Домашня » як » Як включити гостьову точку доступу на вашій бездротовій мережі

    Як включити гостьову точку доступу на вашій бездротовій мережі

    Обмін Wi-Fi з гостями - це лише ввічлива річ, але це не означає, що ви хочете надати їм широкий доступ до всієї локальної мережі. Читайте далі, як ми покажемо вам, як налаштувати маршрутизатор для подвійних SSID і створити окрему (і захищену) точку доступу для ваших гостей.

    Чому я хочу це робити?

    Є кілька дуже практичних причин для того, щоб налаштувати домашню мережу на дві точки доступу (AP).

    Причина з найбільш практичним застосуванням для більшості людей - це просто ізоляція домашньої мережі, щоб гості не мали доступу до речей, які ви хочете залишити приватними. Стандартною конфігурацією для кожної точки доступу / маршрутизатора Wi-Fi є використання однієї точки бездротового доступу, а кожному, хто має дозвіл на доступ до AP, надається доступ до мережі, як якщо б вони були підключені безпосередньо до AP через Ethernet.

    Іншими словами, якщо ви даєте своєму другові, сусіду, гостьові будинку, або хто пароль до точки доступу Wi-Fi, ви також надавали їм доступ до мережного принтера, будь-яких відкритих спільних ресурсів у мережі, незахищених пристроїв у мережі тощо. Можливо, ви просто хотіли дозволити їм перевіряти свою електронну пошту або грати в онлайн-гру, але ви давали їм свободу переміщатися в будь-якій своїй внутрішній мережі.

    Тепер, коли більшість з нас, звичайно, не мають зловмисних хакерів для друзів, це не означає, що не варто розумно налаштовувати наші мережі так, щоб гості залишалися там, де вони належать (на вільній стороні доступу до Інтернету) і не може йти туди, де немає (на домашньому сервері / особистому боці огорожі).

    Іншою практичною причиною для запуску АР з двома SSID є можливість не тільки обмежити, де гостьова AP може піти, але і коли. Наприклад, якщо ви є батьком, який хоче обмежити, як пізно ваша дитина може залишатися на комп'ютері, ви можете помістити його комп'ютер, планшет тощо на вторинну точку доступу та встановити обмеження на доступ до Інтернету для всього підпрограми. -SID після, скажімо, 9:00.

    Що мені потрібно?

    Наш підручник сьогодні зосереджений на використанні маршрутизатора, сумісного з DD-WRT, для досягнення подвійних SSID. Як такі вам знадобляться такі речі:

    • 1 DD-WRT-сумісний маршрутизатор з відповідним переглядом обладнання (ми покажемо, як перевірити)
    • 1 встановлена ​​копія DD-WRT на згаданому маршрутизаторі

    Це не єдиний спосіб налаштування подвійних SSID для вашої домашньої мережі. Ми збираємося запустити наші SSID від повсюдного бездротового маршрутизатора Linksys WRT54G серії. Якщо ви не хочете переходити через проблему прошивання користувальницької прошивки на старому маршрутизаторі та виконувати додаткові кроки налаштування, ви можете:

    • Придбайте новий маршрутизатор, який підтримує подвійні SSID прямо з коробки, наприклад ASUS RT-N66U.
    • Придбайте другий бездротовий маршрутизатор і налаштуйте його як окрему точку доступу.

    Якщо ви вже маєте маршрутизатор, який підтримує подвійні SSID (у цьому випадку ви можете пропустити цей посібник і просто прочитати посібник для свого пристрою), обидва ці параметри не ідеальні, тому що ви повинні витрачати додаткові гроші, а в разі другий варіант, зробіть купу додаткових налаштувань, включаючи налаштування вторинної точки доступу, щоб не заважати та / або перекриватися з вашим основним AP.

    У світлі всього цього, ми були більш ніж щасливі використати апаратне забезпечення ми вже мали (Linksys WRT54G серія Бездротовий маршрутизатор) і пропускати витрати грошових коштів і додаткових Wi-Fi налаштування мережі.

