Jak povolit přístupový bod pro hosty na bezdrátové síti
Sdílení Wi-Fi s hosty je jen zdvořilý úkol, ale to neznamená, že byste jim chtěli dát široký otevřený přístup k celé síti LAN. Přečtěte si, jak vám ukážeme, jak nastavit směrovač pro duální SSID a vytvořit pro hosty samostatný (a zabezpečený) přístupový bod.
Proč to chci dělat??
Existuje několik velmi praktických důvodů, proč chcete nastavit vaši domovskou síť tak, aby měla přístupové body (AP).
Důvodem, proč je nejpraktičtější aplikace pro většinu lidí, je jednoduše izolace domácí sítě, takže hosté nemají přístup k věcem, které chcete zůstat soukromé. Výchozí konfigurací pro téměř všechny domácí přístupové body / směrovače Wi-Fi je použití jediného bezdrátového přístupového bodu a všichni oprávněni k přístupu k tomuto AP mají přístup do sítě, jako by byli propojeni přímo do AP přes Ethernet.
Jinými slovy, pokud dáte svému příteli, sousedovi, domácímu hostu nebo kdokoliv heslo k AP Wi-Fi, také jste jim dali přístup k síti tiskárny, všechny otevřené sdílené položky ve vaší síti, nezabezpečené zařízení ve vaší síti a tak dále. Možná jste je chtěli nechat zkontrolovat jejich e-maily nebo hrát online hru, ale dali jste jim svobodu túrovat kdekoli na vaší vnitřní síti.
Nyní, zatímco většina z nás jistě nemají škodlivé hackery pro přátele, to neznamená, že není rozumné nastavit naše sítě tak, aby hosté zůstali tam, kam patří (na volné straně přístupu na internet plotu) a nemohou jít tam, kde nemají (na domácím serveru / osobní akcie straně plotu).
Dalším praktickým důvodem pro provozování AP s dvěma identifikátory SSID je schopnost nejen omezit, kam může AP hostovat, ale kdy. Pokud jste například rodič, který chce omezit, jak pozdě vaše dítě může zůstat nahoru v okolí počítače, můžete dát své počítače, tablety atd. Na sekundární AP a nastavit omezení přístupu k internetu pro celý sub -SSID po, řekněme, 9PM.
Co potřebuji?
Náš výukový program dnes je zaměřen na použití směrovače kompatibilního s DD-WRT pro dosažení duálních SSID. Jako takové budete potřebovat následující věci:
- 1 DD-WRT kompatibilní směrovač s příslušnou revizí hardwaru (ukážeme vám, jak zkontrolovat)
- 1 nainstalovaná kopie DD-WRT na uvedeném směrovači
To není jediný způsob, jak nastavit duální SSID pro vaši domácí síť. Budeme běžet naše SSID z všudypřítomného bezdrátového směrovače řady Linksys WRT54G. Pokud nechcete procházet potížím s blikajícím vlastním firmwarem na starém směrovači a provádět další konfigurační kroky, můžete místo toho:
- Kupte si novější směrovač, který podporuje dvojité SSIDy přímo z krabice, jako je ASUS RT-N66U.
- Koupit druhý bezdrátový směrovač a nakonfigurovat jej jako samostatný přístupový bod.
Pokud již vlastníte router, který podporuje duální identifikátory SSID (v tomto případě můžete tento návod přeskočit a prostě si přečíst manuál pro vaše zařízení), obě tyto možnosti jsou méně než ideální, protože musíte vynaložit další peníze a v případě druhá možnost, proveďte spoustu dalších konfigurací, včetně nastavení sekundárního AP, abyste neporušili a / nebo nepřekrývali svůj primární AP.
Ve světle všech toho jsme byli rádi, že používáme hardwarové vybavení, které jsme již měli (bezdrátový směrovač řady Linksys WRT54G) a přeskočili výdaje za hotovost a další vylepšení sítí Wi-Fi.
