Dzielenie się Wi-Fi z gośćmi jest po prostu grzeczną rzeczą do zrobienia, ale to nie znaczy, że chcesz dać im szeroki dostęp do całej sieci LAN. Czytaj dalej, ponieważ pokazujemy, jak skonfigurować router pod kątem podwójnych identyfikatorów SSID i utworzyć oddzielny (i zabezpieczony) punkt dostępu dla gości.
Istnieje kilka bardzo praktycznych powodów, dla których warto skonfigurować sieć domową tak, aby miała dwa punkty dostępu (AP).
Powodem najbardziej praktycznego zastosowania dla większości ludzi jest odizolowanie sieci domowej, aby goście nie mieli dostępu do rzeczy, które chcą pozostać prywatne. Domyślną konfiguracją prawie każdego domowego punktu dostępowego / routera Wi-Fi jest korzystanie z jednego bezprzewodowego punktu dostępowego, a każdy uprawniony do dostępu do tego punktu dostępowego ma dostęp do sieci tak, jakby był podłączony do AP poprzez Ethernet.
Innymi słowy, jeśli dasz swojemu przyjacielowi, sąsiadowi, gościowi domowemu lub ktokolwiek hasło do punktu dostępowego Wi-Fi, dałeś mu także dostęp do drukarki sieciowej, wszystkich otwartych udziałów w sieci, niezabezpieczonych urządzeń w sieci i tak dalej. Być może po prostu chciałeś pozwolić im sprawdzić pocztę e-mail lub zagrać w grę online, ale dałeś im swobodę poruszania się w dowolnym miejscu w sieci wewnętrznej.
Teraz, mimo że większość z nas na pewno nie ma złych hakerów dla znajomych, nie oznacza to, że nie jest rozsądne zakładanie naszych sieci, aby goście pozostali w miejscu, do którego należą (po darmowym dostępie do Internetu). nie mogą iść tam, gdzie nie (na stronie serwera / strony akcji po stronie płotu).
Innym praktycznym powodem uruchomienia AP z dwoma identyfikatorami SSID jest możliwość nie tylko ograniczenia miejsca, w którym może przebywać gościnny punkt dostępowy, ale także czasu. Jeśli na przykład jesteś rodzicem, który chce ograniczyć czas, w którym Twoje dziecko może pozostać na komputerze, możesz umieścić komputer, tablet itp. Na drugorzędnym AP i ustawić ograniczenia dostępu do Internetu dla całego sub -SSID po, powiedzmy, 9 PM.
Nasz samouczek koncentruje się obecnie na używaniu routera kompatybilnego z DD-WRT w celu osiągnięcia podwójnych identyfikatorów SSID. Jako takie będziesz potrzebować następujących rzeczy:
Nie jest to jedyny sposób na skonfigurowanie podwójnych identyfikatorów SSID dla sieci domowej. Będziemy uruchamiać nasze identyfikatory SSID z wszechobecnego routera bezprzewodowego Linksys WRT54G series. Jeśli nie chcesz przechodzić przez problem flashowania niestandardowego oprogramowania na starym routerze i wykonywania dodatkowych czynności konfiguracyjnych, możesz zamiast tego:
Jeśli nie masz już routera obsługującego podwójne identyfikatory SSID (w takim przypadku możesz pominąć ten samouczek i przeczytać instrukcję obsługi urządzenia), obie te opcje są poniżej ideału, ponieważ musisz wydać dodatkowe pieniądze, a w przypadku druga opcja, wykonaj kilka dodatkowych ustawień, w tym ustawienie dodatkowego AP, aby nie zakłócać i / lub pokrywać się z podstawowym AP.
W związku z tym, z przyjemnością korzystaliśmy już ze sprzętu, który już mieliśmy (router bezprzewodowy Linksys WRT54G) i pomijamy nakłady pieniężne oraz dodatkowe ulepszenia sieci Wi-Fi.
