Główna » jak » Jak włączyć punkt dostępu dla gości w twojej sieci bezprzewodowej

    Jak włączyć punkt dostępu dla gości w twojej sieci bezprzewodowej

    Dzielenie się Wi-Fi z gośćmi jest po prostu grzeczną rzeczą do zrobienia, ale to nie znaczy, że chcesz dać im szeroki dostęp do całej sieci LAN. Czytaj dalej, ponieważ pokazujemy, jak skonfigurować router pod kątem podwójnych identyfikatorów SSID i utworzyć oddzielny (i zabezpieczony) punkt dostępu dla gości.

    Dlaczego chcę to zrobić?

    Istnieje kilka bardzo praktycznych powodów, dla których warto skonfigurować sieć domową tak, aby miała dwa punkty dostępowe (AP).

    Powodem najbardziej praktycznego zastosowania dla większości ludzi jest odizolowanie sieci domowej, aby goście nie mogli uzyskać dostępu do rzeczy, które chcą pozostać prywatne. Domyślną konfiguracją prawie każdego domowego punktu dostępowego / routera Wi-Fi jest użycie pojedynczego bezprzewodowego punktu dostępowego, a każdy uprawniony do dostępu do tego AP ma dostęp do sieci tak, jakby był podłączony do AP poprzez Ethernet.

    Innymi słowy, jeśli dasz swojemu przyjacielowi, sąsiadowi, gościowi domowemu lub ktokolwiek hasło do punktu dostępowego Wi-Fi, dałeś mu także dostęp do drukarki sieciowej, dowolnych otwartych udziałów w sieci, niezabezpieczonych urządzeń w sieci i tak dalej. Być może po prostu chciałeś pozwolić im sprawdzić pocztę e-mail lub zagrać w grę online, ale dałeś im swobodę poruszania się w dowolnym miejscu w sieci wewnętrznej.

    Teraz, podczas gdy większość z nas na pewno nie ma złych hakerów dla przyjaciół, nie oznacza to, że nie jest rozsądne zakładanie naszych sieci, aby goście pozostali w miejscu, do którego należą (po darmowej stronie dostępu do Internetu) i nie mogą iść tam, gdzie nie (na stronie serwera / strony akcji po stronie płotu).

    Innym praktycznym powodem uruchomienia AP z dwoma identyfikatorami SSID jest możliwość nie tylko ograniczenia miejsca, w którym może przebywać gościnny punkt dostępowy, ale także czasu. Jeśli na przykład jesteś rodzicem, który chce ograniczyć czas, w którym Twoje dziecko może pozostać na komputerze, możesz umieścić komputer, tablet itp. Na drugorzędnym AP i ustawić ograniczenia dostępu do Internetu dla całego sub -SSID po, powiedzmy, 9 PM.

    Czego potrzebuję?

    Nasz samouczek koncentruje się obecnie na używaniu routera kompatybilnego z DD-WRT w celu uzyskania podwójnych identyfikatorów SSID. Jako takie będziesz potrzebować następujących rzeczy:

    • 1 zgodny z DD-WRT router z odpowiednią wersją sprzętu (pokażemy, jak sprawdzić)
    • 1 zainstalowaną kopię DD-WRT na wspomnianym routerze

    To nie jedyny sposób na skonfigurowanie podwójnych identyfikatorów SSID dla sieci domowej. Zamierzamy uruchomić nasze identyfikatory SSID z wszechobecnego routera bezprzewodowego Linksys WRT54G. Jeśli nie chcesz przechodzić przez problem flashowania niestandardowego oprogramowania na starym routerze i wykonywania dodatkowych czynności konfiguracyjnych, możesz zamiast tego:

    • Kup nowszy router obsługujący podwójne identyfikatory SSID zaraz po wyjęciu z pudełka, na przykład ASUS RT-N66U.
    • Kup drugi router bezprzewodowy i skonfiguruj go jako samodzielny punkt dostępowy.

    Jeśli nie masz już routera obsługującego podwójne identyfikatory SSID (w takim przypadku możesz pominąć ten samouczek i po prostu przeczytać instrukcję obsługi swojego urządzenia) obie te opcje są poniżej ideału, ponieważ musisz wydać dodatkowe pieniądze, a w przypadku druga opcja, wykonaj kilka dodatkowych ustawień, w tym ustawienie dodatkowego AP, aby nie zakłócać i / lub pokrywać się z podstawowym AP.

