If-Koubou

Cum să activați un punct de acces pentru oaspeți în rețeaua wireless

Cum să activați un punct de acces pentru oaspeți în rețeaua wireless (Cum să)

Împărtășirea Wi-Fi-ului cu oaspeții este doar un lucru politicos, dar asta nu înseamnă că doriți să le oferiți un acces larg deschis la întreaga rețea LAN. Citiți mai departe pe măsură ce vă vom arăta cum să vă configurați ruterul pentru SSID-uri duale și să creați un punct de acces separat (și securizat) pentru oaspeții dvs.

De ce vreau să fac asta?

Există mai multe motive foarte practice pentru a vă dori să configurați rețeaua dvs. de domiciliu pentru a avea puncte duale de acces (AP).

Motivul pentru care aplicația cea mai practică pentru cel mai mare număr de oameni este izolarea rețelei dvs. de domiciliu, astfel încât oaspeții să nu poată accesa lucrurile pe care doriți să le păstrați în mod privat. Configurația implicită pentru aproape fiecare punct de acces / router Wi-Fi de acasă este utilizarea unui singur punct de acces fără fir și oricui este autorizat să acceseze accesul AP la rețea, ca și cum ar fi fost conectat direct în AP prin intermediul rețelei Ethernet.

Cu alte cuvinte, dacă vă dați prietenului dvs., vecinului, oaspeții casei sau oricine parola pentru AP-ul dvs. Wi-Fi, le-ați oferit, de asemenea, acces la imprimanta dvs. de rețea, la toate acțiunile deschise din rețea, la dispozitivele negarantate din rețea și așa mai departe. S-ar putea să fi vrut să-i lăsați să verifice e-mailurile sau să joace un joc online, dar le-ați dat libertatea de a călători oriunde ar dori în rețeaua dvs. internă.

Acum, în timp ce majoritatea dintre noi, cu siguranță, nu au hackeri rău intenționați pentru prieteni, asta nu înseamnă că nu este prudent să ne înființăm rețelele astfel încât oaspeții să rămână acolo unde aparțin (pe accesul gratuit la internet al gardului) și nu pot merge acolo unde nu au (pe serverul de acasă / partea de acțiuni personale a gardului).

Un alt motiv practic pentru rularea unui AP cu două SSID-uri este capacitatea de a restricționa nu numai locurile în care AP poate fi vizitată, ci și când. Dacă sunteți părinte, de exemplu, doriți să restrângeți cât de târziu copilul dvs. poate să stea în picioare în jurul valorii de pe computerul pe care i-ați putea pune computerul, tableta etc. în AP secundar și a stabilit restricții privind accesul la Internet pentru întreaga sub -SSID după, să zicem, 9PM.

Ce am nevoie?

Tutorialul nostru de azi este axat pe utilizarea unui router compatibil DD-WRT pentru a obtine SSID-uri dual. Ca atare veți avea nevoie de următoarele lucruri:

  • 1 router compatibil DD-WRT cu o revizuire hardware corespunzătoare (vă vom arăta cum să verificați)
  • 1 copie instalată a DD-WRT pe routerul menționat

Aceasta nu este singura modalitate de configurare a SSID-urilor duale pentru rețeaua dvs. de domiciliu. Vom rula SSID-urile noastre de pe routerul wireless Wireless Linksys WRT54G, omniprezent. Dacă nu doriți să treceți prin hassle-ul firmware-ului personalizat pe ruterul vechi și efectuând pașii de configurare suplimentar, ați putea:

  • Achiziționați un nou router care acceptă SSID-uri duale chiar din cutie, cum ar fi ASUS RT-N66U.
  • Achiziționați un al doilea router wireless și configurați-l ca punct de acces autonom.

Dacă nu dețineți deja un router care acceptă SSID-uri duale (caz în care puteți sări peste acest tutorial și doar citiți manualul pentru dispozitivul dvs.), ambele opțiuni sunt mai puțin decât ideale, deoarece trebuie să cheltuiți bani în plus și, în cazul a doua opțiune, faceți o grămadă de configurare suplimentară, inclusiv configurarea AP secundar pentru a nu interfera și / sau se suprapun cu AP primar.

