Споделянето на Wi-Fi с гостите е просто учтиво нещо, което трябва да направите, но това не означава, че искате да им дадете широк отворен достъп до цялата ви локална мрежа. Прочетете нататък, тъй като ви показваме как да настроите маршрутизатора си за двойни SSID и да създадете отделна (и защитена) точка за достъп за гостите си.
Има няколко много практични причини, поради които желаете да настроите домашната си мрежа, за да имате двойни точки за достъп (AP).
Причината за най-практичното приложение за най-много хора е просто изолиране на домашната мрежа, така че гостите да нямат достъп до неща, които искате да останете частни. Конфигурацията по подразбиране за почти всяка домашна точка за достъп / маршрутизатор за Wi-Fi е да се използва една точка за безжичен достъп, а всеки, оторизиран да осъществява достъп до него, получава достъп до мрежата, сякаш е свързан в AP чрез Ethernet.
С други думи, ако дадете своя приятел, съсед, домакин или който и паролата за вашия Wi-Fi AP, вие също сте им дали достъп до вашия мрежов принтер, всички отворени акции в мрежата, необезопасени устройства в мрежата и т.н. Може би просто сте искали да им позволите да проверяват електронната си поща или да играят онлайн, но сте им дали свободата да се забавлявате навсякъде по вътрешната ви мрежа.
Сега, докато мнозинството от нас със сигурност нямат злонамерени хакери за приятели, това не означава, че не е разумно да изграждаме мрежите си така, че гостите да останат там, където принадлежат (на свободната достъп до интернет на оградата) и не могат да отидат там, където те не (на домашния сървър / лични акции страна на оградата).
Друга практическа причина за пускането на AP с два SSIDs е възможността да се ограничи не само мястото, където AP може да отиде, но кога. Ако например сте родител, който иска да ограничи колко късно детето ви може да остане да се разхожда наоколо на компютъра, можете да поставите своя компютър, таблет и т.н. на вторичния AP и да наложите ограничения за достъп до интернет за целия под -SSID след, да речем, 9PM.
Нашият урок днес е насочен към използването на DD-WRT съвместим маршрутизатор за постигане на двойни SSID. Като такива вие ще се нуждаете от следните неща:
Това не е единственият начин да настроите двойни SSID за вашата домашна мрежа. Ще пуснем нашите SSID от безжичния безжичен маршрутизатор Linksys WRT54G. Ако не искате да минете през бъркотията на мигащия потребителски фърмуер на стария си маршрутизатор и да изпълните допълнителните стъпки за конфигуриране, вместо това можете да:
Освен ако вече не притежавате маршрутизатор, който поддържа двойни SSID (в този случай можете да пропуснете този урок и просто да прочетете ръководството за вашето устройство), и двете от тези опции са по-малко от идеални, защото трябва да похарчите допълнителни пари и в случай на втората опция, направете куп допълнителни конфигуриране, включително настройка на вторичния AP, за да не се намесвате и / или да не се припокривате с основния си AP.
В светлината на всичко това, ние бяхме повече от щастливи да използваме хардуера, който вече имахме (безжичен маршрутизатор от серията Linksys WRT54G) и да пропуснем разходите за пари и допълнителна Wi-Fi мрежа.
Има два важни елемента за съвместимост, които трябва да проверите, за да имате успех с този урок. Първият и най-елементарен е да проверите дали вашият конкретен маршрутизатор има DD-WRT поддръжка. Можете да посетите базата данни на рутера на DD-WRT тук, за да проверите.
След като установите, че маршрутизаторът ви е съвместим с DD-WRT, трябва да проверите номера на редакцията на чипа на рутера. Ако имате наистина стар Linksys маршрутизатор, например, той може да бъде подобрен маршрутизатор по всяко време, но чипът може да не поддържа двойни SSID (което го прави основно несъвместимо с урока).
Съществуват две степени на съвместимост по отношение на номера на редактора на рутера. Някои маршрутизатори могат да направят няколко SSID, но не могат да разделят SSID в отделни абсолютно уникални точки за достъп (например уникален MAC адрес за всеки SSID). В някои ситуации това може да доведе до проблеми с някои Wi-Fi устройства, тъй като те се объркват, кой SSID (тъй като и двамата имат същия MAC адрес), които трябва да използват. За съжаление няма начин да се предскаже кои устройства ще се проявят неправилно в мрежата, така че не можем да ви препоръчаме да избегнете техниката, описана в този урок, ако установите, че имате устройство, което не поддържа дискретни SSID.
