Ako povoliť hosťujúci prístupový bod na vašej bezdrôtovej sieti
Zdieľanie Wi-Fi s hosťami je len zdvorilo, čo však neznamená, že by ste im chceli poskytnúť široký otvorený prístup do celej vašej siete LAN. Čítajte ďalej, ako vám ukážeme, ako nastaviť smerovač pre dvojité SSID a vytvoriť pre svojich hostí samostatný (a zabezpečený) prístupový bod.
Prečo to mám robiť??
Existuje niekoľko veľmi praktických dôvodov, prečo chcete vytvoriť domácu sieť, aby mali prístupové body (AP).
Dôvodom s najpraktickejšou aplikáciou pre väčšinu ľudí je jednoduchá izolácia domácej siete, aby hostia nemali prístup k veciam, ktoré chcete zostať súkromné. Predvolená konfigurácia pre takmer každý domáci prístupový bod / smerovač Wi-Fi má použiť jediný bezdrôtový prístupový bod a každý, kto má oprávnenie na prístup k AP, má prístup do siete, ako keby bol pripojený priamo do AP prostredníctvom siete Ethernet.
Inými slovami, ak dáte svojmu priateľovi, susedom, hosťovi alebo ktokoľvek heslo k vášmu Wi-Fi AP, dali ste im tiež prístup k sieťovej tlačiarni, k akýmkoľvek otvoreným zdieľaným položkám v sieti, nezabezpečeným zariadeniam v sieti atď. Možno ste ich chceli len nechať skontrolovať e-mail alebo hrať online, ale dali ste im slobodu cestovať kamkoľvek chcú vo vašej internej sieti.
Teraz, zatiaľ čo väčšina z nás určite nemá priateľov škodlivých hackerov, to neznamená, že nie je rozumné nastaviť naše siete tak, aby hostia zostali tam, kde patria (na voľnej ploche prístupu na internet) a nemôžu ísť tam, kde nemajú (na domácom serveri / osobné akcie strane plotu).
Ďalším praktickým dôvodom pre spustenie AP s dvoma SSID je možnosť nielen obmedziť to, kde môže AP hosťovať, ale kedy. Ak ste napríklad rodič, ktorý chce obmedziť to, ako neskoro môže vaše dieťa zostať hore na počítači, môžete dať svoj počítač, tablet atď. Na sekundárne AP a nastaviť obmedzenia pre prístup k internetu pre celý sub -SSID po, povedzme, 9PM.
Čo potrebujem?
Náš tutoriál je zameraný na používanie smerovača kompatibilného so štandardom DD-WRT s cieľom dosiahnuť dvojité SSID. Ako taký budete potrebovať nasledujúce veci:
- 1 kompatibilný router DD-WRT s príslušnou revíziou hardvéru (ukážeme vám, ako skontrolovať)
- 1 nainštalovanú kópiu DD-WRT na uvedenom smerovači
Nie je to jediný spôsob, ako nastaviť duálne SSID pre svoju domácu sieť. Budeme používať naše SSID z bežného bezdrôtového routeru Linksys WRT54G. Ak nechcete prejsť problémom s blikajúcim vlastným firmvérom na starom smerovači a vykonaním ďalších krokov konfigurácie, môžete namiesto toho:
- Zakúpte si novší smerovač, ktorý podporuje duálne identifikátory SSID priamo z krabice, ako napríklad ASUS RT-N66U.
- Zakúpte druhý bezdrôtový smerovač a nakonfigurujte ho ako samostatný prístupový bod.
Ak už vlastníte smerovač, ktorý podporuje duálne identifikátory SSID (v tomto prípade môžete preskočiť tento návod a jednoducho si prečítať príručku pre vaše zariadenie), obe tieto možnosti sú menej ako ideálne, pretože musíte minúť ďalšie peniaze a v prípade druhá možnosť, urobte veľa extra konfigurácie vrátane nastavenia sekundárneho AP, aby ste neinterferovali a / alebo neprekrývali s primárnym AP.
Vzhľadom na to sme boli radi, že sme použili hardvér, ktorý sme už mali (bezdrôtový router série Linksys WRT54G) a preskočili výdavky na hotovosť a ďalšiu úpravu siete Wi-Fi.