Istnieją dwa krytyczne elementy kompatybilności, które należy sprawdzić, aby odnieść sukces w tym samouczku. Pierwszym i najbardziej podstawowym zadaniem jest sprawdzenie, czy dany router ma obsługę DD-WRT. Możesz odwiedzić bazę danych routera wiki DD-WRT, aby sprawdzić.
Po upewnieniu się, że router jest zgodny z DD-WRT, musimy sprawdzić numer wersji układu routera. Jeśli masz na przykład naprawdę stary router Linksys, może to być perfekcyjnie obsługiwany router pod każdym względem, ale chip może nie obsługiwać podwójnych identyfikatorów SSID (co powoduje, że jest całkowicie niezgodny z samouczkiem).
Istnieją dwa stopnie zgodności w odniesieniu do numeru wersji routera. Niektóre routery mogą wykonywać wiele identyfikatorów SSID, ale nie mogą rozdzielać identyfikatorów SSID na odrębne absolutnie unikalne punkty dostępu (na przykład unikalny adres MAC dla każdego identyfikatora SSID). W niektórych sytuacjach może to powodować problemy z niektórymi urządzeniami Wi-Fi, ponieważ nie rozumieją, który identyfikator SSID (ponieważ oba mają ten sam adres MAC) powinien ich użyć. Niestety, nie ma sposobu, aby przewidzieć, które urządzenia będą źle działać w Twojej sieci, więc nie możemy się rozładować, zalecamy unikanie techniki opisanej w tym samouczku, jeśli znajdziesz urządzenie, które nie obsługuje dyskretnych identyfikatorów SSID.
Możesz sprawdzić numer wersji, wykonując wyszukiwanie w Google dla konkretnego modelu routera wraz z numerem wersji wydrukowanym na etykiecie informacyjnej (zazwyczaj znajduje się na spodzie routera), ale uznaliśmy tę technikę za niewiarygodną (etykiety może być źle stosowane, informacje zamieszczone online dotyczące modelu i daty produkcji mogą być niedokładne itp.)
Najbardziej niezawodnym sposobem sprawdzenia numeru wersji chipa wewnątrz routera jest odpytywanie routera, aby się dowiedzieć. W tym celu wykonaj następujące czynności. Otwórz klienta telnet (program wielofunkcyjny, taki jak PuTTY lub podstawowe polecenie Windows Telnet) i telnet na adres IP routera (np. 192.168.1.1). Zaloguj się do routera przy użyciu loginu i hasła administratora (pamiętaj, że w przypadku niektórych routerów, nawet jeśli wpiszesz "admin" i "mypassword", aby zalogować się do internetowego portalu zarządzania na routerze, konieczne może być wpisanie "root" "I" mypassword "do logowania przez telnet).
Po zalogowaniu się do routera wpisz następujące polecenie:
nvram pokaż | grep corerev
Spowoduje to zwrócenie głównego numeru wersji chipów w routerze w następującym formacie:
wl0_corerev = 9
wl_corerev =
Co oznacza powyższy wynik oznacza, że nasz router ma jedno radio (wl0, nie ma wl1) i że podstawowa wersja tego układu radiowego to 9. Jak interpretujesz wyjście? Numer wersji, w związku z naszym przewodnikiem, oznacza:
Jak widać z powyższego wyniku polecenia, udało nam się. Układ naszego routera jest najniższą wersją, która obsługuje wiele identyfikatorów SSID z unikalnymi identyfikatorami.
Po ustaleniu, że router może obsługiwać wiele identyfikatorów SSID, musisz zainstalować DD-WRT. Jeśli twój router został dostarczony z DD-WRT lub już go zainstalowałeś, jest fantastyczny. Jeśli jeszcze go nie zainstalowałeś, zalecamy pobranie odpowiedniej wersji ze strony internetowej DD-WRT i następujące po naszym samouczku: Zmień swój domowy router w super-zasilany router z DD-WRT.
Oprócz naszego samouczka, nie możemy podkreślić wartości obszernego i doskonale utrzymanego wiki DD-WRT. Przeczytaj na swoim routerze i sprawdź, jakie są najlepsze sposoby na umieszczenie tam nowego oprogramowania.