    W związku z tym byliśmy bardziej niż szczęśliwi, mogąc używać sprzętu, który już posiadaliśmy (router bezprzewodowy serii Linksys WRT54G) i pominąć nakłady pieniężne i dodatkowe poprawki sieci Wi-Fi.

    Skąd mam wiedzieć, że mój router jest zgodny?

    Istnieją dwa krytyczne elementy kompatybilności, które należy sprawdzić, aby osiągnąć sukces w tym samouczku. Pierwszym i najbardziej podstawowym zadaniem jest sprawdzenie, czy dany router ma obsługę DD-WRT. Możesz odwiedzić bazę danych routera wiki DD-WRT, aby sprawdzić.

    Po upewnieniu się, że router jest zgodny z DD-WRT, musimy sprawdzić numer wersji układu routera. Jeśli masz naprawdę stary router Linksys, na przykład, może to być perfekcyjnie obsługiwany router pod każdym względem, ale chip może nie obsługiwać podwójnych identyfikatorów SSID (co powoduje, że jest całkowicie niezgodny z samouczkiem).

    Istnieją dwa stopnie zgodności w odniesieniu do numeru wersji routera. Niektóre routery mogą wykonywać wiele identyfikatorów SSID, ale nie mogą rozdzielić identyfikatorów SSID na odrębne absolutnie unikalne punkty dostępowe (na przykład unikalny adres MAC dla każdego identyfikatora SSID). W niektórych sytuacjach może to powodować problemy z niektórymi urządzeniami Wi-Fi, ponieważ nie rozumieją, który SSID (ponieważ oba mają ten sam adres MAC), powinny go używać. Niestety nie ma sposobu, aby przewidzieć, które urządzenia będą źle działać w Twojej sieci, więc nie możemy się rozładować, zalecamy unikanie techniki opisanej w tym samouczku, jeśli znajdziesz urządzenie, które nie obsługuje dyskretnych identyfikatorów SSID.

    Możesz sprawdzić numer wersji, wykonując wyszukiwanie w Google dla określonego modelu routera wraz z numerem wersji wydrukowanym na etykiecie informacyjnej (zazwyczaj znajduje się na spodzie routera), ale uznaliśmy tę technikę za niewiarygodną (etykiety może zostać niewłaściwie zastosowany, informacje zamieszczone online dotyczące modelu i daty produkcji mogą być niedokładne itd.)

    Najbardziej niezawodnym sposobem sprawdzenia numeru wersji chipa wewnątrz routera jest odpytywanie routera, aby się dowiedzieć. Aby to zrobić, wykonaj następujące czynności. Otwórz klienta telnet (program wielofunkcyjny, taki jak PuTTY lub podstawowe polecenie Windows Telnet) i telnet na adres IP routera (np. 192.168.1.1). Zaloguj się do routera przy użyciu loginu i hasła administratora (pamiętaj, że w przypadku niektórych routerów, nawet jeśli wpiszesz "admin" i "mypassword", aby zalogować się do internetowego portalu zarządzania na routerze, konieczne może być wpisanie "root" "I" mojehasło "do logowania przez telnet).

    Po zalogowaniu się do routera wpisz następujące polecenie:

    nvram pokaż | grep corerev

    Spowoduje to zwrócenie głównego numeru wersji chipów w routerze w następującym formacie:

    wl0_corerev = 9
    wl_corerev =

    Co oznacza powyższy wynik oznacza, że ​​nasz router ma jedno radio (wl0, nie ma wl1) i że podstawowa wersja tego układu radiowego to 9. Jak interpretujesz wyjście? Numer wersji, w związku z naszym przewodnikiem, oznacza:

    • 0-4 Router nie obsługuje wielu identyfikatorów SSID (z unikalnymi identyfikatorami lub w inny sposób)
    • 5-8 Router obsługuje wiele identyfikatorów SSID (ale nie z unikalnymi identyfikatorami)
    • 9+ Router obsługuje wiele identyfikatorów SSID (z unikalnymi identyfikatorami)

    Jak widać z powyższego wyniku polecenia, udało nam się. Układ naszego routera to najniższa wersja, która obsługuje wiele identyfikatorów SSID z unikalnymi identyfikatorami.