În lumina tuturor acestor lucruri, am fost mai mult decât fericiți să folosim hardware-ul pe care l-am avut deja (linia wireless Linksys WRT54G) și să depășim costurile de schimbare a rețelelor și a rețelelor Wi-Fi suplimentare.

Cum știu că ruterul meu este compatibil?

Există două elemente critice de compatibilitate pe care trebuie să le verificați pentru a avea succes cu acest tutorial. Primul și cel mai elementar este să verificați dacă routerul dvs. are suport DD-WRT. Puteți vizita baza de date a router-ului WDT pentru a verifica.

Odată ce ați stabilit că ruterul dvs. este compatibil cu DD-WRT, trebuie să verificați numărul de revizie al cipului routerului. Dacă aveți un router Linksys foarte vechi, de exemplu, ar putea fi un router serviceable perfecionabil în orice mod, dar cipul poate să nu accepte SSID-uri duale (ceea ce îl face fundamental incompatibil cu tutorialul).

Există două grade de compatibilitate cu privire la numărul de revizie al routerului. Unele routere pot face mai multe SSID-uri, dar nu pot împărți SSID-urile în puncte de acces distincte (de exemplu, o adresă MAC unică pentru fiecare SSID). În unele situații, acest lucru poate provoca probleme cu unele dispozitive Wi-Fi, deoarece acestea se confundă cu privire la SSID-ul (deoarece ambele au aceeași adresă MAC) pe care ar trebui să le utilizeze. Din păcate, nu există nicio modalitate de a anticipa ce dispozitive se vor comporta necorespunzător în rețeaua dvs., astfel încât nu putem să vă recomandăm să evitați tehnica descrisă în acest tutorial, dacă descoperiți că aveți un dispozitiv care nu acceptă SSID-uri discrete.

Puteți verifica numărul de revizie efectuând o căutare Google pentru modelul specific al routerului, împreună cu numărul de versiune tipărit pe eticheta de informații (de obicei găsită pe partea inferioară a routerului), dar am descoperit că această tehnică este nesigură (etichete pot fi aplicate greșit, informațiile postate online privind modelul și data fabricării pot fi inexacte etc.)

Cea mai fiabilă modalitate de a verifica numărul de revizie al cipului din interiorul routerului este de a suna de fapt router-ul pentru a afla. Pentru a face acest lucru, trebuie să efectuați pașii următori. Deschideți un client telnet (fie un program multifuncțional precum PuTTY sau comanda de bază Windows Telnet) și telnet la adresa IP a routerului dvs. (de exemplu, 192.168.1.1). Conectați-vă la router utilizând login-ul și parola administratorului dvs. (rețineți că pentru anumite routere, chiar dacă tastați "admin" și "mypassword" pentru a vă conecta la portalul de administrare web de pe router, este posibil să fie necesar să tastați "root" "Și" cuvântul meu "pentru a vă conecta prin telnet).

Odată ce sunteți conectat (ă) la router, tastați următoarea comandă la prompt:

nvram arată | grep corerev

Aceasta va returna numărul de revizie de bază al cipului (ilor) în routerul dvs. în următorul format:

wl0_corerev = 9
wl_corerev =

Ce înseamnă ieșirea de mai sus este că ruterul nostru are un radio (wl0, nu există wl1) și că revizuirea de bază a cipului radio este 9. Cum interpretați ieșirea? Numărul reviziei, în legătură cu ghidul nostru, înseamnă următoarele:

  • 0-4 Routerul nu acceptă mai multe SSID-uri (cu identificatori unici sau altfel)
  • 5-8 Routerul acceptă mai multe SSID-uri (dar nu cu identificatori unici)
  • Routerul acceptă mai multe SSID-uri (cu identificatori unici)

După cum puteți vedea din extrasul de comandă de mai sus, am avut noroc. Cipul ruterului nostru este cea mai mică revizie care acceptă mai multe SSID-uri cu identificatori unici.

