If-Koubou

Kako omogućiti pristupnu točku gostiju na bežičnoj mreži

Kako omogućiti pristupnu točku gostiju na bežičnoj mreži (Kako da)

Dijeljenje Wi-Fi s gostima je samo pristojna stvar za napraviti, ali to ne znači da želite dati široki pristup cijelom LAN-u. Pročitajte kako vam pokazujemo kako postaviti usmjerivač za dvojne SSID-ove i stvoriti zasebnu (i osiguranu) pristupnu točku za svoje goste.

Zašto to želim učiniti?

Postoji nekoliko vrlo praktičnih razloga zašto želite uspostaviti kućnu mrežu s dvostrukim pristupnim točkama (AP).

Razlog s najkompaktnijom aplikacijom za najveći broj ljudi jednostavno je izoliranje vaše kućne mreže tako da gosti ne mogu pristupiti stvarima koje želite ostati privatni. Zadana konfiguracija za gotovo svaku kućnu Wi-Fi pristupnu točku / usmjerivač je koristiti jednu bežičnu pristupnu točku i svi ovlašteni za pristup tom AP-u imaju pristup mreži kao da su priključeni izravno preko AP preko Ethernet.

Drugim riječima, ako dajete svom prijatelju, susjedu, gostu kuću ili ma tko lozinku za Wi-Fi AP, dali ste im i pristup mrežnom pisaču, sve otvorene dionice na vašoj mreži, nesigurne uređaje na vašoj mreži i tako dalje. Možda ste samo htjeli dopustiti im da provjeravaju e-poštu ili igraju igru ​​na mreži, ali ste im dali slobodu da lutaju bilo gdje na svojoj unutarnjoj mreži.

Sada, iako većina nas sigurno nemaju zlonamjernih hakera za prijatelje, to ne znači da nije pametno postaviti naše mreže tako da gosti ostanu tamo gdje pripadaju (na besplatnoj pristupnoj strani ograde) i ne mogu ići tamo gdje ne (na kućnom poslužitelju / osobnim dijelovima strane ograde).

Drugi praktični razlog za pokretanje AP-a s dva SSID-a je mogućnost ne samo ograničavanja gdje gost AP može ići, već kada. Ako ste roditelj, na primjer, želi ograničiti koliko kasno vaše dijete može ostati gore, na računalu možete staviti svoje računalo, tablet, itd. Na sekundarnu AP i postaviti ograničenja pristupa internetu za cijeli pod -SSSID nakon, recimo, 9:00.

Što trebam?

Naš vodič danas je usredotočen na korištenje DD-WRT kompatibilnog usmjerivača za postizanje dvojnih SSID-ova. Kao takav trebat će vam sljedeće stvari:

  • 1 DD-WRT kompatibilni usmjerivač s odgovarajućom hardverskom revizijom (pokazat ćemo vam kako provjeriti)
  • 1 instaliranu kopiju DD-WRT na navedenom ruteru

To nije jedini način postavljanja dvostrukih SSID-ova za vašu kućnu mrežu. Idemo pokrenuti naše SSID-ove s sveprisutnog Wireless Router serije Linksys WRT54G. Ako ne želite prolaziti kroz gnjavažu treperenja prilagođenog firmvera na starom usmjerivaču i izvršavajući dodatne korake konfiguracije, umjesto toga možete:

  • Kupite noviji usmjerivač koji podržava dvojno SSID izravno iz kutije kao što je ASUS RT-N66U.
  • Kupite drugi bežični usmjerivač i konfigurirajte ga kao samostalnu pristupnu točku.

Osim ako već imate router koji podržava dvojno SSID-ove (u tom slučaju možete preskočiti ovaj vodič i samo pročitati priručnik za svoj uređaj) obje ove opcije su manje od idealne jer morate potrošiti dodatni novac i, u slučaju drugu opciju, napravite skup dodatnih konfiguracija, uključujući postavljanje sekundarnog AP-a da ne ometate i / ili preklapate s primarnim AP-om.