    Po ustaleniu, że router może obsługiwać wiele identyfikatorów SSID, musisz zainstalować DD-WRT. Jeśli twój router został dostarczony z DD-WRT lub już go zainstalowałeś, jest fantastyczny. Jeśli jeszcze go nie zainstalowałeś, zalecamy pobranie odpowiedniej wersji ze strony internetowej DD-WRT i następujące po naszym samouczku: Zamień swój domowy router w super-zasilany router z DD-WRT.

    Oprócz naszego samouczka nie możemy podkreślić wartości obszernego i doskonale utrzymanego wiki DD-WRT. Przeczytaj na swoim routerze i sprawdź, jakie są najlepsze sposoby na umieszczenie tam nowego oprogramowania.

    Konfiguracja DD-WRT dla wielu SSID

    Masz zgodny router, wysłałeś do niego DD-WRT, teraz czas rozpocząć konfigurację drugiego identyfikatora SSID. Tak jak zawsze powinieneś zawsze przesyłać nowe oprogramowanie układowe za pośrednictwem połączenia przewodowego, zdecydowanie zalecamy pracę nad konfiguracją bezprzewodową przez połączenie przewodowe, aby zmiany nie zmusiły komputera bezprzewodowego do odłączenia się od sieci.

    Otwórz swoją przeglądarkę na komputerze podłączonym do routera przez Ethernet. Przejdź do domyślnego adresu IP routera (zazwyczaj 198.168.1.1). W interfejsie DD-WRT przejdź do Wireless -> Basic Settings (jak widać na powyższym zrzucie ekranu). Możesz zobaczyć, że nasz istniejący AP Wi-Fi ma identyfikator SSID "HTG_Office".

    U dołu strony, w sekcji "Virtual Interfaces" kliknij przycisk Add. Wcześniej pusta sekcja "Virtual Interfaces" zostanie rozwinięta o ten wstępnie wypełniony wpis:

    Ten wirtualny interfejs jest podlinkowany do istniejącego układu radiowego (zwróć uwagę na wl0.1 w tytule nowego wpisu). Nawet stenogram w SSID wskazał to, "vap" na końcu domyślnego SSID oznacza Virtual Access Point. Podzielmy pozostałe wpisy pod nowym interfejsem wirtualnym.

    Możesz zmienić nazwę SSID na cokolwiek chcesz. Zgodnie z naszą obecną konwencją nazewnictwa (i aby ułatwić życie naszym gościom) zmienimy SSID z domyślnego na "HTG_Guest" - pamiętaj, że naszym głównym punktem dostępowym Wi-Fi jest "HTG_Office".

    Pozostaw włączoną funkcję Wireless SSID Broadcast. Nie tylko wiele starszych komputerów i urządzeń obsługujących Wi-Fi nie gra bardzo dobrze z tajnymi identyfikatorami SSID, ale ukryta sieć gości nie jest bardzo zachęcającą / użyteczną siecią gości.

    AP Isolation to ustawienie zabezpieczeń, które zostawiamy według własnego uznania, aby włączyć lub wyłączyć. Jeśli włączysz izolację AP, każdy klient w sieci Wi-Fi gościa będzie całkowicie odizolowany od siebie. Z punktu widzenia bezpieczeństwa jest to świetne, ponieważ powstrzymuje złośliwego użytkownika przed podsłuchiwaniem klientów innych użytkowników. To raczej niepokój sieci korporacyjnych i publicznych hotspotów. Praktycznie mówiąc, oznacza to również, że jeśli twoja siostrzenica i siostrzeniec są skończone i chcą grać w grę połączoną z Wi-Fi na swoich urządzeniach Nintendo DS, ich jednostki DS nie będą się widzieć. W większości zastosowań domowych i małych biur nie ma wielu powodów, aby izolować punkty dostępowe.

    Opcja Unbridged / Bridged w konfiguracji sieci odnosi się do tego, czy punkt dostępowy Wi-Fi zostanie zmostkowany, czy nie do sieci fizycznej. Jakkolwiek jest to sprzeczne z intuicją, musisz ustawić ją na Bridged. Zamiast pozwolić na to, aby oprogramowanie układowe routera (raczej niezgrabnie) rozłączało się, będziemy ręcznie rozłączać wszystko sami, uzyskując czystszy i stabilniejszy wynik.