Odată ce ați determinat că routerul dvs. poate suporta mai multe SSID-uri, va trebui să instalați DD-WRT. Dacă routerul dvs. a fost livrat împreună cu DD-WRT sau dacă l-ați instalat deja, este fantastic. Dacă nu l-ați instalat deja, vă recomandăm să descărcați versiunea corespunzătoare de pe site-ul web DD-WRT și să urmați împreună cu tutorialul nostru: Rotiți router-ul dvs. de acasă într-un router Super-Powered cu DD-WRT.

În plus față de tutorialul nostru, nu putem sublinia valoarea wiki-ului DD-WRT extins și bine întreținut. Citiți ruterul special și cele mai bune practici pentru a bloca un nou firmware acolo.

Configurarea DD-WRT pentru mai multe SSID-uri

Aveți un router compatibil, ați lansat DD-WRT la el, acum este timpul să începeți să configurați cel de-al doilea SSID. La fel cum ar trebui să blitzați mereu noul firmware pe o conexiune prin cablu, vă recomandăm cu insistență să lucrați la configurarea fără fir printr-o conexiune prin cablu, astfel încât modificările să nu forțeze calculatorul fără fir din rețea.

Deschideți browserul web pe un computer conectat la router prin Ethernet. Navigați la IP-ul routerului implicit (de obicei 198.168.1.1). În interfața DD-WRT, navigați la Wireless -> Basic Settings (așa cum se vede în captura de ecran de mai sus). Puteți vedea că AP-ul nostru existent Wi-Fi are SSID "HTG_Office".

În partea de jos a paginii, în secțiunea "Interfețe virtuale", faceți clic pe butonul Adăugați. Secțiunea "Interfețe virtuale" goale anterior se va extinde cu această intrare prepopulată:

Această interfață virtuală este purtătoare pe cipul dvs. radio existent (notează wl0.1 în titlul noii înregistrări). Chiar și stenograma din SSID a indicat acest lucru, "vap" la sfârșitul SSID-ului implicit înseamnă Virtual Access Point. Să distrugem restul intrărilor sub noua interfață virtuală.

Puteți redenumi SSID la orice doriți. În conformitate cu convenția noastră de numire existentă (și pentru a face viața mai ușoară oaspeților noștri) vom schimba SSID-ul de la implicit la "HTG_Guest" - reamintim că AP-ul nostru principal Wi-Fi este "HTG_Office".

Lăsați Wireless Broadcast SSID activat activat. Nu numai că multe computere mai vechi și dispozitive Wi-Fi nu se joacă foarte bine cu SSID-uri secrete, dar o rețea ascunsă de clienți nu este o rețea de invitați / utilizatori utile.

AP Izolarea este o setare de securitate pe care o vom lăsa la discreția dvs. pentru a activa sau a dezactiva. Dacă activați Izolarea AP, fiecare client din rețeaua Wi-Fi a oaspeților dvs. va fi total izolat unul de celălalt. Din punct de vedere al securității, acest lucru este minunat, deoarece menține un utilizator rău intenționat de la a încerca în jurul clienților altor utilizatori. Cu toate acestea, este mai mult o preocupare pentru rețelele corporative și hotspoturile publice. Practic vorbind, asta înseamnă, de asemenea, dacă nepoata și nepotul tău s-au terminat și vor să joace un joc legat de Wi-Fi pe unitățile Nintendo DS, unitățile lor DS nu se vor putea vedea reciproc. În majoritatea aplicațiilor de birou și de birou, există puține motive pentru a izola AP-urile.

Opțiunea Necordată / Împreună în Rețeaua de Configurație se referă la faptul dacă AP-ul Wi-Fi va fi sau nu legat de rețeaua fizică. Deoarece este contraintuitiv, trebuie să lăsați-o setată la Bridged. Mai degrabă decât să lăsați firmware-ul router-ului să manipuleze (mai degrabă stoarce) procesul de deconectare, vom renunța manual la totul cu un rezultat mai curat și mai stabil.

Odată ce ați modificat codul SSID și ați revizuit setările, faceți clic pe Salvați.