Jak zjistím, že můj směrovač je kompatibilní?
Existují dva kritické prvky kompatibility, které musíte zkontrolovat, abyste měli úspěch v tomto výukovém programu. První a nejzákladnější je ověřit, zda váš konkrétní směrovač podporuje DD-WRT. Zde můžete zkontrolovat databázi směrovačů WDT wiki.
Jakmile zjistíte, že váš směrovač je kompatibilní s DD-WRT, musíme zkontrolovat číslo revize čipu vašeho směrovače. Máte-li opravdu starý router Linksys, může se jednat o vylepšitelný router s každým způsobem, ale čip nemusí podporovat duální SSID (což je zásadně nekompatibilní s tutoriálem).
Existují dva stupně kompatibility s ohledem na číslo revize routeru. Některé směrovače mohou dělat více identifikátorů SSID, ale nemohou rozdělit identifikátory SSID do zcela jednoznačných přístupových bodů (např. Jedinečná MAC adresa pro každý identifikátor SSID). V některých situacích to může způsobit potíže s některými zařízeními Wi-Fi, jelikož se zmiňují o tom, který SSID (protože oba mají stejnou adresu MAC), které by měly používat. Bohužel neexistuje žádný způsob, jak předvídat, která zařízení se v síti budou chovat špatně, takže nemůžeme doporučit, abyste se vyhnuli technice popsané v tomto tutoriálu, pokud zjistíte, že máte zařízení, které nepodporuje diskrétní identifikátory SSID.
Číslo revize můžete zkontrolovat vyhledáním konkrétního modelu směrovače společně s číslem verze vytištěným na informačním štítku (obvykle najdete na spodní straně směrovače), ale našli jsme tuto techniku nespolehlivou (štítky mohou být nesprávně použity, informace zveřejněné online týkající se modelu a data výroby mohou být nepřesné atd.).
Nejspolehlivějším způsobem, jak zkontrolovat číslo revize čipu ve vašem směrovači, je vlastně otestovat směrovač. K tomu je třeba provést následující kroky. Otevřete klienta telnet (buď víceúčelový program jako PuTTY nebo základní příkaz Windows Telnet) a telnet na adresu IP routeru (např. 192.168.1.1). Přihlaste se do směrovače pomocí přihlašovacího jména a hesla správce (uvědomte si, že u některých směrovačů, i když zadáte "admin" a "mypassword" pro přihlášení k webovým portálu pro správu routeru, budete možná muset zadat "root "A" mypassword "pro přihlášení přes telnet).
Jakmile jste přihlášeni do routeru, zadejte na výzvu následující příkaz:
nvram show | grep corerev
Tím se vrátí základní číslo revize čipu (ů) ve vašem směrovači v následujícím formátu:
wl0_corerev = 9
wl_corerev =
Výše uvedený výstup znamená, že náš směrovač má jedno rádio (wl0, neexistuje wl1) a že základní revize tohoto rádiového čipu je 9. Jak interpretujete výstup? Číslo revize ve vztahu k našemu průvodci znamená následující:
- 0-4 Směrovač nepodporuje více identifikátorů SSID (s jedinečnými identifikátory nebo jinak)
- 5-8 Směrovač podporuje více identifikátorů SSID (ale ne s jedinečnými identifikátory)
- 9+ Směrovač podporuje více identifikátorů SSID (s jedinečnými identifikátory)
Jak můžete vidět z našeho výše uvedeného příkazu, vyhráli jsme. Čip našeho směrovače je nejnižší verze, která podporuje více identifikátorů SSID s jedinečnými identifikátory.
Jakmile zjistíte, že směrovač podporuje více SSID, musíte nainstalovat DD-WRT. Je-li váš směrovač dodán s DD-WRT nebo jste jej již nainstalovali, je to fantastické. Pokud jste dosud nenainstalovali, doporučujeme stáhnout příslušnou verzi z webových stránek DD-WRT a následně spolu s návodem: Otočte svůj domácí směrovač do super-Powered Router s DD-WRT.