    Po zmianie identyfikatora SSID i sprawdzeniu ustawień kliknij przycisk Zapisz.

    Następnie przejdź do Wireless -> Wireless Security:

    Domyślnie nie ma zabezpieczeń na drugim AP. Możesz go tymczasowo zostawić w celach testowych (zostawiliśmy otwarty do końca), aby uchronić się przed wpisaniem hasła na urządzeniach testowych. Nie zalecamy jednak pozostawienia go na stałe. Niezależnie od tego, czy zdecydujesz się go opuścić, czy nie, w tym momencie, musisz kliknąć Zapisz, a następnie Zastosuj ustawienia dla zmian, które wprowadziliśmy zarówno w poprzedniej sekcji, jak i tej, która ma zastosowanie. Bądź cierpliwy, zmiany mogą zająć do 2 minut.

    Teraz jest świetny czas, by potwierdzić, że pobliskie urządzenia Wi-Fi mogą widzieć zarówno podstawowe, jak i dodatkowe punkty dostępowe. Otwarcie interfejsu Wi-Fi na smartfonie to świetny sposób na szybkie sprawdzenie. Oto widok ze strony konfiguracji Wi-Fi na telefonie z Androidem:

    Nie możemy połączyć się z dodatkowym AP, ponieważ musimy wprowadzić kilka zmian w routerze, ale zawsze dobrze jest zobaczyć je na liście.

    Następnym krokiem jest rozpoczęcie procesu rozdzielania identyfikatorów SSID w sieci poprzez przypisanie unikalnego zakresu adresów IP do urządzeń Wi-Fi gościa.

    Przejdź do Setup -> Networking. W sekcji "Mostkowanie" kliknij przycisk Dodaj.

    Najpierw zmień początkowe miejsce na "br1", pozostałe pozostałe pozostawiaj bez zmian. Nie będziesz w stanie jeszcze zobaczyć wpisu IP / Subnet powyżej. Kliknij "Zastosuj ustawienia". Nowy most znajdzie się w sekcji Bridging z dostępnymi sekcjami IP i Subnet. Ustaw adres IP na jedną wartość z IP zwykłej sieci (np. Twoja główna sieć to 192.168.1.1, więc ustaw tę wartość 192.168.2.1). Ustaw maskę podsieci na 255.255.255.0. Kliknij "Zastosuj ustawienia" ponownie u dołu strony.

    Przydziel sieć gości do mostu

    Uwaga: dziękuję czytelnikowi Joelowi za wskazanie tej części i przekazanie nam instrukcji dodania do samouczka.

    W sekcji "Przydziel do mostu" kliknij "Dodaj". Wybierz nowy most utworzony z pierwszego menu i sparuj go z interfejsem "wl0.1".

    Teraz kliknij "Zapisz" i "Zastosuj ustawienia".

    Po wprowadzeniu zmian ponownie przewiń do dołu strony do sekcji DHCPD. Kliknij "Dodaj". Przełącz pierwsze gniazdo na "br1". Pozostaw pozostałe ustawienia tak samo (jak widać na zrzucie ekranu poniżej).

    Kliknij "Zastosuj ustawienia" jeszcze raz. Po zakończeniu wszystkich zadań na stronie Konfiguracja -> Praca w sieci powinieneś wybrać opcję połączenia i DHCP.

    Uwaga: Jeśli konfigurowany przez Wi-Fi AP podwójny identyfikator SSID jest piggy backing na innym urządzeniu (np. Masz dwa routery Wi-Fi w domu lub biurze, aby rozszerzyć zasięg i ten, dla którego ustawiasz SSID gościa on jest numerem 2 w łańcuchu) będziesz musiał skonfigurować DHCP w sekcji Usługi. Jeśli brzmi to jak konfiguracja, czas przejść do sekcji Usługi -> Usługi.

