3Jul
Sdílení Wi-Fi s hosty je jen zdvořilý úkol, ale to neznamená, že byste jim chtěli dát široký otevřený přístup k celé síti LAN.Přečtěte si, jak vám ukážeme, jak nastavit směrovač pro duální SSID a vytvořit pro hosty samostatný( a zabezpečený) přístupový bod.
Proč to chci dělat?
Existuje několik velmi praktických důvodů, proč chcete, aby vaše domácí síť měla přístupové body( AP).
Důvodem s nejpraktičtější aplikací pro většinu lidí je jednoduchá izolace domácí sítě, takže hosté nemají přístup k věcem, které chcete zůstat soukromé.Výchozí konfigurací pro téměř všechny domácí přístupové body / směrovače Wi-Fi je použití jediného bezdrátového přístupového bodu a všichni oprávněni k přístupu k tomuto AP mají přístup do sítě, jako by byli propojeni přímo do AP prostřednictvím sítě Ethernet.
Jinými slovy, pokud dáte svému příteli, sousedovi, domácímu hostu nebo každému heslo k vašemu AP Wi-Fi, dali jste jim také přístup k síťové tiskárně, všechny otevřené sdílené položky ve vaší síti, nezabezpečené zařízení nasíť a tak dále. Možná jste jen chtěli nechat, aby je zkontrolovali své e-maily nebo si zahráli hru online, ale dali jste jim svobodu toulky kamkoliv chtějí ve vaší vnitřní síti.
Nyní, zatímco většina z nás jistě nemají škodlivé hackery pro přátele, to neznamená, že není rozumné nastavit naše sítě tak, aby hosté zůstali tam, kam patří( na volné straně přístupu na internet plotu)a nemohou jít tam, kde nemají( na domácím serveru / osobních akcích straně plotu).
Dalším praktickým důvodem pro spuštění AP s dvěma identifikátory SSID je schopnost nejen omezit, kam může AP hostovat, ale kdy. Pokud jste například rodič, který chce omezit, jak pozdě může vaše dítě zvyknout na počítači, můžete dát svůj počítač, tablet apod. Na sekundární AP a nastavit omezení přístupu k internetu pro celý sub-SSID po, řekněme, 9PM.
Co potřebuji?
Náš tutoriál je dnes zaměřen na použití směrovače kompatibilního s DD-WRT pro dosažení dvou SSID.Jako takový budete potřebovat následující věci:
- 1 DD-WRT kompatibilní směrovač s příslušnou revizí hardwaru( ukážeme vám, jak zkontrolovat)
- 1 nainstalovaná kopie DD-WRT na uvedeném směrovači
To není jediný způsob, jaknastavte dvojí SSID pro vaši domácí síť.Budeme řídit naše SSIDs z všudypřítomného bezdrátového routeru řady Linksys WRT54G.Pokud nechcete procházet potížím s blikajícím vlastním firmwarem na starém směrovači a provádět další konfigurační kroky, můžete místo toho:
- Koupit novější směrovač, který podporuje dvojité SSIDy přímo z krabice, jako je ASUS RT-N66U.
- Nakupujte druhý bezdrátový směrovač a konfigurujte jej jako samostatný přístupový bod.
Pokud již vlastníte směrovač, který podporuje duální identifikátory SSID( v tomto případě můžete tento návod přeskočit a prostě přečíst si manuál pro vaše zařízení), obě tyto možnosti jsou méně než ideální, protože musíte vynaložit další peníze a v případě,druhé možnosti, udělejte spoustu dalších konfigurací včetně nastavení sekundárního přístupového bodu, aby nedošlo k rušení a / nebo překrytí s vaším primárním AP.
Ve světle všech toho jsme byli rádi, že používáme hardware, který jsme již měli( bezdrátový směrovač řady Linksys WRT54G) a přeskočili výdaje na hotovost a další vylepšení sítí Wi-Fi.