    Як я знаю, що мій маршрутизатор сумісний?

    Є два важливих елемента сумісності, які потрібно перевірити, щоб мати успіх у цьому навчальному посібнику. Перший і найпростіший - перевірити, чи має ваш маршрутизатор підтримку DD-WRT. Ви можете відвідати базу даних маршрутизаторів wiki DD-WRT, щоб перевірити.

    Як тільки ви встановили, що ваш маршрутизатор сумісний з DD-WRT, ми повинні перевірити номер редакції чіпа вашого маршрутизатора. Наприклад, якщо у вас є дуже старий маршрутизатор Linksys, він може бути ідеальним і зручним маршрутизатором, але чіп може не підтримувати подвійні SSID (що робить його принципово несумісним з навчальним посібником)..

    Існує два ступені сумісності щодо номера ревізії маршрутизатора. Деякі маршрутизатори можуть виконувати декілька SSID, але вони не можуть розділити SSID на окремі абсолютно унікальні точки доступу (наприклад, унікальна MAC-адреса для кожного SSID). У деяких ситуаціях це може спричинити проблеми з деякими пристроями Wi-Fi, оскільки вони заплутуються, який саме SSID (оскільки обидва з них мають ту саму MAC-адресу), які вони повинні використовувати. На жаль, неможливо передбачити, які пристрої будуть неправильно функціонувати у вашій мережі, тому ми не можемо рекомендувати вам уникати техніки, описаної в цьому підручнику, якщо ви знайдете пристрій, який не підтримує дискретні SSID..

    Ви можете перевірити номер редакції, виконавши пошук Google для конкретної моделі маршрутизатора, а також номер версії, надрукованого на інформаційному ярлику (зазвичай знаходиться на нижній стороні маршрутизатора), але ми виявили, що цей метод ненадійний (мітки можуть бути неправильно використані, інформація, розміщена в Інтернеті щодо моделі та дати виробництва, може бути неточним і т.д.)

    Найбільш надійний спосіб перевірити номер редакції мікросхеми у вашому маршрутизаторі - це дійсно опитування маршрутизатора. Для цього потрібно виконати наступні кроки. Відкрийте клієнт telnet (або багатоцільову програму, як PuTTY або основну команду Windows Telnet) і telnet на IP-адресу вашого маршрутизатора (наприклад, 192.168.1.1). Увійдіть до маршрутизатора, використовуючи логін та пароль адміністратора (майте на увазі, що для деяких маршрутизаторів, навіть якщо ви вводите "admin" і "mypassword" для входу на веб-портал керування на маршрутизаторі, вам, можливо, доведеться ввести "root" "І" mypassword "для входу через telnet).

    Після входу в маршрутизатор введіть у команді наступну команду:

    nvram шоу | grep corerev

    Це поверне номер основної версії мікросхем у маршрутизаторі в такому форматі:

    wl0_corerev = 9
    wl_corerev =

    Що означає вищезгаданий вихід, це те, що наш маршрутизатор має один радіо (wl0, wl1 немає) і що основний перегляд цього радіо чіпа - 9. Як ви інтерпретуєте вихід? Номер перегляду, що стосується нашого посібника, означає наступне:

    • 0-4 Маршрутизатор не підтримує декілька SSID (з унікальними ідентифікаторами або іншим чином)
    • 5-8 Маршрутизатор підтримує декілька SSID (але не з унікальними ідентифікаторами)
    • Роутер підтримує кілька SSID (з унікальними ідентифікаторами)

    Як видно з нашого виводу команд вище, ми виграли. Наш чіп маршрутизатора є найнижчою версією, яка підтримує кілька SSID з унікальними ідентифікаторами.