Ako poznám, že môj router je kompatibilný?
Existujú dva dôležité komponenty kompatibility, ktoré musíte skontrolovať, aby ste dosiahli úspech v tomto výučbe. Prvým a najzákladnejším je skontrolovať, či daný smerovač má podporu DD-WRT. Tu môžete navštíviť databázu smerovačov WDT Wiki.
Po zistení, že váš smerovač je kompatibilný s DD-WRT, musíme skontrolovať číslo revízie čipu vášho smerovača. Ak máte naozaj starý router Linksys, môže to byť v každom prípade dokonale prispôsobiteľný router, ale čip nemusí podporovať duálne identifikátory SSID (čo je v podstate nekompatibilné s tutoriálom).
Existujú dva stupne kompatibility vzhľadom na číslo revízie smerovača. Niektoré smerovače môžu robiť viacero identifikátorov SSID, ale nemôžu rozdeliť identifikátory SSID na odlišné úplne unikátne prístupové body (napríklad jedinečná adresa MAC pre každý SSID). V niektorých situáciách to môže spôsobiť problémy s niektorými zariadeniami Wi-Fi, pretože sa zmätia, čo SSID (pretože obe majú rovnakú adresu MAC), ktoré by mali používať. Bohužiaľ neexistuje žiadny spôsob, ako predpovedať, ktoré zariadenia sa budú vo vašej sieti správať nesprávne, takže nemôžeme jednoznačne odporúčať vyhnúť sa technike uvedenej v tejto príručke, ak zistíte, že máte zariadenie, ktoré nepodporuje diskrétne identifikátory SSID.
Číslo revízie môžete skontrolovať tak, že vykonáte vyhľadávanie Google pre konkrétny model vášho smerovača spolu s číslom verzie vytlačenou na informačnom štítku (zvyčajne sa nachádza na spodnej strane smerovača), ale našli sme túto metódu nespoľahlivú (štítky môže byť nesprávne použitá, informácie uvedené online o modeli a dátume výroby môžu byť nepresné atď.)
Najspoľahlivejšou cestou, ako skontrolovať číslo revízie čipu vo vašom smerovači, je skutočne prieskum smerovača zistiť. Aby ste tak urobili, musíte vykonať nasledujúce kroky. Otvorte klienta telnet (buď viacúčelový program ako PuTTY alebo základný príkaz Windows Telnet) a telnet na adresu IP smerovača (napr. 192.168.1.1). Prihláste sa do smerovača pomocou prihlasovacieho mena a hesla administrátora (upozorňujeme vás, že pre niektoré smerovače, aj keď zadávate "admin" a "mypassword" na prihlásenie sa na portál webového riadenia na smerovači, možno budete musieť zadať "root "A" mypassword "na prihlásenie cez telnet).
Po prihlásení do smerovača zadajte na výzvu nasledujúci príkaz:
nvram show | grep corerev
Týmto sa vráti základné číslo revízie čipov vo vašom smerovači v tomto formáte:
wl0_corerev = 9
wl_corerev =
Vyššie uvedený výstup znamená, že náš smerovač má jedno rádio (wl0, neexistuje wl1) a že základná revízia tohto rádiového čipu je 9. Ako interpretujete výstup? Číslo revízie vo vzťahu k nášmu sprievodcovi znamená:
- 0-4 Smerovač nepodporuje viacero identifikátorov SSID (s jedinečnými identifikátormi alebo inak)
- 5-8 Router podporuje viacero identifikátorov SSID (ale nie s jedinečnými identifikátormi)
- Router podporuje viacero identifikátorov SSID (s jedinečnými identifikátormi)
Ako môžete vidieť z nášho príkazového výstupu vyššie, sme šťastní. Čip nášho smerovača je najnižšia verzia, ktorá podporuje viacero identifikátorov SSID s jedinečnými identifikátormi.
Keď určíte, že váš smerovač podporuje viac SSID, budete musieť nainštalovať DD-WRT. Ak je váš smerovač dodávaný s DD-WRT alebo ste ho už nainštalovali, je to fantastické. Ak ste ho ešte nenainštalovali, odporúčame vám prevziať príslušnú verziu z webovej lokality DD-WRT a nasledujte spolu s naším tutoriálom: Prepnite svoj domovský smerovač do super-Powered Router s DD-WRT.