Kromě našeho tutoriálu nemůžeme zdůrazňovat hodnotu rozsáhlého a skvěle udržovaného wiki DD-WRT. Přečtěte si svůj konkrétní směrovač a doporučené postupy pro blikající nový firmware tam.
Konfigurace protokolu DD-WRT pro více identifikátorů SSID
Máte kompatibilní směrovač, do něj jste přemýšleli DD-WRT, nyní je čas začít s nastavením druhého SSID. Stejně jako byste měli vždy blikat nový firmware přes kabelové připojení, důrazně doporučujeme pracovat na bezdrátovém připojení prostřednictvím kabelového připojení, takže změny nenutí váš bezdrátový počítač ze sítě.
Otevřete webový prohlížeč v počítači připojeném k routeru přes Ethernet. Přejděte do výchozího IP směrovače (typicky 198.168.1.1). V rámci rozhraní DD-WRT přejděte na položku Bezdrátové -> Základní nastavení (jak je vidět na snímku obrazovky výše). Vidíte, že náš stávající Wi-Fi AP má SSID "HTG_Office".
V dolní části stránky v sekci "Virtuální rozhraní" klikněte na tlačítko Přidat. Předtím prázdná sekce "Virtuální rozhraní" se rozbalí s touto předpopulovanou položkou:
Toto virtuální rozhraní je připojeno k vašemu existujícímu rádiovému čipu (všimněte si wl0.1 v názvu nového záznamu). Dokonce i zkratka v SSID to označila, "vap" na konci výchozí SSID znamená virtuální přístupový bod. Rozdělíme ostatní položky pod nové virtuální rozhraní.
SSID můžete přejmenovat na co chcete. V souladu s našimi stávajícími názvovými konvencemi (a ulehčíme život našim hostům) změníme SSID z výchozího nastavení na "HTG_Guest" - přečtěte si náš hlavní Wi-Fi AP je "HTG_Office".
Povolit bezdrátové vysílání SSID. Nejen, že mnoho starších počítačů a zařízení s podporou Wi-Fi nehraje velmi hezké s tajnými SSID, ale skrytá síť hostů není příliš příjemná / užitečná hostující síť.
AP Izolace je bezpečnostní nastavení, které necháme podle vašeho uvážení povolit nebo zakázat. Pokud povolíte AP Izolace, každý klient vaší sítě Wi-Fi hosta bude zcela navzájem izolován. Z hlediska zabezpečení je to skvělé, protože zabraňuje uživateli se zlými úmysly, aby se pokoušel o klienty ostatních uživatelů. To je spíše zájem o firemní sítě a veřejné hotspoty. Prakticky řečeno, to také znamená, že pokud je vaše neteř a synovec u konce a chtějí hrát Wi-Fi připojenou hru na svých jednotkách Nintendo DS, jejich jednotky DS se nebudou moci navzájem vidět. Ve většině domácích i malých kancelářských aplikací není důvod izolovat AP.
Volba Nesmíchaná / přemostěná v Konfiguraci sítě označuje, zda bude Wi-Fi AP přemostěn či nikoliv do fyzické sítě. Jako neúmyslné, jak to je, musíte ji nechat nastavit na Bridged. Spíše než nechat router firmware manipulovat (spíše neohrabaně) proces odpojování, budeme ručně unbridge vše sami s čistší a stabilnější výsledek.
Jakmile změníte SSID a zkontrolujete nastavení, klikněte na tlačítko Uložit.
