funktionerna för varje rad):
# Aktiverar DHCP på br1
gränssnitt = br1
# Ställ in standardgateway för br1-klienter
dhcp-option = br1,3,192.168.2.1
# Ställ in DHCP-intervallet och standardhyrestiden på 24 timmar för br1-klienter
dhcp-intervall = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Klicka på "Använd inställningar" längst ner på sidan.
Oavsett om du använde teknik en eller två, vänta några minuter för att ansluta till ditt nya gäst-SSID. När du ansluter till gäst-SSID, kontrollera din IP-adress. Du bör ha en IP inom det intervall som vi angav med ovanstående. Återigen är det praktiskt att använda din smartphone för att kontrollera:
Allt ser bra ut. Den sekundära AP tilldelar dynamiska IP-adresser i ett lämpligt intervall, vi kan komma på Internet - vi noterar här, stor framgång.
Det enda problemet är dock att den sekundära AP fortfarande har tillgång till resurserna i det primära nätverket. Det betyder att alla nätverksskrivare, nätverksdelningar och sådana fortfarande är synliga (du kan testa det nu, försök hitta en nätverksdelning från ditt primära nätverk på den sekundära AP).
Om du vilja gäster på den sekundära AP för att få tillgång till dessa saker (och följer med självstudien så att du kan göra andra dubbla SSID-uppgifter som att begränsa gästbandbredd eller gånger de får använda Internet) så är du effektivt klar med handledning.
Vi föreställer oss att de flesta av er skulle vilja hindra dina gäster från att pissa runt i ert nätverk och försiktigt samla dem mot att hålla fast vid Facebook och e-post. I så fall måste vi avsluta processen genom att koppla bort sekundär AP från det fysiska nätverket.
Navigera till Administration -> Kommandon. Du ser ett område märkt "Command Shell". Klistra in följande kommandon, sans # kommentarraderna i det redigerbara området:
# Tar bort gäståtkomst till fysiskt nätverk
iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
# Tar bort gäståtkomst till routerns konfigurationsgränssnitt / portar
iptables -I INPUT -i br1 -p tcp --port telnet -j REJECT - reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT - reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT - reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --port https -j REJECT - avvisa-med tcp-reset
Klicka på "Spara brandvägg" och starta om din router.
Dessa ytterligare brandväggsregler stoppar enkelt allt på de två broarna (det privata nätverket och det offentliga / gästnätverket) från att prata samt avvisar all kontakt mellan en klient i gästnätverket och telnet-, SSH- eller webbserverportarna på router (vilket begränsar dem från att försöka få åtkomst till routerns konfigurationsfiler alls).
Ett ord om att använda kommandoskalet och start-, avstängnings- och brandväggsskript. Först bearbetas IPTABLES-kommandona i ordning. Att ändra ordningen på individerna kan ändra resultatet avsevärt. För det andra finns det dussintals dussintals routrar som stöds av DD-WRT och beroende på din specifika router och och konfiguration kan du behöva justera IPTABLES-kommandona ovan. Skriptet fungerade för vår router och det använder de bredaste och enklaste kommandona för att utföra uppgiften så att den ska fungera för de flesta routrar. Om det inte gör det, uppmanar vi dig att söka efter din specifika routermodell i diskussionsforum för DD-WRT och se om andra användare har upplevt samma problem som du har.
Vid denna tidpunkt är du klar med konfigurationen och redo att njuta av dubbla SSID och alla fördelar som följer med att köra dem. Du kan enkelt ge ut ett gästlösenord (och ändra det efter behag), ställa in QoS-regler för gästnätverket och på annat sätt modifiera och begränsa gästnätverket på ett sätt som inte påverkar ditt primära nätverk åtminstone.