Masz kompatybilny router, podłączyłeś go do DD-WRT, teraz czas rozpocząć konfigurację drugiego identyfikatora SSID. Tak jak zawsze powinieneś zawsze przesyłać nowe oprogramowanie układowe za pośrednictwem połączenia przewodowego, zdecydowanie zalecamy pracę nad konfiguracją bezprzewodową przez połączenie przewodowe, aby zmiany nie zmusiły komputera bezprzewodowego do odłączenia go od sieci.
Otwórz swoją przeglądarkę na komputerze podłączonym do routera przez Ethernet. Przejdź do domyślnego adresu IP routera (zazwyczaj 198.168.1.1). W interfejsie DD-WRT przejdź do Wireless -> Basic Settings (jak widać na powyższym zrzucie ekranu). Widać, że nasz istniejący AP Wi-Fi ma identyfikator SSID "HTG_Office".
U dołu strony, w sekcji "Virtual Interfaces" kliknij przycisk Add. Wcześniej puste pole "Virtual Interfaces" zostanie rozwinięte o ten wstępnie wypełniony wpis: 
Ten wirtualny interfejs jest podlinkowany do istniejącego układu radiowego (zwróć uwagę na wl0.1 w tytule nowego wpisu). Nawet skrót w SSID wskazał to, "vap" na końcu domyślnego SSID oznacza Virtual Access Point. Podzielmy pozostałe wpisy pod nowym interfejsem wirtualnym.
Możesz zmienić nazwę SSID na cokolwiek chcesz. Zgodnie z naszą obecną konwencją nazewnictwa (i aby ułatwić życie naszym gościom) zmienimy SSID z domyślnego na "HTG_Guest" - pamiętajmy, że naszym głównym punktem dostępowym Wi-Fi jest "HTG_Office".
Pozostaw włączoną funkcję Wireless SSID Broadcast. Nie tylko wiele starszych komputerów i urządzeń obsługujących Wi-Fi nie gra bardzo dobrze z tajnymi identyfikatorami SSID, ale ukryta sieć gości nie jest bardzo zachęcającą / użyteczną siecią gości.
Izolacja AP to ustawienie zabezpieczeń, które zostawiamy według własnego uznania w celu włączenia lub wyłączenia. Jeśli włączysz izolację AP, każdy klient w sieci Wi-Fi gościa będzie całkowicie odizolowany od siebie. Z punktu widzenia bezpieczeństwa jest to świetne, ponieważ powstrzymuje złośliwego użytkownika przed podsłuchiwaniem klientów innych użytkowników. To raczej niepokój sieci korporacyjnych i publicznych hotspotów. Praktycznie mówiąc, oznacza to również, że jeśli twoja siostrzenica i siostrzeniec się skończyli i chcą grać w grę połączoną z Wi-Fi na swoich urządzeniach Nintendo DS, ich jednostki DS nie będą się widzieć. W większości aplikacji dla domu i małego biura niewiele jest powodów, aby izolować punkty dostępowe.
Opcja Unbridged / Bridged w konfiguracji sieci odnosi się do tego, czy punkt dostępowy Wi-Fi zostanie zmostkowany, czy nie do sieci fizycznej. Jakkolwiek jest to sprzeczne z intuicją, musisz ustawić ją na Bridged. Zamiast pozwolić na to, aby oprogramowanie układowe routera (raczej niezgrabnie) rozłączało się, będziemy ręcznie unieruchamiali wszystko sami, uzyskując czystszy i stabilniejszy rezultat.
Po zmianie identyfikatora SSID i sprawdzeniu ustawień kliknij przycisk Zapisz.