Jak zjistím, že je můj směrovač kompatibilní?
Existují dva kritické prvky kompatibility, které musíte zkontrolovat, abyste měli úspěch v tomto výukovém programu. První a nejzákladnější je zkontrolovat, zda má váš konkrétní směrovač podporu DD-WRT.Zde můžete zkontrolovat databázi směrovačů WDT wiki.
Jakmile zjistíte, že váš směrovač je kompatibilní s DD-WRT, musíme zkontrolovat číslo revize čipu vašeho směrovače. Máte-li například opravdu starý router Linksys, může to být směrodatný servisní směrovač ve všech směrech, ale čip nemusí podporovat duální identifikátory SSID( což je zásadně nekompatibilní s výukovým programem).
Existují dva stupně kompatibility s ohledem na číslo revize routeru. Některé směrovače mohou dělat více identifikátorů SSID, ale nemohou rozdělit identifikátory SSID do zcela jednoznačných přístupových bodů( např. Jedinečná MAC adresa pro každý identifikátor SSID).V některých situacích to může způsobit problémy s některými zařízeními Wi-Fi, jelikož se zmiňují o tom, který SSID( protože oba mají stejnou MAC adresu), kterou by měli používat. Bohužel neexistuje způsob, jak předvídat, která zařízení se budou chovat v síti, takže nemůžeme doporučit, abyste se vyhnuli technice popsané v tomto tutoriálu, pokud zjistíte, že máte zařízení, které nepodporuje diskrétní identifikátory SSID.
Číslo revize můžete zkontrolovat provedením vyhledání konkrétního modelu směrovače na Googlu spolu s číslem verze vytištěným na informačním štítku( obvykle najdete na spodní straně směrovače), ale našli jsme tuto techniku nespolehlivou( štítky mohou být nesprávně použity, informace zveřejněné online o modelu a datu výroby mohou být nepřesné atd.)
Nejspolehlivějším způsobem, jak zkontrolovat číslo revize čipu ve vašem routeru, je skutečně otestovat směrovač.K tomu je třeba provést následující kroky. Otevřete klienta telnet( buď víceúčelový program jako PuTTY nebo základní příkaz Windows Telnet) a telnet na adresu IP vašeho směrovače( např. 192.168.1.1).Přihlaste se do směrovače pomocí přihlašovacího jména a hesla správce( uvědomte si, že u některých směrovačů, i když zadáte "admin" a "mypassword" pro přihlášení k webovému portálu pro správu routeru, budete možná muset zadat "root"A" mypassword "pro přihlášení přes telnet).
Jakmile jste přihlášeni do routeru, zadejte na příkaz výzvu následující příkaz:
nvram show | grep corerev
Vrátí číslo revize jádra čipu ve vašem směrovači v následujícím formátu:
wl0_corerev = 9
wl_corerev =
Výše uvedený výstup znamená, že náš směrovač má jedno rádio( wl0, neexistuje wl1) a že hlavní revize tohoto rádiového čipu je 9. Jak interpretujete výstup?Číslo revize ve vztahu k našemu průvodci znamená následující:
- 0-4 Směrovač nepodporuje více identifikátorů SSID( s jedinečnými identifikátory nebo jinak)
- 5-8 Směrovač podporuje více SSID( ale ne s jedinečnými identifikátory)
- 9+ Směrovač podporuje více identifikátorů SSID( s jedinečnými identifikátory)
Jak vidíte z našeho výše uvedeného příkazu příkazu, vyhráli jsme.Čip našeho směrovače je nejnižší verze, která podporuje více identifikátorů SSID s jedinečnými identifikátory.
Jakmile zjistíte, že váš směrovač podporuje více SSID, musíte nainstalovat DD-WRT.Pokud je váš směrovač dodán s DD-WRT nebo jste jej již nainstalovali, je to fantastické.Pokud jste dosud nenainstalovali, doporučujeme stahovat příslušnou verzi z webových stránek DD-WRT a postupovat společně s naším výukovým programem: Otočte svůj domácí směrovač do super-Powered routeru s DD-WRT.