U svjetlu svega toga, bili smo više nego sretni da koristimo hardver koji smo već imali (Wireless Router za Linksys WRT54G) i preskočite troškove novca i dodatnu uštedu Wi-Fi mreže.

Kako mogu znati da je moj usmjernik kompatibilan?

Postoje dva ključna elementa kompatibilnosti koje trebate provjeriti kako biste uspjeli ostvariti ovaj vodič. Prva, i većina elementarna, je provjeriti je li vaš određeni usmjerivač podržao DD-WRT. Ovdje možete posjetiti DD-WRT wiki's Router Database ovdje za provjeru.

Nakon što utvrdite da je vaš usmjerivač kompatibilan s DD-WRT-om, moramo provjeriti broj revizije čipa vašeg usmjerivača. Ako imate stvarno staru vezu za Linksys, na primjer, to može biti savršen uslužni usmjerivač na svaki način, ali čip možda ne podržava dvojne SSID-ove (što je temeljno nespojivo s tutorialom).

Postoje dva stupnja kompatibilnosti s obzirom na broj revizije usmjerivača. Neki usmjerivači mogu učiniti više SSID-ova, ali ne mogu podijeliti SSID-ove u različite apsolutno jedinstvene pristupne točke (npr. Jedinstvenu MAC adresu za svaki SSID). U nekim situacijama to može uzrokovati probleme s nekim Wi-Fi uređajima, budući da se zbunjuju za SSID (jer oba imaju istu MAC adresu) koju bi trebali koristiti. Nažalost, ne postoji način predvidjeti koji će se uređaji nepravilno upotrebljavati na vašoj mreži, tako da ne možemo odbaciti preporučujemo izbjegavanje tehnike navedene u ovom vodiču ako ustanovite da imate uređaj koji ne podržava diskretne SSID-ove.

Broj revizija možete provjeriti obavljanjem Google pretraživanja za određeni model vašeg usmjerivača zajedno s brojem verzije tiskanog na naljepnici s informacijama (obično na donjoj strani usmjerivača), ali smo pronašli ovu tehniku ​​nepouzdanom (oznake mogu se pogrešno primijeniti, informacije objavljene online o modelu i datumu proizvodnje mogu biti netočne, itd.)

Najpouzdaniji način da provjerite broj revizije čipa unutar vašeg usmjerivača je zapravo ispitati usmjerivač kako bi saznali. Da biste to učinili, trebate izvršiti sljedeće korake. Otvorite telnet klijent (bilo višenamjenski program poput PuTTY ili osnovne naredbe za Windows Telnet) i telnet na IP adresu vašeg usmjerivača (npr. 192.168.1.1). Prijavite se na usmjerivač pomoću administratorske prijave i lozinke (budite svjesni da za neke usmjerivače čak i ako upišete "admin" i "mypassword" da se prijavite na web-based portal za upravljanje na usmjerivaču, možda ćete morati upisati "root "I" moju zaporku "za prijavu putem telnet-a).

Nakon što se prijavite na usmjerivač, upišite sljedeću naredbu na upit:

nvram show | grep corerev

To će vratiti osnovni broj revizije čipa (čvora) u vašem usmjerivaču u sljedećem formatu:

wl0_corerev = 9
wl_corerev =

Što gore navedeno znači da naša rutera ima jedan radio (wl0, nema wl1) i da je glavna revizija tog radijskog čipa 9. Kako interpretirate izlaz? Broj revizije, u odnosu na naš vodič, znači sljedeće:

  • 0-4 Ruter ne podržava više SSID-ova (s jedinstvenim identifikatorima ili na neki drugi način)
  • 5-8 Usmjerivač podržava više SSID-ova (ali ne i sa jedinstvenim identifikatorima)
  • 9+ Usmjerivač podržava više SSID-ova (s jedinstvenim identifikatorima)

Kao što možete vidjeti iz našeg naredbenog outputa gore, mi lucked out. Naš usmjerivač čip je najniža revizija koja podržava više SSID-ova s ​​jedinstvenim identifikatorima.