Następnie przejdź do Wireless -> Wireless Security:
Domyślnie nie ma zabezpieczenia na drugim AP. Możesz go tymczasowo pozostawić w celach testowych (zostawiliśmy otwarty do końca), aby uchronić się przed wpisaniem hasła na urządzeniach testowych. Nie zalecamy jednak pozostawienia go na stałe. Niezależnie od tego, czy zdecydujesz się ją opuścić, czy nie, w tym momencie musisz kliknąć Zapisz, a następnie Zastosuj ustawienia dla zmian, które wprowadziliśmy zarówno w poprzedniej sekcji, jak i tej, która została wprowadzona. Bądź cierpliwy, zmiana może zająć do 2 minut.
Teraz jest świetny czas, by potwierdzić, że pobliskie urządzenia Wi-Fi mogą widzieć zarówno podstawowe, jak i dodatkowe punkty dostępowe. Otwarcie interfejsu Wi-Fi na smartfonie to świetny sposób na szybkie sprawdzenie. Oto widok ze strony konfiguracji Wi-Fi na telefonie z Androidem:
Nie możemy jeszcze połączyć się z dodatkowym AP, ponieważ musimy wprowadzić kilka zmian w routerze, ale zawsze dobrze jest zobaczyć je na liście.
Następnym krokiem jest rozpoczęcie procesu oddzielania identyfikatorów SSID w sieci, przypisując unikalny zakres adresów IP do urządzeń Wi-Fi gościa.
Przejdź do Setup -> Networking. W sekcji "Mostkowanie" kliknij przycisk Dodaj.
Najpierw zmień początkowe miejsce na "br1", pozostawiając pozostałe wartości tak samo. Nie będziesz w stanie jeszcze zobaczyć wpisu IP / Subnet powyżej.Kliknij "Zastosuj ustawienia". Nowy most znajdzie się w sekcji Bridging z dostępnymi sekcjami IP i Subnet. Ustaw adres IP na jedną wartość z IP zwykłej sieci (np. Twoja główna sieć to 192.168.1.1, więc ustaw tę wartość 192.168.2.1). Ustaw maskę podsieci na 255.255.255.0. Kliknij "Zastosuj ustawienia" ponownie u dołu strony.
Przydziel sieć gości do mostu
Uwaga: dziękuję czytelnikowi Joelowi za wskazanie tej części i przekazanie nam instrukcji dodawania do samouczka.
W sekcji "Przydziel do mostu" kliknij "Dodaj". Wybierz nowy most utworzony z pierwszego menu i sparuj go z interfejsem "wl0.1".
Teraz kliknij "Zapisz" i "Zastosuj ustawienia".
Po wprowadzeniu zmian ponownie przewiń do dołu strony do sekcji DHCPD. Kliknij "Dodaj". Przełącz pierwsze gniazdo na "br1". Pozostałe ustawienia pozostawiamy bez zmian (jak widać na zrzucie ekranu poniżej).
Kliknij "Zastosuj ustawienia" jeszcze raz. Po zakończeniu wszystkich zadań na stronie Konfiguracja -> Sieć powinieneś wybrać opcję połączenia i DHCP.
Uwaga: Jeśli konfigurowany przez Ciebie Wi-Fi AP dla podwójnych identyfikatorów SSID jest piggy backing na innym urządzeniu (np. Masz dwa routery Wi-Fi w domu lub biurze, aby rozszerzyć zasięg i ten, dla którego ustawiasz SSID gościa on jest numerem 2 w łańcuchu) będziesz musiał skonfigurować DHCP w sekcji Usługi. Jeśli brzmi to jak konfiguracja, czas przejść do sekcji Usługi -> Usługi.
W dziale usługi musimy dodać trochę kodu do sekcji DNSMasq, aby router poprawnie przypisał dynamiczne adresy IP do urządzeń łączących się z siecią gościa. Przewiń w dół sekcję DNSMasq. W polu "Dodatkowe opcje DNSMasq" wklej poniższy kod (minus # komentarze wyjaśniające funkcjonalność każdej linii):
# Włącza DHCP w br1
interface = br1
# Ustaw domyślną bramę dla klientów br1
dhcp-option = br1,3,192.168.2.1
# Ustaw zakres DHCP i domyślny czas dzierżawy na 24 godziny dla klientów br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Kliknij "Zastosuj ustawienia" u dołu strony.