Можете да проверите номера на ревизията, като извършите търсене в Google за конкретния модел на маршрутизатора заедно с номера на версията, отпечатан върху информационния етикет (обикновено намиращ се отдолу на рутера), но открихме, че тази техника е ненадеждна (етикети може да се приложи неправилно, информацията, публикувана онлайн относно модела и датата на производство, може да бъде неточна и т.н.)
Най-надеждният начин да проверите ревизионния номер на чипа във вътрешността на маршрутизатора ви е да проверите всъщност маршрутизатора. За да направите това, трябва да изпълните следните стъпки. Отворете клиент на телнет (или многофункционална програма като PuTTY или основната команда на Windows Telnet) и телнет до IP адреса на вашия маршрутизатор (например 192.168.1.1). Влезте в рутера, като използвате потребителското име и паролата на администратора си (имайте предвид, че за някои маршрутизатори, дори ако въведете "admin" и "mypassword", за да влезете в уеб-базирания портал за управление на рутера, може да се наложи да въведете "root "И" mypassword "за вход чрез telnet).
След като сте влезли в рутера, въведете следната команда от подканата:
nvram шоу | grep corerev
Това ще върне основния номер за ревизия на чипа (ите) във вашия маршрутизатор в следния формат:
wl0_corerev = 9
wl_corerev =
Какво означава по-горе изход е, че нашият рутер има едно радио (wl0, няма wl1) и че основната ревизия на този радио чип е 9. Как интерпретирате изхода? Ревизионният номер във връзка с нашето ръководство означава следното:
Както можете да видите от нашата команда изход по-горе, ние сме късметлии. Чипът на рутера ни е най-ниската версия, която поддържа множество SSID с уникални идентификатори.
След като установите, че маршрутизаторът ви може да поддържа няколко SSID, ще трябва да инсталирате DD-WRT. Ако маршрутизаторът ви е доставен с DD-WRT или вече сте го инсталирали, фантастично. Ако все още не сте го инсталирали, препоръчваме да изтеглите съответната версия от уеб сайта на DD-WRT и да следвате заедно с нашия урок: Превърнете домашния ви маршрутизатор в супер-задвижван маршрутизатор с DD-WRT.
В допълнение към нашия урок не можем да подчертаем стойността на обширната и отлично поддържана уикита на DD-WRT. Прочетете конкретния маршрутизатор и най-добрите практики за премигване на нов фърмуер там.
Имате съвместим маршрутизатор, на който сте минали DD-WRT, сега е време да започнете да настройвате втория SSID. Точно както винаги трябва да мигате нов фърмуер чрез кабелна връзка, силно препоръчваме да работите върху безжичната настройка чрез кабелна връзка, така че промените да не задействат безжичния ви компютър от мрежата.
Отворете своя уеб браузър на компютър, свързан към маршрутизатора чрез Ethernet. Придвижете се до IP адреса на рутера по подразбиране (обикновено 198.168.1.1). В интерфейса DD-WRT отидете на Wireless -> Basic Settings (както е показано на екранната снимка по-горе). Можете да видите, че нашият съществуващ Wi-Fi AP има SSID "HTG_Office".
В долната част на страницата в секцията "Виртуални интерфейси" кликнете върху бутона Добавяне. Предишният празен раздел "Виртуални интерфейси" ще се разшири с тази препопулирана записи:
Този виртуален интерфейс е заложен върху съществуващия ви радиокапър (забележете wl0.1 в заглавието на новия запис). Дори стенограмата в SSID показа това, "vap" в края на SSID по подразбиране е виртуална точка за достъп. Нека разбием останалите записи под новия интерфейс.
Можете да преименувате SSID на каквото искате. В съответствие с нашата съществуваща конвенция за именуване (и да улесним живота на нашите гости), ние ще сменим SSID от стандартното до "HTG_Guest" -ребъркайте, че нашата главна Wi-Fi AP е "HTG_Office".
Оставете безжичното SSID Broadcast включено. Не само, че много по-стари компютри и Wi-Fi устройства не играят много добре с тайните SSID, но скритата мрежа за гости не е много привлекателна / полезна мрежа за гости.