Kada utvrdite da vaš usmjerivač može podržati više SSID-ova, morat ćete instalirati DD-WRT. Ako je vaš usmjerivač isporučen s DD-WRT-om ili ste ga već instalirali, fantastično. Ako ga još niste instalirali, preporučujemo da preuzmete odgovarajuću verziju s DD-WRT web stranice i pratite zajedno s našim vodičem: Preokrenite svoj početni usmjerivač u Super-Powered usmjerivač s DD-WRT-om.

Osim našeg vodiča, ne možemo naglasiti vrijednost opsežnog i izvrsno održavanog DD-WRT wiki. Pročitajte o vašem određenom usmjerivaču i najbolje prakse za tamo bljesak novog firmvera.

Konfiguriranje DD-WRT za više SSID-ova

Imate kompatibilni usmjerivač, na njemu ste bljesnuli DD-WRT, sada je vrijeme da započnete s postavljanjem tog drugog SSID-a. Baš kao što uvijek trebate bljeskati novi firmver putem žične veze, preporučujemo da radite na bežičnom podešavanju putem žičnog povezivanja tako da promjene ne prisiljavaju bežično računalo na mrežu.

Otvorite web preglednik na računalu povezanom s usmjerivačem preko Etherneta. Prijeđite na zadani usmjerivač IP (obično 198.168.1.1). Unutar DD-WRT sučelja, prijeđite na Wireless -> Basic Settings (kao što se vidi gore na slici). Možete vidjeti da naš postojeći Wi-Fi AP ima SSID "HTG_Office".

Na dnu stranice, u odjeljku "Virtualni sučelja" kliknite gumb Dodaj. Odsječeno prethodno prazno područje "Virtualna sučelja" proširit će se ovim prepopuliranim unosom:

Ovo virtualno sučelje prenosi se na vaš postojeći radio čip (zabilježite wl0.1 u naslovu novog unosa). Čak i stenografski prikaz SSID-a to označava, "vap" na kraju zadanog SSID-a označava Virtualnu pristupnu točku. Prekinimo ostatak unosa u novom virtualnom sučelju.

Možete preimenovati SSID na ono što želite. U skladu s našom postojećom konvencijom o imenovanju (i lakšem životu na našim gostima) promijenit ćemo SSID od zadanog na "HTG_Guest" - napominjemo da je naš glavni Wi-Fi AP "HTG_Office".

Ostavite omogućeno bežično SSID emitiranje. Ne samo da mnoga starija računala i uređaji s Wi-Fi uređajima ne igraju jako lijepo sa tajnim SSID-ovima, ali skrivena gostujuća mreža nije vrlo pozivna / korisna gostinjska mreža.

AP Izolacija je sigurnosna postavka koju ćemo ostaviti po vlastitom nahođenju da biste omogućili ili onemogućili. Ako omogućite AP Isolation, svaki klijent na vašoj bežičnoj Wi-Fi mreži bit će potpuno izoliran jedni od drugih. Sa sigurnosnog stajališta to je sjajno jer zadržava zlonamjernog korisnika da se pokreće na klijentima drugih korisnika. To je više zabrinutost za korporativne mreže i javne vrućih mjesta. Praktično govoreći, to također znači da ako vaša nećakinja i nećak stoje i žele igrati Wi-Fi povezanu igru ​​na Nintendo DS jedinicama, njihove DS jedinice neće se moći vidjeti. U većini kućnih i malih uredskih aplikacija nema razloga za izoliranje AP-a.

Neosigurana / premoštena opcija u mrežnoj konfiguraciji odnosi se na to da li će Wi-Fi AP biti premošten ili ne na fizičkoj mreži. Kako je protuzakonito kao što je to, morate ga ostaviti postavljenom na Bridged. Umjesto da pustimo da upravljački program usmjerivača (prilično nespretno) riješi nepovezan proces, ručno ćemo sve isprazniti sa čistijim i stabilnijim ishodom.

Nakon što promijenite SSID i pregledate postavke, kliknite Spremi.