Kromě našeho tutoriálu nemůžeme zdůrazňovat hodnotu rozsáhlého a skvěle udržovaného wiki DD-WRT.Přečtěte si svůj konkrétní směrovač a doporučené postupy pro blikající nový firmware tam.
Konfigurace protokolu DD-WRT pro více identifikátorů SSID
Máte kompatibilní směrovač, do něj jste zapnuli DD-WRT, nyní je čas začít s nastavením druhého SSID.Stejně jako byste měli vždy blikat nový firmware přes kabelové připojení, důrazně doporučujeme pracovat na bezdrátovém připojení prostřednictvím kabelového připojení, takže změny nenutí váš bezdrátový počítač ze sítě.
Otevřete webový prohlížeč v počítači připojeném k routeru přes Ethernet. Přejděte na výchozí IP směrovače( typicky 198.168.1.1).V rozhraní DD-WRT přejděte na položku Bezdrátové připojení - & gt;Základní nastavení( jak je vidět na snímku obrazovky výše).Vidíte, že náš stávající Wi-Fi AP má SSID "HTG_Office".
V dolní části stránky v sekci "Virtuální rozhraní" klikněte na tlačítko Přidat. Předtím prázdná část "Virtuální rozhraní" se rozbalí s touto předpopulovanou položkou:
Toto virtuální rozhraní je připojeno k vašemu existujícímu rádiovému čipu( všimněte si wl0.1 v názvu nové položky).Dokonce i zkratka v SSID to označila, "vap" na konci výchozí SSID znamená virtuální přístupový bod. Zrušte zbytek záznamů pod novým virtuálním rozhraním.
SSID můžete přejmenovat na co chcete. V souladu s našimi stávajícími názvovými konvencemi( a ulehčujeme život našim hostům) změníme SSID z výchozího nastavení na "HTG_Guest" - přejděte na náš hlavní Wi-Fi AP je "HTG_Office".
Povolit povoleno bezdrátové vysílání SSID.Nejen, že mnoho starších počítačů a zařízení s podporou Wi-Fi nehraje velmi hezké s tajnými SSID, ale skrytá síť hostů není příliš příjemná / užitečná hostující síť.
AP Izolace je nastavení zabezpečení, které necháme podle vašeho uvážení povolit nebo zakázat. Pokud povolíte AP Izolace, každý klient vaší sítě Wi-Fi hosta bude zcela navzájem izolován. Z bezpečnostního hlediska je to skvělé, protože zabraňuje uživateli se zlými úmysly, aby se pokoušeli o klienty ostatních uživatelů.To je spíše zájem o firemní sítě a veřejné hotspoty. Prakticky řečeno, to také znamená, že pokud je vaše neteř a synovec u konce a chtějí hrát Wi-Fi připojenou hru na svých jednotkách Nintendo DS, jejich jednotky DS se nebudou moci navzájem vidět. Ve většině domácích i malých kancelářských aplikací není dostatečný důvod izolovat AP.
Možnost Nespojená / přemostěná v Konfiguraci sítě označuje, zda bude Wi-Fi AP přemostěn či nikoliv do fyzické sítě.Stejně jako protikladná, musíte ji nechat nastavenou na Bridged. Spíše než nechat firmware směrovače zvládnout( spíše neohrabaně) proces odpojování, budeme ručně unbridgeovat všechno sami s čistšími a stabilnějšími výsledky.
Jakmile změníte SSID a zkontrolujete nastavení, klikněte na tlačítko Uložit.