AP изолацията е настройка за сигурност, която ще оставим по Ваша преценка да активирате или деактивирате. Ако разрешите изолирането на AP, всеки клиент на Вашата Wi-Fi мрежа за гости ще бъде напълно изолиран един от друг. От гледна точка на сигурността, това е страхотно, тъй като държи злонамерен потребител да се занимава с клиентите на други потребители. Това обаче е по-скоро загриженост за корпоративните мрежи и обществените горещи точки. На практика това означава, че ако вашата племенница и племенник са свършили и искат да играят Wi-Fi свързана игра на техните устройства Nintendo DS, техните DS единици няма да могат да се видят един друг. В повечето домашни и малки офис приложения няма достатъчно причини да се изолират AP.
Опцията "Неблагодарна / преодоляна мрежа" в мрежовата конфигурация посочва дали Wi-Fi AP ще бъде свързан или не с физическата мрежа. Тъй като това е противоположно, трябва да го оставите на Bridged. Вместо да оставим фърмуера на маршрутизатора да обработва (по-скоро грубо) процеса на прекратяване на връзката, ще преминем ръчно всичко в себе си с по-чист и по-стабилен резултат.
След като промените SSID и прегледате настройките, кликнете върху Запазване.
След това отидете на Wireless -> Wireless Security:
По подразбиране няма сигурност за втория AP. Можете да го оставите временно за целите на тестването (останахме отворени до края), за да се предпазите от въвеждането на паролата на тестовите устройства. Ние обаче не препоръчваме да го оставяме постоянно отворена. Независимо дали решите да го оставите отворен или не в този момент, трябва да кликнете върху Запазване и след това върху Прилагане на настройките за промените, които направихме както в предишната, така и в тази, за да влезе в сила. Бъдете търпеливи, може да отнеме до 2 минути, за да влязат в сила промените.
Сега е чудесно време да потвърдите, че близките Wi-Fi устройства могат да виждат както първичните, така и вторичните AP. Отварянето на Wi-Fi интерфейса на смартфон е чудесен начин да проверите бързо. Ето изгледа от нашата страница за конфигуриране на Wi-Fi на телефон Android:
Не можем да се свържем към второстепенния AP, тъй като трябва да направим още няколко промени в маршрутизатора, но винаги е хубаво да ги видим и в двата списъка.
Следващата стъпка е да се започне процесът на разделяне на SSID в мрежата, като се присвоят уникален набор от IP адреси за Wi-Fi устройствата за гости.
Придвижете се до Настройка -> Мрежи. В секцията "Свързване" кликнете върху бутона Добавяне.
Първо, променете първоначалния слот на "br1", оставете останалите стойности еднакви. Вече няма да можете да видите вписването по IP / подмрежа.Кликнете върху "Прилагане на настройките". Новият мост ще бъде в раздела Свързване с наличните секции IP и подмрежа. Задайте IP адреса на една стойност от IP адреса на вашата обикновена мрежа (например основната ви мрежа е 192.168.1.1, така че направете тази стойност 192.168.2.1). Задайте маската на подмрежата на 255.255.255.0. Кликнете отново върху "Прилагане на настройките" в долната част на страницата.
Задаване на мрежата за гости на Bridge
Забележка: благодарение на читателя Джоел, че посочи тази част и ни даде указания да добавим към урока.
Под "Присвояване на бридж" кликнете върху "Добавяне". Изберете новия мост, който сте създали от първото падащо меню и го сдвоите с интерфейса "wl0.1".
Сега кликнете върху "Запазване" и "Прилагане на настройките".
След като направите промените, превъртете отново до дъното на страницата до раздела DHCPD. Кликнете върху "Добавяне". Превключете първия слот на "br1". Оставете останалите настройки същите (както е показано на екранната снимка по-долу).
Кликнете отново върху "Прилагане на настройките". След като приключите всички задачи в страницата Setup -> Networking, добре е да отидете за свързване и DHCP присвояване.
Забележка: Ако Wi-Fi AP, който конфигурирате за двоен SSID, се захващате с друго устройство (например имате два Wi-Fi рутера във вашия дом или офис, за да разширите обхвата си и този, който настройвате SSID за гости включено е # 2 във веригата), ще трябва да настроите DHCP в секцията Услуги. Ако това звучи като вашата настройка, е време да се придвижите до секцията Services -> Services.