Potom se prebacite na Wireless -> Wireless Security:

Prema zadanim postavkama ne postoji sigurnost na drugom AP-u. Možete ga ostaviti kao takav privremeno u svrhu testiranja (ostavili smo otvoren do samog kraja) kako bismo spasili ključnu lozinku na testnim uređajima. Međutim, ne preporučujemo da ga trajno otvorite. Bez obzira jeste li odlučili ostaviti ga otvorenom ili ne, trebate kliknuti Spremi, a zatim Primijeni Postavke za izmjene koje smo napravili kako u prethodnom odjeljku tako i da će ovaj stupiti na snagu. Budite strpljivi, može potrajati do 2 minute da bi promjene postale učinkovite.

Sada je sjajno vrijeme za potvrdu da Wi-Fi uređaji u blizini mogu vidjeti primarne i sekundarne AP-ove. Otvaranje Wi-Fi sučelja na pametnom telefonu odličan je način za brzu provjeru. Slijedi prikaz s web stranice konfiguracije Wi-Fi telefona Android telefona:

Ne možemo se povezati s sekundarnim AP-om još samo zato što trebamo napraviti još nekoliko promjena usmjerivaču, ali uvijek je lijepo vidjeti ih na popisu.

Sljedeći korak je početak procesa razdvajanja SSID-ova na mreži dodjeljivanjem jedinstvenog raspona IP adresa gostujućim Wi-Fi uređajima.

Idite na Postavke -> Umrežavanje. U odjeljku "Bridging" kliknite gumb Dodaj.

Najprije promijenite početno mjesto na "br1", ostavite ostale vrijednosti jednako. Nećete moći vidjeti unos IP / podmreže koji je već vidljiv.Kliknite "Primijeni postavke". Novi most bit će u odjeljku premošćivanje s dostupnim IP i podmrežnim sekcijama. Postavite IP adresu na jednu vrijednost izvan IP adrese vaših redovitih mreža (npr. Primarna mreža je 192.168.1.1, stoga unesite ovu vrijednost 192.168.2.1). Podesite masku podmreže na 255.255.255.0. Ponovno kliknite "Primijeni postavke" pri dnu stranice.

Dodijeli gostujuću mrežu na most

Napomena: zahvaljujući čitatelju Joelu da upozoravamo ovaj dio i dade nam upute za dodavanje u udžbenik.

U odjeljku "Dodijeli na most" kliknite "Dodaj". Odaberite novi most koji ste stvorili s prvog padajućeg izbornika i uparite ga s sučeljem "wl0.1".

Sada kliknite "Spremi" i "Primijeni postavke".

Nakon primjene izmjena, pomaknite se do dna stranice još jednom u odjeljak DHCPD. Kliknite "Dodaj". Prvo mjesto umetnite u "br1". Ostavite ostatak postavki isti (što se vidi na slici zaslona u nastavku).

Još jednom kliknite "Postavke za primanje". Kada dovršite sve zadatke na stranici Postavljanje -> Umrežavanje, trebali biste biti dobri za povezivanje i dodjelu DHCP-a.

Napomena: Ako je Wi-Fi AP koji konfigurirate za dvojne SSID-ove prilično je podržana na drugom uređaju (npr. Imate dva Wi-Fi usmjerivača u vašem domu ili uredu kako biste produžili pokrivenost i postavili SSID za gosta on je # 2 u lancu) morat ćete postaviti DHCP u odjeljku Usluge. Ako ovo zvuči kao vaše postavljanje, vrijeme je za navigaciju do odjeljka Usluge -> Usluge.

U odjeljku usluga moramo dodati malo koda u DNSMasq odjeljak tako da će usmjerivač ispravno dodijeliti dinamične IP adrese uređajima koji se povezuju s gostujućom mrežom. Pomaknite se do odjeljka DNSMasq. U okvir "Dodatne DNSMasq opcije" zalijepite sljedeći kôd (minus # komentari koji objašnjavaju funkcionalnost svake linije):

# Omogućuje DHCP na br1
sučelje = BR1
# Postavite zadani pristupnik za br1 klijente
DHCP-opcija = br1,3,192.168.2.1
# Postavite DHCP raspon i zadano vrijeme najma od 24 sata za br1 klijente
DHCP dometa = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h

Kliknite "Primijeni postavke" pri dnu stranice.