Okrem nášho tutoriálu nemôžeme zdôrazniť hodnotu rozsiahlej a výborne udržiavanej wiki DD-WRT. Prečítajte si konkrétny smerovač a najlepšie postupy pre blikanie nového firmvéru tam.
Konfigurácia DD-WRT pre viaceré identifikátory SSID
Máte kompatibilný smerovač, do ktorého ste dostali DD-WRT, teraz je čas začať s nastavením druhého SSID. Rovnako, ako by ste vždy mali blikať nový firmware cez káblové pripojenie, dôrazne odporúčame pracovať na bezdrôtovej konfigurácii prostredníctvom káblového pripojenia, aby zmeny nevynútili váš bezdrôtový počítač zo siete.
Otvorte webový prehliadač na počítači pripojenom k smerovaču cez ethernet. Prejdite na predvolenú IP smerovača (typicky 198.168.1.1). V rozhraní DD-WRT prejdite na položku Bezdrôtové -> Základné nastavenia (ako je vidieť na snímke obrazovky vyššie). Môžete vidieť, že náš existujúci prístupový bod Wi-Fi má SSID "HTG_Office".
V dolnej časti stránky v sekcii "Virtuálne rozhrania" kliknite na tlačidlo Pridať. Predtým prázdna sekcia "Virtuálne rozhrania" sa rozbalí s touto prepopulovanou položkou:
Toto virtuálne rozhranie je nasmerované na váš existujúci rádiový čip (poznamenajte si wl0.1 v názve nového záznamu). Dokonca aj skratka v SSID to označila, "vap" na konci predvoleného SSID znamená Virtual Access Point. Zlomme si ostatné položky pod novým virtuálnym rozhraním.
SSID môžete premenovať na čokoľvek, čo chcete. V súlade s našou existujúcou konvenciou pomenovania (a aby sme uľahčili život našim hosťom) zmeníme SSID z predvolenej hodnoty na "HTG_Guest" - poznamenajme, že náš hlavný Wi-Fi AP je "HTG_Office".
Povoľte bezdrôtové vysielanie SSID. Nielen, že veľa starších počítačov a zariadení s podporou Wi-Fi nehrá veľmi pekné s tajnými SSID, ale skrytá hosťovská sieť nie je veľmi príjemná / užitočná hosťovská sieť.
Aplikácia AP Izolácia je nastavenie zabezpečenia, ktoré nechávame podľa vlastného uváženia na zapnutie alebo vypnutie. Ak povolíte AP Izolácia, každý klient vašej siete Wi-Fi hosťa bude navzájom úplne izolovaný. Z bezpečnostného hľadiska je to skvelé, pretože zabraňuje tomu, aby sa zlomyseľný používateľ naklonil k klientom iných používateľov. To však viac znepokojuje podnikové siete a verejné hotspoty. Prakticky povedané, to tiež znamená, že ak je vaša neter a synovec skončili a chcú hrať Wi-Fi pripojenú hru na svojich zariadeniach Nintendo DS, ich jednotky DS sa nebudú môcť navzájom vidieť. Vo väčšine domácich a malých kancelárskych aplikácií nie je dôvod izolovať AP.
Voľba Nekompatibilná / premostená v Konfigurácii siete znamená, či sa AP Wi-Fi premoste alebo nie do fyzickej siete. Keďže to je protichodné, musíte ho nechať nastavené na Bridge. Namiesto toho, aby firmvér smerovača zvládol (skôr nemotorne) proces prepájania, budeme ručne zbaviť všetko sami s čistejším a stabilnejším výsledkom.
Po zmene SSID a kontrole nastavení kliknite na tlačidlo Uložiť.
Ďalej prejdite na položku Bezdrôtové pripojenie -> Bezdrôtové zabezpečenie:
Štandardne neexistuje žiadna bezpečnosť v druhom AP. Môžete to dočasne nechať kvôli testovacím účelom (nechali sme otvorené až do konca), aby ste sa ušetrili heslom na testovacích zariadeniach. Neodporúčame však, aby sme boli natrvalo otvorení. Bez ohľadu na to, či ste v tomto okamihu ponechali otvorené alebo nie, musíte kliknúť na položku Uložiť a potom na položku Použiť nastavenia pre zmeny, ktoré sme vykonali tak v predchádzajúcej sekcii, ako aj v tejto časti. Buďte trpezliví, môže to trvať až 2 minúty, kým sa zmeny prejavia.