Pak přejděte na možnost Bezdrátové připojení -> Bezdrátové zabezpečení:
Ve výchozím nastavení neexistuje žádná bezpečnost na druhém AP. Můžete je nechat dočasně pro účely testování (nechali jsme otevřenou až do konce), abyste se ušetřili heslem na vašich testovacích zařízeních. Nechceme nicméně doporučovat, aby to trvalo otevřelo. Ať už se rozhodnete ponechat v tomto okamžiku otevřené nebo ne, musíte klepnout na tlačítko Uložit a potom na tlačítko Použít nastavení pro změny, které jsme provedli jak v předchozí části, tak i v této části. Buďte trpěliví, změna může trvat až 2 minuty.
Nyní je skvělý čas potvrdit, že nedaleké zařízení Wi-Fi mohou vidět primární i sekundární AP. Otevření rozhraní Wi-Fi na smartphonu je skvělý způsob, jak rychle zkontrolovat. Zde je náhled z konfigurační stránky Wi-Fi na telefonu Android:
Nemůžeme se připojit k sekundárnímu AP, protože potřebujeme udělat další změny směrovače, ale je vždy příjemné je vidět v seznamu.
Dalším krokem je zahájení procesu oddělení identifikátorů SSID v síti přidělením jedinečného rozsahu adres IP hostitelským zařízením Wi-Fi.
Přejděte do nabídky Nastavení -> Sítě. V části "Přemostění" klikněte na tlačítko Přidat.
Nejprve změňte počáteční slot na hodnotu "br1", ostatní hodnoty nechte stejné. Nebudete moci ještě vidět záznam IP / podsítě. Klikněte na tlačítko Použít nastavení. Nový můstek bude v sekci Přemostění s dostupnými oddíly IP a Subnet. Nastavte IP adresu na jednu hodnotu mimo vaši IP normální síť (např. Primární síť je 192.168.1.1, takže tuto hodnotu zadejte 192.168.2.1). Nastavte masku podsítě na hodnotu 255.255.255.0. Klikněte znovu na tlačítko "Použít nastavení" v dolní části stránky.
Přiřaďte hostující síti k mostu
Poznámka: díky čtenáři Joelovi, že jste ukázali tuto část a dali nám pokyny k přidání do tutoriálu.
V části "Přiřadit k Bridge" klikněte na "Přidat". Z prvního rozevíracího seznamu vyberte nový můstek, který jste vytvořili, a spárovat ho s rozhraním "wl0.1".
Nyní klikněte na tlačítko "Uložit" a "Použít nastavení".
Po provedení změn znovu přejděte do dolní části stránky do sekce DHCPD. Klikněte na tlačítko Přidat. Přepněte první slot na "br1". Nechte ostatní nastavení stejné (jak je vidět na obrazovce níže).
Klikněte na tlačítko "Použít nastavení" ještě jednou. Jakmile dokončíte všechny úkoly na stránce Nastavení -> Síťové sítě, měli byste být rádi, abyste se připojili k připojení a přiřazení DHCP.
Poznámka: Pokud konfigurační protokol Wi-Fi AP pro duální identifikátory SSID podporuje praporčík na jiném zařízení (např. Máte dva směrovače Wi-Fi ve svém domě nebo v kanceláři, abyste rozšířili pokrytí a ten, který nastavujete SSID hosta on je # 2 v řetězci), budete muset nastavit DHCP v sekci Services. Pokud to zní jako vaše nastavení, je čas se dostat do sekce Služby -> Služby.
V sekci služeb je třeba do oddílu DNSMasq přidat trochu kódu, aby směrovač správně přiřadil dynamické adresy IP zařízením připojeným k hostitelské síti. Posuňte dolů část DNSMasq. V poli "Další možnosti DNSMasq" vložte následující kód (mínus # komentářů vysvětlující funkci jednotlivých řádků):
# Umožňuje DHCP na br1
rozhraní = br1
# Nastavte výchozí bránu pro klienty br1
dhcp-option = br1,3,192.168.2.1
# Nastavte rozsah DHCP a výchozí dobu pronájmu 24 hodin pro klienty br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Klikněte na tlačítko "Použít nastavení" v dolní části stránky.