    W dziale usługi musimy dodać trochę kodu do sekcji DNSMasq, aby router poprawnie przypisał dynamiczne adresy IP do urządzeń łączących się z siecią gościa. Przewiń w dół sekcję DNSMasq. W polu "Dodatkowe opcje DNSMasq" wklej poniższy kod (minus # komentarze wyjaśniające funkcjonalność każdej linii):

    # Włącza DHCP na br1
    interface = br1
    # Ustaw domyślną bramę dla klientów br1
    dhcp-option = br1,3,192.168.2.1
    # Ustaw zakres DHCP i domyślny czas dzierżawy na 24 godziny dla klientów br1
    dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h

    Kliknij "Zastosuj ustawienia" u dołu strony.

    Bez względu na to, czy użyto techniki jeden czy dwa, odczekaj kilka minut, aby połączyć się z nowym identyfikatorem SSID gościa. Po połączeniu się z gościem SSID sprawdź swój adres IP. Powinieneś mieć adres IP w zakresie określonym przez nas powyżej. Ponownie użyj smartfona, aby sprawdzić:

    Wszystko wygląda dobrze. Drugorzędny punkt dostępu przypisuje dynamiczne adresy IP w odpowiednim zakresie, możemy uzyskać dostęp do Internetu - zapisujemy tutaj, ogromny sukces.

    Jedyny problem polega jednak na tym, że dodatkowy AP wciąż ma dostęp do zasobów sieci podstawowej. Oznacza to, że wszystkie drukarki sieciowe, udziały sieciowe itp. Są nadal widoczne (możesz przetestować je teraz, spróbuj znaleźć udział sieciowy z głównej sieci w dodatkowym AP).

    Jeśli ty chcieć goście z dodatkowego punktu dostępowego mają dostęp do tych rzeczy (i postępują zgodnie z samouczkiem, dzięki czemu można wykonywać inne zadania z podwójnymi identyfikatorami SSID, takie jak ograniczenie przepustowości gościa lub czasy, w których mogą korzystać z Internetu), a następnie skutecznie seminarium.

    Wyobrażamy sobie, że większość z was chciałaby, aby Twoi goście nie kręcili się po twojej sieci i łagodnie strzegli ich, aby trzymać się Facebooka i e-maili. W takim przypadku musimy zakończyć proces odłączając pomocniczy punkt dostępowy od sieci fizycznej.

    Przejdź do Administracja -> Polecenia. Zobaczysz obszar oznaczony "Command Shell". Wklej następujące polecenia, sans # linie komentarza, do obszaru edytowalnego:

    #Usuń dostęp gościa do sieci fizycznej
    iptables -I FORWARD -i br1 -o br0 -m state - stan NEW -j DROP
    iptables -I FORWARD -i br0 -o br1 -m stan - stan NEW -j DROP
    #Usuń dostęp gościa do GUI / portów konfiguracji routera
    iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset

    Kliknij "Zapisz zaporę" i zrestartuj router.

    Te dodatkowe reguły zapory sieciowej zatrzymują wszystko na dwóch mostach (sieci prywatnej i publicznej / sieci gościnnej) przed rozmową oraz odrzucają jakikolwiek kontakt między klientem w sieci gościa a portami Telnet, SSH lub serwera router (ograniczając w ten sposób dostęp do plików konfiguracyjnych routera).

    Słowo o używaniu powłoki poleceń i skryptów uruchamiania, zamykania i zapory. Najpierw komendy IPTABLES są przetwarzane w kolejności. Zmiana kolejności poszczególnych linii może znacznie zmienić wynik. Po drugie, istnieją dziesiątki routerów obsługiwanych przez DD-WRT, a w zależności od konkretnego routera i konfiguracji konieczne może być dostosowanie powyższych poleceń IPTABLES. Skrypt pracował dla naszego routera i używa najszerszych i najprostszych możliwych poleceń, aby wykonać to zadanie, więc powinno działać dla większości routerów. Jeśli tak się nie stanie, gorąco zachęcamy do wyszukania konkretnego modelu routera na forum dyskusyjnym DD-WRT i sprawdzenia, czy inni użytkownicy napotkali te same problemy, które masz.


    W tym momencie skończysz konfigurację i będziesz gotowy korzystać z podwójnych identyfikatorów SSID i wszystkich korzyści wynikających z ich uruchamiania. Możesz łatwo podać hasło gościa (i zmienić je dowolnie), skonfigurować reguły QoS dla sieci gościa, a także zmodyfikować i ograniczyć sieć gościa w sposób, który nie wpłynie na twoją sieć podstawową w najmniejszym stopniu..