Teraz je skvelý čas na potvrdenie, že v blízkosti zariadenia Wi-Fi sa môžu zobraziť primárne aj sekundárne AP. Otvorenie rozhrania Wi-Fi na smartphone je skvelý spôsob, ako rýchlo skontrolovať. Tu je náhľad z našej stránky konfigurácie siete Wi-Fi na telefóne Android:
Nemôžeme sa pripojiť k sekundárnemu prístupovému okruhu práve preto, lebo potrebujeme urobiť ešte niekoľko zmien v smerovači, ale je vždy príjemné vidieť ich v zozname.
Ďalším krokom je začať proces oddeľovania identifikátorov SSID v sieti priradením jedinečného rozsahu IP adries hosťom Wi-Fi zariadeniam.
Prejdite do časti Nastavenie -> Sieť. V časti Prepojenie kliknite na tlačidlo Pridať.
Najprv zmeňte počiatočný priestor na hodnotu "br1", ostatné hodnoty nechajte rovnaké. Zatiaľ nebudete môcť zobraziť záznam IP / podsietenia. Kliknite na položku Použiť nastavenia. Nový most bude v sekcii Prepojenie s dostupnými sekciami IP a Subnet. Nastavte IP adresu na jednu hodnotu mimo IP vašej bežnej siete (napr. Vaša primárna sieť je 192.168.1.1, takže túto hodnotu nastavte na 192.168.2.1). Nastavte masku podsiete na hodnotu 255.255.255.0. Kliknite na tlačidlo "Použiť nastavenia" v spodnej časti stránky.
Priradiť hosťovskej sieti Bridge
Poznámka: vďaka čitateľovi Joelovi za poukázanie na túto časť a poskytnutie nám pokynov na pridanie do tutoriálu.
V časti "Priradiť k Bridge" kliknite na "Pridať". Z prvého rozbaľovacieho zoznamu vyberte nový most, ktorý ste vytvorili a spárujte ho s rozhraním "wl0.1".
Teraz kliknite na tlačidlo "Uložiť" a "Použiť nastavenia".
Po vykonaní zmien znovu prejdite na spodnú stranu stránky do sekcie DHCPD. Kliknite na položku Pridať. Prepnite prvý slot na "br1". Ostatné nastavenia nechajte rovnaké (ako je vidieť na obrázku nižšie).
Kliknite na tlačidlo "Použiť nastavenia" ešte raz. Akonáhle dokončíte všetky úlohy na stránke Setup -> Networking, mali by ste mať dobré pripojenie a pridelenie DHCP.
Poznámka: Ak konfigurujete prístupový bod Wi-Fi, ktorý ste nastavili pre duálne identifikátory SSID, pracuje na inom zariadení (napr. Máte dva smerovače Wi-Fi vo vašej domácnosti alebo v kancelárii, aby ste rozšírili svoje pokrytie a tie, ktoré nastavujete SSID hosťa on je # 2 v reťazci), budete musieť nastaviť DHCP v sekcii Služby. Ak to znie ako vaše nastavenie, je čas prejsť na sekciu Služby -> Služby.
V sekcii služby je potrebné do sekcie DNSMasq pridať trochu kódu, aby smerovač správne priradil dynamické adresy IP zariadeniam, ktoré sa pripájajú k hostiteľskej sieti. Posuňte nadol sekciu DNSMasq. V poli "Ďalšie možnosti DNSMasq" prilepte nasledujúci kód (mínus # komentáre vysvetľujúce funkčnosť každého riadku):
# Umožňuje DHCP na br1
interface = BR1
# Nastavte predvolenú bránu pre klientov br1
dhcp-voľba = br1,3,192.168.2.1
# Nastavte rozsah DHCP a predvolený čas prenájmu 24 hodín pre klientov br1
DHCP rozsah = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Kliknite na položku "Použiť nastavenia" v dolnej časti stránky.