În continuare, navigați pe Wireless -> Wireless Security:

În mod prestabilit, nu există nici o securitate pe al doilea AP. Puteți să o lăsați temporar în scopuri de testare (ne-am lăsat deschise până la sfârșit) pentru a vă salva de la introducerea parolei pe dispozitivele dvs. de testare. Cu toate acestea, noi nu recomandăm să îl lăsăm permanent deschis. Indiferent dacă optați să lăsați-o deschisă sau nu în acest moment, trebuie să dați clic pe Salvați și apoi pe Aplicați setările pentru modificările pe care le-am făcut atât în ​​secțiunea anterioară, cât și pe cea pentru a intra în vigoare. Aveți răbdare, poate dura până la 2 minute pentru ca modificările să aibă efect.

Acum este un moment minunat să confirmați faptul că dispozitivele Wi-Fi din apropiere pot vedea atât AP primar cât și secundar. Deschiderea interfeței Wi-Fi pe un smartphone este o modalitate foarte bună de a verifica rapid. Iată imaginea de pe pagina de configurări a telefonului nostru Android:

Nu ne putem conecta la AP secundar, tocmai pentru că avem nevoie să facem câteva schimbări în router, dar este întotdeauna plăcut să le vedem pe amândoi în listă.

Următorul pas este să începeți procesul de separare a SSID-urilor în rețea atribuind o gamă unică de adrese IP dispozitivelor Wi-Fi oaspete.

Navigați la Setup -> Networking. În secțiunea "Punte de legătură", faceți clic pe butonul Adăugați.

Mai întâi, schimbați slotul inițial la "br1", lăsați restul valorilor la fel. Încă nu veți putea vedea intrarea IP / Subnet văzută mai sus.Faceți clic pe "Aplicați setările". Noul bridge va fi în secțiunea Bridgeing cu secțiunile IP și Subnet disponibile. Setați adresa IP la o valoare din IP-ul rețelei obișnuite (de ex., Rețeaua principală este 192.168.1.1, deci faceți această valoare 192.168.2.1). Setați masca de subrețea la 255.255.255.0. Faceți clic din nou pe "Aplicați setările" din partea de jos a paginii.

Atribuiți rețeaua de invitați la Bridge

Notă: mulțumită cititorului Joel pentru faptul că am subliniat această parte și ne-a dat instrucțiunile de adăugare la tutorial.

Sub "Assign to Bridge" faceți clic pe "Add". Selectați noul pod creat de la primul drop-down și împerecheați-l cu interfața "wl0.1".

Faceți clic pe "Salvați" și pe "Aplicați setările".

După ce ați aplicat modificările, derulați încă o dată partea inferioară a paginii în secțiunea DHCPD. Faceți clic pe "Adăugați". Schimbați primul slot la "br1". Lăsați restul setărilor la fel (după cum se vede în imaginea de mai jos).

Faceți clic pe "Aplicați setările" o dată. După ce ați terminat toate sarcinile din pagina Setup -> Networking (Rețea), ar fi bine să mergeți pentru conectivitate și asignare DHCP.

Notă: dacă AP-ul Wi-Fi pe care îl configurați pentru SSID-uri duale este compatibil cu un alt dispozitiv (de exemplu, aveți două routere Wi-Fi în casa sau biroul dvs. pentru a vă extinde acoperirea și cea pe care o setați SSID pentru oaspeți on este # 2 în lanț), va trebui să configurați DHCP în secțiunea Servicii. Dacă aceasta pare a fi setarea dvs., este timpul să navigați la secțiunea Servicii -> Servicii.

În secțiunea de servicii trebuie să adăugăm un pic de cod la secțiunea DNSMasq, astfel încât routerul să aloce corect adreselor IP dinamice dispozitivelor care se conectează la rețeaua de clienți. Derulați în jos secțiunea DNSMasq. În caseta "Opțiuni suplimentare DNSMasq", lipiți următorul cod (minus # comentarii care explică funcționalitatea fiecărei linii):

# Activează DHCP pe br1
interfață = BR1
# Stabiliți gateway-ul implicit pentru clienții br1
dhcp-option = br1,3,192.168.2.1
# Setați intervalul DHCP și durata implicită de închiriere de 24 de ore pentru clienții br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h

Faceți clic pe "Aplicați setările" din partea de jos a paginii.