Poté přejděte na možnost Bezdrátové připojení - & gt;Zabezpečení bezdrátového připojení:
Ve výchozím nastavení neexistuje žádná bezpečnost na druhém AP.Můžete je nechat dočasně pro účely testování( nechali jsme otevřenou až do konce), abyste se ušetřili heslem na testovacích zařízeních. Nechceme nicméně doporučovat, aby to trvalo otevřelo. Ať už se rozhodnete ponechat v tomto okamžiku otevřené nebo ne, musíte klepnout na tlačítko Uložit a poté na tlačítko Použít nastavení pro změny, které jsme provedli jak v předchozí části, tak i v této části. Buďte trpěliví, může to trvat až 2 minuty, než se změny projeví.
Nyní je skvělý čas potvrdit, že nedaleké zařízení Wi-Fi mohou vidět primární i sekundární AP.Otevření rozhraní Wi-Fi na smartphonu je skvělý způsob, jak rychle zkontrolovat. Zde je náhled z naší konfigurační stránky Wi-Fi na telefonu Android:
Nemůžeme se připojit k sekundárnímu AP, přestože potřebujeme udělat další změny směrovače, ale je vždy příjemné je vidět v seznamu.
Dalším krokem je zahájení procesu oddělení SSID v síti přidělením jedinečného rozsahu adres IP hostitelským zařízením Wi-Fi.
Přejděte do nastavení - & gt;Sítě.V části "Přemostění" klikněte na tlačítko Přidat.
Nejprve změňte počáteční slot na "br1", ostatní hodnoty nechte stejné.Nebudete moci ještě vidět položku IP / Subnet. Klikněte na tlačítko Použít nastavení.Nový můstek bude v sekci Překlenutí s dostupnými oddíly IP a Subnet. Nastavte IP adresu na jednu hodnotu mimo IP vaší běžné sítě( např. Hlavní síť je 192.168.1.1, takže tuto hodnotu nastavte na 192.168.2.1).Nastavte masku podsítě na hodnotu 255.255.255.0.Klikněte na tlačítko "Použít nastavení" v dolní části stránky.
Přiřazení hostitelské sítě k mostu
Poznámka: díky čtenáři Joelovi pro upozornění na tuto část a dává nám pokyny k přidání do tutoriálu.
V části "Přiřadit k Bridge" klikněte na "Přidat".Vyberte nový most, který jste vytvořili z prvního rozbalovacího seznamu, a spárujte jej s rozhraním "wl0.1".
Nyní klikněte na tlačítko "Uložit" a "Použít nastavení".
Po provedení změn znovu přejděte do dolní části stránky do sekce DHCPD.Klikněte na tlačítko Přidat. Přepněte první slot na "br1".Zbytek nastavení nechte stejný( jak je vidět na obrázku níže).
Klepněte na tlačítko "Použít nastavení" ještě jednou. Jakmile dokončíte všechny úlohy v části Nastavení - & gt;Síťová stránka byste měli být vhodní pro připojení a přiřazení DHCP.
Poznámka: Pokud konfigurační protokol Wi-Fi AP nastavený pro duální identifikátory SSID pracuje na jiném zařízení( např. Máte dva směrovače Wi-Fi ve vašem domě nebo v kanceláři, abyste rozšířili pokrytí a ten, který nastavujete SSID hostaup je # 2 v řetězci), budete muset nastavit DHCP v sekci Služby. Pokud to zní jako vaše nastavení, je čas se dostat k službám - & gt;Sekce služeb.
V sekci služeb je třeba do oddílu DNSMasq přidat trochu kódu, aby směrovač správně přiřadil dynamické adresy IP zařízením připojeným k hostitelské síti. Posuňte dolů část DNSMasq. V poli "Další možnosti DNSMasq" vložte následující kód( mínus # komentáře vysvětlující funkce jednotlivých řádků):
# Umožňuje DHCP na br1
interface = br1
# Nastaví výchozí bránu pro klienty br1
dhcp-option =br1,3,192.168.2.1
# Nastavte rozsah DHCP a výchozí dobu pronájmu 24 hodin pro klienty br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
V dolní části klikněte na "Apply Settings"stránky.