Ať už jste použili jednu nebo dvě techniky, počkejte několik minut, než se připojíte k novému SSID hostu. Když se připojíte k SSID hostu, zkontrolujte adresu IP. Měli byste mít IP v rozsahu, který jsme specifikovali výše. Znovu je užitečné používat váš smartphone ke kontrole:
Všechno vypadá dobře. Sekundární přístupový bod přiřazuje dynamické adresy IP ve vhodném rozsahu, můžeme se dostat na internet - děláme si tu poznámku, obrovský úspěch.
Jediným problémem však je, že sekundární AP stále má přístup k prostředkům primární sítě. To znamená, že všechny tiskárny v síti, síťové sdílené položky a další jsou stále viditelné (můžete je otestovat nyní, zkuste najít síťový sdílený adresář z primární sítě v sekundárním AP).
jestli ty chtějí hosté na sekundárním AP mají přístup k těmto věcem (a pokračují spolu s tutoriálem, takže můžete provádět další úkoly se dvěma SSID, jako je omezení hostované šířky hostu nebo časy, kdy mohou používat internet). tutorial.
Představujeme si, že většina z vás by chtěla nechat své hosty, aby se pokoušely kolem vaší sítě a jemně je poskládaly do Facebooku a e-mailu. V takovém případě musíme proces ukončit odpojením sekundární AP z fyzické sítě.
Přejděte na Administration -> Commands. Uvidíte oblast označenou "Command Shell". Vložte následující příkazy bez editačních řádků do upravitelné oblasti:
# Zruší přístup hosta do fyzické sítě
iptables -I FORWARD -i br1 -o br0 -m stav - stav NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m stav - state NEW -j DROP
# Odstraní přístup hosta k konfiguračním grafickým uživatelským rozhraním / portům směrovače
iptables -I INPUT -i br1 -p tcp -dport telnet -j REJECT -reject-s tcp-reset
iptables -I INPUT -i br1 -p tcp -dport ssh -j REJECT -reject-s tcp-reset
iptables -I INPUT -i br1 -p tcp -dport www -j REJECT -reject-s tcp-reset
iptables -I INPUT -i br1 -p tcp -dport https -j REJECT -reject-s tcp-reset
Klikněte na "Uložit bránu firewall" a restartujte router.
Tato pravidla dodatečné brány firewall jednoduše zastaví vše, co je na obou mostních (soukromé síti a veřejné / hostské síti), a zároveň odmítá jakýkoli kontakt mezi klientem v hostitelské síti a porty telnet, SSH nebo webového serveru na směrovač (čímž je omezuje, aby se vůbec pokusili o přístup k konfiguračním souborům směrovače).
Slovo o používání příkazového shellu a spouštěcích, vypínacích a firewallových skriptech. Nejprve jsou příkazy IPTABLES zpracovány v pořadí. Změna pořadí jednotlivců může značně změnit výsledek. Za druhé, DD-WRT podporuje desítky z desítek směrovačů a v závislosti na vašem konkrétním směrovači a konfiguraci může být potřeba vylepšit příkazy IPTABLES výše. Skript pracoval pro náš směrovač a používá nejširší a nejjednodušší možné příkazy pro splnění úkolu, takže by měl pracovat pro většinu směrovačů. Pokud tomu tak není, důrazně vás vyzýváme, abyste hledali konkrétní model směrovače v diskusních fórech DD-WRT a zjistili, zda ostatní uživatelé mají stejné problémy, jaké máte.
V tomto okamžiku jste hotovi s konfigurací a jste připraveni využívat duální SSID a všechny výhody, které přicházejí s jejich spuštěním. Můžete snadno zadat heslo hosta (a změnit jej podle vlastního uvážení), nastavit pravidla QoS pro hostující síť a jinak upravit a omezit síť hosta tak, aby to neovlivnilo vaši primární síť.