Indiferent dacă ați folosit tehnica una sau două, așteptați câteva minute pentru a vă conecta la noul SSID de vizitator. Când vă conectați la SSID-ul pentru clienți, verificați adresa IP. Ar trebui să aveți un IP în intervalul specificat cu cele de mai sus. Din nou, este util să utilizați smartphone-ul pentru a verifica:

Totul arată bine. AP secundar atribuie IP-uri dinamice într-un domeniu adecvat, putem ajunge pe Internet - facem o notă aici, un succes imens.

Singura problemă, totuși, este că AP secundar are încă acces la resursele rețelei primare. Aceasta înseamnă că toate imprimantele din rețea, acțiunile de rețea și altele asemenea sunt încă vizibile (puteți încerca acum, încercați să găsiți o partajare de rețea din rețeaua principală pe AP secundar).

daca tu vrei oaspeții de pe AP secundar să aibă acces la aceste lucruri (și urmăriți împreună cu tutorialul, astfel încât să puteți face alte activități SSID dual, cum ar fi restricționarea lățimii de bandă clienților sau ori de câte ori li se permite să utilizeze Internetul) tutorial.

Ne imaginăm că majoritatea dintre dvs. ar dori să vă împiedică pe invitați să nu vă înșele în jurul rețelei dvs. și să-i îndreptați ușor spre Facebook și email. În acest caz, trebuie să terminăm procesul prin deconectarea AP secundară din rețeaua fizică.

Navigați la Administrare -> Comenzi. Veți vedea o zonă denumită "Command Shell". Lipiți următoarele comenzi, fără linii de # comentarii, în zona editabilă:

#Demovează accesul clienților la rețeaua fizică
iptables -I FORWARD -i br1 -o br0 -m stare -state NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m stare -state NEW -j DROP
#Demovează accesul clienților la GUI / porturile configurării routerului
iptables -I INPUT -i br1 -p tcp -dport telnet -j REJECT -reject-cu tcp-reset
iptables -I INPUT -i br1 -p tcp -dport ssh -j REJECT -reject-cu tcp-reset
iptables -I INPUT -i br1 -p tcp -dotare www -j REJECT --reject-cu tcp-reset
iptables -I INPUT -i br1 -p tcp -dport https -j REJECT -reject-cu tcp-reset

Faceți clic pe "Salvați paravanul de protecție" și reporniți routerul.

Aceste reguli suplimentare de firewall simplifică să vorbească și să respingă orice contact între un client din rețeaua de clienți și porturile serverului telnet, SSH sau serverului web pe cele două poduri (rețeaua privată și rețeaua publică / clienți). router-ul (astfel restricționându-le de încercarea de a accesa fișierele de configurare ale router-ului la toate).

Un cuvânt despre utilizarea shell-ului de comandă și a script-urilor de pornire, oprire și firewall. În primul rând, comenzile IPTABLES sunt prelucrate în ordine. Schimbarea ordinii liniilor persoanelor poate schimba semnificativ rezultatul. În al doilea rând, există zeci de zeci de routere care sunt suportate de DD-WRT și, în funcție de router-ul dvs. specific și de configurație, poate fi necesar să modificați comenzile IPTABLES de mai sus. Scriptul a lucrat pentru routerul nostru și utilizează cele mai largi și simple comenzi posibile pentru a îndeplini sarcina, astfel încât ar trebui să funcționeze pentru majoritatea routerelor. Dacă nu, vă recomandăm să căutați modelul ruterului dvs. specific în forumurile de discuții ale DD-WRT și să vedeți dacă ceilalți utilizatori au experimentat aceleași probleme pe care le aveți.

În acest moment, ați terminat cu configurația și sunteți gata să vă bucurați de două SSID-uri și de toate avantajele care le aparțin.Puteți să dați cu ușurință o parolă pentru oaspeți (și să o schimbați în mod intenționat), să configurați reguli QoS pentru rețeaua de clienți și să modificați și restrângeți altfel rețeaua de clienți în moduri care nu vor afecta cel mai puțin rețeaua principală.