Bilo da koristite tehniku ​​jedan ili dva, pričekajte nekoliko minuta da se povežete s novim SSID-om za goste. Kada se povežete s gostom SSID-a, provjerite svoju IP adresu. Trebali biste imati IP unutar raspona navedenog gore. Opet, korisno je koristiti svoj smartphone da biste provjerili:

Sve izgleda dobro. Sekundarni AP dodjeljuje dinamičke IP adrese u odgovarajućem rasponu, možemo doći na Internet - ovdje stvaramo bilješku, veliki uspjeh.

Jedini je problem, međutim, da sekundarni AP i dalje ima pristup resursima primarne mreže. To znači da su svi umreženi pisači, mrežni dionice i takvi još uvijek vidljivi (možete ga testirati sada, pokušajte pronaći mrežni udio iz primarne mreže na sekundarnom AP-u).

Ako ti željeti gostima na sekundarnom AP-u da bi imali pristup tim stvarima (a slijede i udžbenik, tako da možete raditi i druge zadatke s dvojnim SSID-om kao što su ograničavanje propusne širine gostiju ili vremena kada im je dopušteno koristiti internet). udžbenik.

Zamislimo da većina od vas želi zadržati svoje goste da se pokreću oko vaše mreže i nježno ih stavi na pridržavanje Facebooka i e-pošte. U tom slučaju trebamo dovršiti postupak uklanjanjem sekundarne AP iz fizičke mreže.

Idite na Administrator -> Naredbe. Vidjet ćete područje označeno s "Command Shell". Zalijepite sljedeće naredbe, bez redaka komentara, u područje za uređivanje:

#Removes pristup gostu fizičkoj mreži
iptables -I PREDNJI -i br1 -o br0 -m stanje -state NEW -j DROP
iptables -I PREDNJI -i br0 -o br1 -m stanje -state NOVO -j DROP
#Removes pristup gostu u GUI / portovima konfiguracijskog usmjerivača
iptables -I INPUT -i br1 -p tcp -dport telnet -j REJECT - izbacivanje - s tcp-reset
iptables -I INPUT -i br1 -p tcp --port ssh -j REJECT - izbacivanje - s tcp-reset
iptables -I INPUT -i br1 -p tcp -dport www -j REJECT - izbacivanje - s tcp-reset
iptables -I INPUT -i br1 -p tcp - izvoz https -j REJECT - izbacivanje - s tcp-reset

Kliknite "Spremi vatrozid" i ponovno pokrenite usmjerivač.

Ova dodatna pravila vatrozida jednostavno zaustavljaju sve što je na dva mosta (privatna mreža i javna / gostna mreža) od razgovora, kao i odbacuje bilo koji kontakt između klijenta na gosta mreži i telnet, SSH ili portovi web poslužitelja na usmjerivač (čime ih ograničava da pokušaju pristupiti konfiguracijskim datotekama usmjerivača).

Riječ o korištenju naredbene ljuske i pokretanja, shutdown i firewall skripte. Prvo, IPTABLES naredbe obrađuju se redom. Promjena reda pojedinih linija može značajno promijeniti ishod. Drugo, ima desetaka desetaka usmjerivača koje podržava DD-WRT i ovisno o vašem specifičnom usmjerivaču i konfiguraciji, možda ćete trebati ugađati gore navedene naredbe IPTABLES. Skripta je funkcionirala za naš usmjerivač i koristi najšire i najjednostavnije moguće naredbe za postizanje zadatka tako da treba raditi za većinu usmjerivača. Ako to ne učinite, pozivamo vas da na DD-WRT forumu traľite svoj specifični modem usmjerivača i provjerite imaju li drugi korisnici iste probleme.

U ovom trenutku ste gotovi s konfiguracijom i spremni za uživanje dvostrukih SSID-ova i svih pogodnosti koje dolaze s njima.Možete jednostavno dati lozinku za gost (i promijeniti je prema volji), postaviti QoS pravila za gostujuću mrežu i na neki drugi način mijenjati i ograničiti gostujuću mrežu na način koji neće barem utjecati na primarnu mrežu.