Niezależnie od tego, czy użyto techniki jeden, czy dwa, odczekaj kilka minut, aby połączyć się z nowym identyfikatorem SSID gościa. Po połączeniu się z gościem SSID, sprawdź swój adres IP. Powinieneś mieć adres IP w zakresie określonym przez nas powyżej. Ponownie użyj smartfona, by sprawdzić:
Wszystko wygląda dobrze. Drugorzędny punkt dostępu przypisuje dynamiczne adresy IP w odpowiednim zakresie, możemy uzyskać dostęp do Internetu - tutaj odnotowujemy ogromny sukces.
Jedyny problem polega jednak na tym, że dodatkowy AP wciąż ma dostęp do zasobów sieci podstawowej. Oznacza to, że wszystkie drukarki sieciowe, udziały sieciowe itp. Są nadal widoczne (możesz przetestować je teraz, spróbuj znaleźć udział sieciowy z głównej sieci w drugorzędnym AP).
Jeśli ty chcieć goście z drugiego punktu dostępowego mają dostęp do tych rzeczy (i postępują zgodnie z samouczkiem, dzięki czemu można wykonywać inne zadania z podwójną identyfikacją SSID, takie jak ograniczenie przepustowości gościa lub czasy, w których mogą korzystać z Internetu), a następnie skutecznie seminarium.
Wyobrażamy sobie, że większość z Was chciałaby, aby Twoi goście nie kręcili się po twojej sieci i delikatnie nakłonili ich do trzymania się Facebooka i e-maili. W takim przypadku musimy zakończyć proces odłączając pomocniczy punkt dostępowy od sieci fizycznej.
Przejdź do Administracja -> Polecenia. Zobaczysz obszar oznaczony "Command Shell". Wklej następujące polecenia, sans # linie komentarza, do obszaru edytowalnego:
#Usuń dostęp gościa do sieci fizycznej
iptables -I FORWARD -i br1 -o br0 -m stan - stan NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m state - stan NEW -j DROP
#Usuń dostęp gościa do GUI / portów konfiguracji routera
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Kliknij "Zapisz zaporę" i zrestartuj router.
Te dodatkowe reguły zapory sieciowej zatrzymują wszystko na dwóch mostach (sieci prywatnej i publicznej / sieci gościnnej) przed rozmową, a także odrzucają jakikolwiek kontakt między klientem w sieci gościa a portami telnet, SSH lub serwera routera (w ten sposób ograniczając je do próby uzyskania dostępu do plików konfiguracyjnych routera w ogóle).
Słowo o używaniu powłoki poleceń i skryptów uruchamiania, zamykania i zapory ogniowej. Najpierw komendy IPTABLES są przetwarzane w kolejności. Zmiana kolejności poszczególnych linii może znacznie zmienić wynik. Po drugie, istnieją dziesiątki routerów obsługiwanych przez DD-WRT, a w zależności od konkretnego routera i konfiguracji konieczne może być dostosowanie powyższych poleceń IPTABLES. Skrypt pracował dla naszego routera i używa najszerszych i najprostszych możliwych poleceń do wykonania zadania, więc powinien działać dla większości routerów. Jeśli tak nie jest, gorąco zachęcamy do wyszukania konkretnego modelu routera na forum dyskusyjnym DD-WRT i sprawdzenia, czy inni użytkownicy napotkali te same problemy, co Ty.
W tym momencie skończysz konfigurację i będziesz mieć możliwość korzystania z podwójnych identyfikatorów SSID i wszystkich korzyści wynikających z ich uruchamiania.Możesz łatwo podać hasło gościa (i zmienić je dowolnie), skonfigurować zasady QoS dla sieci gościa i w inny sposób zmodyfikować i ograniczyć sieć gościa w sposób, który nie wpłynie w najmniejszym stopniu na twoją sieć podstawową.