Či už ste použili techniku jeden alebo dva, počkajte niekoľko minút, kým sa pripojí k vášmu novému SSID hosťa. Keď sa pripojíte k SSID hosťa, skontrolujte svoju IP adresu. Mali by ste mať IP v rozmedzí, ktoré sme špecifikovali vyššie. Znova je užitočné používať váš smartphone na kontrolu:
Všetko vyzerá dobre. Sekundárny prístupový bod priraďuje dynamické IP adresy vo vhodnom rozsahu, môžeme sa dostať na internet - uvádzame tu poznámku, obrovský úspech.
Jediným problémom však je, že sekundárny AP stále má prístup k zdrojom primárnej siete. To znamená, že všetky sieťové tlačiarne, sieťové zdieľania a také sú stále viditeľné (môžete to vyskúšať teraz, pokúste sa nájsť sieťový podiel z primárnej siete v sekundárnom AP).
Ak ty chcieť hostia na sekundárnom AP majú prístup k týmto veciam (a sledujú spolu s tutoriálom, aby ste mohli vykonávať iné úlohy s dvojitým SSID, ako je obmedzenie šírky pásma hosťa alebo časy, kedy je povolené používať internet). cvičenie.
Predstavujeme si, že väčšina z vás by chcela, aby vaši hostia nechali skrývať vašu sieť a jemne ju strávili tak, aby sa prilepili na Facebook a e-mail. V takomto prípade musíme dokončiť proces odpojením sekundárnej AP z fyzickej siete.
Prejdite na Administration -> Commands. Uvidíte oblasť označenú ako "Command Shell". Vložte nasledovné príkazy, bez ohľadu na # riadky komentárov, do upraviteľnej oblasti:
# Zruší prístup hosťa do fyzickej siete
iptables -I VRÁTENIE -i br1 -o br0 -m stav - štát NEW -j DROP
iptables -I VYPLÝVAJÚCI -i br0 -o br1 -m stav - stav NEW -j DROP
# Zruší prístup hosťa ku konfigurácii GUI / portov smerovača
iptables -I INPUT -i br1 -p tcp -dport telnet -j REJECT -reject-s tcp-reset
iptables -I INPUT -i br1 -p tcp -dport ssh -j REJECT -reject-s tcp-reset
iptables -I INPUT -i br1 -p tcp -dport www -j REJECT -reject-s tcp-reset
iptables -I INPUT -i br1 -p tcp -dport https -j REJECT -reject-s tcp-reset
Kliknite na položku "Uložiť bránu firewall" a reštartujte smerovač.
Tieto dodatočné pravidlá brány firewall jednoducho zastavia všetko na dvoch mostoch (súkromnú sieť a verejnú / hosťovanú sieť), a taktiež odmietnu akýkoľvek kontakt medzi klientom v hosťovskej sieti a portami telnet, SSH alebo webového servera na smerovač (čím ich obmedzuje, aby sa pokúsili o prístup k konfiguračným súborom smerovača vôbec).
Slovo o používaní príkazového shellu a spúšťacích, vypínacích a firewallových skriptoch. Po prvé, príkazy IPTABLES sa spracúvajú v poradí. Zmena poradia jednotlivých línií môže výrazne zmeniť výsledok. Po druhé, DD-WRT podporuje desiatky z desiatok smerovačov a v závislosti od konkrétneho smerovača a konfigurácie budete musieť vylepšiť vyššie uvedené príkazy IPTABLES. Skript pracoval pre náš smerovač a využíva najširšie a najjednoduchšie príkazy na splnenie úlohy, takže by mal fungovať pre väčšinu smerovačov. Ak tomu tak nie je, dôrazne vás vyzývame, aby ste vyhľadali konkrétny model smerovača v diskusných fórach DD-WRT a zistite, či ostatní používatelia majú rovnaké problémy, aké máte.
V tomto okamihu ste skončili s konfiguráciou a ste pripravení užívať si dvojité SSID a všetky výhody, ktoré im prináša. Môžete jednoducho dať heslo hosťa (a zmeniť ho podľa vlastného uváženia), nastaviť pravidlá QoS pre hosťovskú sieť a inak upraviť a obmedziť hosťovskú sieť spôsobom, ktorý nebude mať vplyv na vašu primárnu sieť.