Ať používáte jednu nebo dvě techniky, počkejte několik minut, než se připojíte k novému SSID hostu. Při připojení k SSID hostu zkontrolujte adresu IP.Měli byste mít IP v rozsahu, který jsme specifikovali výše. Opět je to šikovné pro kontrolu vašeho smartphonu:
Vše vypadá dobře. Sekundární přístupový bod přiřazuje dynamické adresy IP ve vhodném rozsahu, můžeme se dostat na internet - zde děláme poznámku, obrovský úspěch.
Jediným problémem však je, že sekundární AP stále má přístup k prostředkům primární sítě.To znamená, že všechny tiskárny v síti, síťové sdílené položky a další jsou stále viditelné( můžete je otestovat nyní, zkuste najít síťový sdílený adresář z primární sítě v sekundárním AP).
Pokud chce, aby hosté na sekundárním AP měli přístup k těmto věcem( a pokračují spolu s tutoriálem, takže můžete provádět další úkoly se dvěma SSID, jako je omezování šířky pásma hosta nebo časy, kdy je povoleno používat internet), pak"Účinně provádíte tutoriál.
Představujeme si, že většina z vás by chtěla nechat své hosty, aby se pokoušely o vaši síť a jemně je stěžovaly na Facebook a e-maily. V takovém případě musíme proces ukončit odpojením sekundárního přístupového bodu z fyzické sítě.
Přejděte do administrace - & gt;Příkazy. Zobrazí se oblast označená jako "Command Shell".Vložte následující příkazy bez editačních oblastí:
# Odstraní přístup pro hosty k fyzické síti
iptables -I FORWARD -i br1 -o br0 -m stav -state NEW -j DROP
iptables -I FORWARD-i br0 -o br1 -m stav -state NEW -j DROP
# Odstraní přístup hosta k konfiguraci směrovače
iptables -I INPUT -i br1 -p tcp -dport telnet -j REJECT -reject-s tcp-reset
iptables -I INPUT -i br1 -p tcp -dport ssh -j REJECT -reject-s tcp-reset
iptables -I INPUT -i br1 -p tcp -dport www -j REJECT -odmítnout s tcp-reset
iptables -I INPUT -i br1 -p tcp -dport https -j REJECT -reject-s tcp-reset
Klikněte na "Uložit bránu firewall" a restartujte router.
Tato dodatečná pravidla firewallu jednoduše zastaví vše, co je na obou mostních( soukromé síti a veřejné / hostované síti), a zároveň odmítá jakýkoli kontakt mezi klientem v hostitelské síti a porty telnet, SSH nebo webového serverusměrovač( čímž je omezuje pokus o přístup k konfiguračním souborům směrovače vůbec).
Slovo o používání příkazového shellu a spouštěcích, vypínacích a firewallových skriptech. Nejprve jsou příkazy IPTABLES zpracovávány v pořadí.Změna pořadí jednotlivců může značně změnit výsledek. Za druhé, DD-WRT podporuje desítky z desítek směrovačů a v závislosti na konkrétním směrovači a konfiguraci může být potřeba vylepšit příkazy IPTABLES výše. Skript pracoval pro náš směrovač a používá nejširší a nejjednodušší možné příkazy pro splnění úkolu, takže by měl pracovat pro většinu směrovačů.Pokud tomu tak není, důrazně vás vyzýváme, abyste hledali konkrétní model směrovače v diskusních fórech DD-WRT a zjistili, zda ostatní uživatelé mají stejné problémy, jaké máte.
V tomto okamžiku jste hotovi s konfigurací a jste připraveni využívat dual SSID a všechny výhody, které přicházejí s jejich spuštěním. Můžete snadno zadat heslo pro hosty( a měnit je podle vlastního uvážení), nastavit pravidla QoS pro hostující síť a jinak upravit a omezit síť hosta způsobem, který neovlivní vaši nejdůležitější síť.