    Після того як ви визначите, що ваш маршрутизатор може підтримувати декілька SSID, потрібно встановити DD-WRT. Якщо ваш маршрутизатор поставляється з DD-WRT або ви вже встановили його, фантастично. Якщо ви ще не інсталювали його, рекомендуємо завантажити відповідну версію з веб-сайту DD-WRT, а також ознайомитися з нашим навчальним посібником: Увімкніть ваш домашній маршрутизатор у супер-рушій з DD-WRT.

    На додаток до нашого підручника, ми не можемо підкреслити цінність великої та відмінно підтримуваної вікі DD-WRT. Прочитайте на вашому конкретному маршрутизаторі і кращі практики для прошивки нової прошивки до нього там.

    Налаштування DD-WRT для декількох SSID

    У вас є сумісний маршрутизатор, на нього спалахнув DD-WRT, тепер прийшов час розпочати налаштування цього другого SSID. Так само, як завжди слід запам'ятовувати нові прошивки через дротове підключення, ми настійно рекомендуємо працювати над бездротовим налаштуванням через дротове підключення, щоб зміни не примушували ваш комп'ютер вимкнути.

    Відкрийте веб-браузер на комп'ютері, підключеному до маршрутизатора через мережу Ethernet. Перейдіть до IP-адреси маршрутизатора за замовчуванням (зазвичай 198.168.1.1). У інтерфейсі DD-WRT перейдіть до пункту Бездротові -> Основні налаштування (як показано на скріншоті вище). Ви бачите, що наша існуюча AP Wi-Fi має SSID "HTG_Office".

    У нижній частині сторінки, у розділі «Віртуальні інтерфейси», натисніть кнопку Додати. Попередньо порожній розділ "Віртуальні інтерфейси" розширюватиметься з цим заповненим записом:

    Цей віртуальний інтерфейс переноситься на ваш існуючий радіочіп (зверніть увагу на wl0.1 у заголовку нового запису). Навіть короткий опис SSID вказує це, "vap" в кінці SSID за замовчуванням означає Virtual Point. Давайте розберемо решту записів у новому віртуальному інтерфейсі.

    Ви можете перейменувати SSID на будь-яке інше. Відповідно до існуючої угоди про найменування (і для того, щоб полегшити життя нашим гостям) ми збираємося змінити SSID від "за замовчуванням" до "HTG_Guest" - пам'ятайте, що наша головна AP Wi-Fi є "HTG_Office".

    Залишити бездротову передачу SSID включено. Багато старих комп'ютерів і пристроїв із підтримкою Wi-Fi не дуже приємно грають з секретними ідентифікаторами SSID, але прихована мережа гостей не дуже приваблива / корисна мережа гостей.

    AP Isolation - це налаштування безпеки, які ми залишимо на свій розсуд, щоб увімкнути або вимкнути. Якщо ви включите AP Isolation, кожен клієнт у вашій гостьовій мережі Wi-Fi буде повністю ізольований один від одного. З точки зору безпеки, це здорово, тому що він утримує зловмисника від ковзання по клієнтам інших користувачів. Проте, це більше стосується корпоративних мереж і громадських гарячих точок. Практично кажучи, це також означає, що якщо ваша племінниця і племінник закінчилися, і вони хочуть грати в Wi-Fi пов'язану гру на своїх підрозділах Nintendo DS, їхні одиниці DS не зможуть бачити один одного. У більшості домашніх і малих офісних програм мало підстав ізолювати точки доступу.

    Параметр Unbridged / Bridged в конфігурації мережі відноситься до того, чи буде AP Wi-Fi з'єднано з фізичною мережею. Оскільки це протилежне, потрібно залишити його встановленим у Bridged. Замість того, щоб дозволити прошивці маршрутизатора обробляти (досить незграбно) процес роз'єднання, ми збираємося вручну перекрити всі самі себе за допомогою більш чистого і стабільного результату.

    Змінивши ваш SSID і переглянувши налаштування, натисніть Зберегти.