В раздела за услугите трябва да добавим малко код в секцията DNSMasq, така че маршрутизаторът да определи правилно динамични IP адреси на устройствата, които се свързват с мрежата за гости. Превъртете надолу в секцията DNSMasq. В полето "Допълнителни опции за DNSMasq" поставете следния код (минус # коментара, обясняващ функционалността на всеки ред):
# Разрешава DHCP на br1
интерфейс = BR1
# Задайте шлюза по подразбиране за бр1 клиенти
DHCP-опция = br1,3,192.168.2.1
# Задайте диапазона на DHCP и стандартното време за отдаване под наем от 24 часа за клиенти на br1
DHCP-гама = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Кликнете върху "Прилагане на настройките" в долната част на страницата.
Независимо дали сте използвали техника една или две, изчакайте няколко минути, за да се свържете с новия си SSID за гости. Когато се свържете с SSID за гости, проверете IP адреса си. Трябва да имате IP в диапазона, определен с горепосоченото. Отново е удобно да използвате смартфона си, за да проверите:
Всичко изглежда добре. Вторичният AP назначава динамични IP адреси в подходящ диапазон, можем да получим в интернет - отбелязваме тук, огромен успех.
Единственият проблем обаче е, че вторичният AP все още има достъп до ресурсите на основната мрежа. Това означава, че всички мрежови принтери, мрежови споделяния и такива са все още видими (можете да го тествате сега, опитайте се да намерите мрежов дял от основната си мрежа в вторичния AP).
Ако ти искам които имат достъп до тези неща (и следват заедно с урока, така че можете да правите други две задачи на SSID като ограничаване на честотната лента на посетителите или пъти, при които им е позволено да използват Интернет), след това действително сте готови с урок.
Предполагаме, че повечето от вас биха искали да накарат вашите гости да се запъват към вашата мрежа и внимателно да ги задържат към Facebook и електронната поща. В този случай трябва да завършим процеса, като прекратим връзката между вторичния AP и физическата мрежа.
Придвижете се до Administration -> Commands. Ще видите област, обозначена като "Команда Shell". Поставете следните команди, като # реда за коментари, в областта, която може да се редактира:
#Премахва достъпа на гостите до физическата мрежа
iptables -I FORWARD -i br1 -o br0 -m състояние - състояние NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m състояние - състояние NEW -j DROP
#Премахва достъпа на посетителите до конфигурационния GUI / портове на рутера
iptables -I INPUT -i br1 -p tcp -порт telnet -j REJECT --reject-с tcp-reset
iptables -I INPUT -i br1 -p tcp -подаване ssh -j REJECT --reject-с tcp-reset
iptables -I ВЪВЕЖДАНЕ -i br1 -p tcp -dport www -j REJECT --reject-с tcp-reset
iptables -I INPUT -i br1 -p tcp -dport https -j REJECT -reject-с tcp-reset
Кликнете върху "Запазване на защитната стена" и рестартирайте рутера.
Тези допълнителни правила на защитната стена просто прекратяват всичко, което се случва на двата моста (частната мрежа и мрежата на обществения / гостуващия), да говорят, както и да отхвърлят всеки контакт между клиент в мрежата за гости и пристанищата на телнет, SSH или уеб сървър на рутер (като по този начин ги ограничава да не се опитват да имат достъп до конфигурационните файлове на рутера изобщо).
Дума за използването на скрипта за команди и скриптове за стартиране, изключване и защитна стена. Първо, командите IPTABLES се обработват по ред. Промяната на реда на отделните линии може значително да промени резултата. На второ място, има десетки на десетки маршрутизатори, поддържани от DD-WRT и в зависимост от конкретния маршрутизатор и конфигурация, може да се наложи да промените командите IPTABLES по-горе. Сценарият работи за нашия маршрутизатор и използва най-широките и най-прости възможни команди за изпълнение на задачата, така че да работи за повечето маршрутизатори. Ако не го направите, настоятелно Ви препоръчваме да търсите конкретния маршрутизатор в дискусионните форуми на DD-WRT и да проверите дали други потребители са имали същите проблеми, които имате.
В този момент сте готови с конфигурацията и сте готови да се насладите на двойните SSID и всички предимства, които идват с тях.Можете лесно да подадете парола за гости (и да я промените по желание), да настроите правилата за QoS за мрежата за гости и по друг начин да променяте и ограничавате мрежата на гости по начини, които най-малко няма да повлияят на основната ви мрежа.