    Далі перейдіть до пункту Wireless -> Wireless Security:

    За замовчуванням на другій АР немає захисту. Ви можете залишити його тимчасово для цілей тестування (ми залишили відкриті до самого кінця), щоб врятувати себе від введення пароля на тестових пристроях. Проте, ми не рекомендуємо залишати його постійно відкритим. Якщо ви вирішили залишити його відкритим або не на цьому етапі, потрібно натиснути кнопку Зберегти, а потім застосувати параметри для змін, які ми внесли як в попередньому розділі, так і для цього. Будьте терплячими, це може зайняти до 2 хвилин, щоб зміни набули чинності.

    Зараз настав час підтвердити, що пристрої Wi-Fi поблизу можуть бачити як первинну, так і вторинну точки доступу. Відкриття інтерфейсу Wi-Fi на смартфоні - це чудовий спосіб швидко перевірити. Нижче наведено сторінку налаштування Wi-Fi на нашому Android-телефоні:

    Ми не можемо підключитися до вторинної точки доступу лише тоді, коли нам потрібно зробити ще кілька змін до маршрутизатора, але завжди приємно бачити їх обох у списку.

    Наступним кроком буде почати процес відділення SSID в мережі, присвоївши гостьові пристрої Wi-Fi унікальний діапазон IP-адрес..

    Перейдіть до Налаштування -> Мережа. У розділі "Перехід" натисніть кнопку Додати.

    По-перше, змініть початковий слот на "br1", залиште всі інші значення. Ви ще не зможете побачити запис IP / Subnet, що бачиться вище. Натисніть "Застосувати параметри". Новий міст буде знаходитись у розділі Bridging з доступними розділами IP та Subnet. Встановіть IP-адресу на одне значення від звичайного IP-адреси мережі (наприклад, ваша основна мережа - 192.168.1.1, тому зробіть це значення 192.168.2.1). Встановіть маску підмережі на 255.255.255.0. Натисніть "Застосувати параметри" внизу сторінки знову.

    Призначення моста гостя мережі

    Примітка: завдяки читачеві Джоелю за вказівку на цю частину і надання нам інструкцій, щоб додати до навчального посібника.

    У розділі "Призначити мосту" натисніть "Додати". Виберіть новий міст, який ви створили в першому спадному меню, і об'єднайте його з інтерфейсом "wl0.1".

    Тепер натисніть "Зберегти" та "Застосувати параметри".

    Після внесення змін перейдіть до нижньої частини сторінки ще раз до розділу DHCPD. Натисніть "Додати". Перемкніть перший слот на "br1". Залиште інші параметри однаковими (як показано на скріншоті нижче).

    Натисніть кнопку "Застосувати параметри" ще раз. Після завершення всіх завдань на сторінці "Налаштування -> мережа" вам слід підготуватися до підключення та призначення DHCP.

    Примітка. Якщо AP-конфігурація Wi-Fi, яку ви налаштовуєте для подвійних ідентифікаторів SSID, підтримується на іншому пристрої (наприклад, у вас є два маршрутизатори Wi-Fi у вашому будинку або офісі, щоб розширити покриття, і той, який ви встановлюєте для SSID для гостей на 2-му ланцюжку) потрібно налаштувати DHCP у розділі Служби. Якщо це звучить як налаштування, прийшов час перейти до розділу Служби -> Послуги.

    У розділі служб нам потрібно додати трохи коду до розділу DNSMasq, щоб маршрутизатор належним чином присвоїв динамічні IP-адреси пристроям, що підключаються до гостьової мережі. Прокрутіть вниз розділ DNSMasq. У полі "Додаткові параметри DNSMasq" вставте наступний код (за винятком # коментарів, що пояснюють функціональність кожного рядка):

    # Вмикає DHCP на br1
    інтерфейс = br1
    # Встановити шлюз за замовчуванням для клієнтів br1
    dhcp-option = br1,3,192.168.2.1
    # Встановити діапазон DHCP та час оренди за замовчуванням 24 години для клієнтів br1
    dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h

    Натисніть "Застосувати параметри" внизу сторінки.

    Чи використовували ви техніку один або два, зачекайте кілька хвилин, щоб підключитися до нового SSID гостя. Підключившись до SSID гостя, перевірте IP-адресу. Ви повинні мати IP-адресу в межах, вказаних вище. Знову ж таки, це зручно використовувати смартфон для перевірки:

    Все виглядає добре. Вторинний AP призначає динамічні IP-адреси у відповідному діапазоні, ми можемо отримати в Інтернеті - ми робимо записку тут, величезний успіх.

    Єдина проблема, однак, полягає в тому, що вторинна АР має доступ до ресурсів первинної мережі. Це означає, що всі мережеві принтери, мережні папки та подібні мережеві принтери залишаються видимими (тепер можна перевірити їх, спробувати знайти спільний доступ до мережі з вашої основної мережі на вторинній AP)..

    Якщо ви хочу гості на вторинній АР матимуть доступ до цих речей (і дотримуються разом з цим підручником, щоб ви могли виконувати інші завдання з двома SSID, як обмежити пропускну здатність або час, коли їм дозволено користуватися Інтернетом). підручник.

    Нам здається, що більшість з вас хотіла б утримати ваших гостей від того, щоб тикати навколо вашої мережі і обережно притиснути їх до Facebook і електронної пошти. У цьому випадку нам потрібно завершити процес, від'єднавши вторинну АР від фізичної мережі.

    Перейдіть до Адміністрації -> Команди. Ви побачите область, позначену як "Командна оболонка". Вставте наступні команди, не вказуючи рядків коментарів у область редагування:

    #Removes гостьовий доступ до фізичної мережі
    iptables -I FORWARD -i br1 -o br0 -m стан --стандарт NEW -j DROP
    iptables -I FORWARD -i br0 -o br1 -m стан - стан NEW -j DROP
    #Removes гостьовий доступ до GUI / портів конфігурації маршрутизатора
    iptables -I INPUT -i br1 -p tcp - порт telnet -j REJECT --відділення-з tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --віддача-з tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --відділення-з tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --відділення-з tcp-reset

    Натисніть "Зберегти брандмауер" і перезавантажте маршрутизатор.

    Ці додаткові правила брандмауера просто зупиняють всі дії на двох мостах (приватна мережа та громадська / гостьова мережа) від розмови, а також відхиляють будь-який контакт між клієнтом у гостьовій мережі та портами telnet, SSH або веб-сервера. маршрутизатор (таким чином, обмежуючи їх спроби доступу до файлів конфігурації маршрутизатора взагалі).

    Слово про використання командної оболонки та сценаріїв запуску, завершення роботи та брандмауера. По-перше, команди IPTABLES обробляються в порядку. Зміна порядку індивідуальних ліній може істотно змінити результат. По-друге, існують десятки на десятки маршрутизаторів, що підтримуються DD-WRT і залежно від вашого конкретного маршрутизатора і і конфігурації, можливо, вам доведеться налаштувати IPTABLES команди вище. Сценарій працював для нашого маршрутизатора і використовує найширші та найпростіші команди для виконання завдання, тому він повинен працювати для більшості маршрутизаторів. Якщо це не так, ми наполегливо закликаємо вас шукати конкретну модель маршрутизатора в дискусійних форумах DD-WRT і перевірити, чи мають інші користувачі ті ж самі проблеми.


    На цьому етапі ви закінчите з конфігурацією і готові насолоджуватися подвійними SSID і всіма перевагами, які приходять з їх запуском. Ви можете легко видавати пароль гостя (і змінювати його за бажанням), встановлювати правила QoS для гостьової мережі та іншим чином змінювати та обмежувати гостьову мережу таким чином, що не вплине на вашу основну мережу..