Kako omogućiti pristupnu točku za goste na vašoj bežičnoj mreži
Dijeljenje vašeg Wi-Fia s gostima je samo pristojna stvar, ali to ne znači da im želite dati široki pristup cijelom LAN-u. Čitajte dalje dok vam pokazujemo kako postaviti ruter za dvostruke SSID-ove i stvoriti zasebnu (i zaštićenu) pristupnu točku za svoje goste.
Zašto to želim učiniti?
Postoji nekoliko vrlo praktičnih razloga zbog kojih želite postaviti kućnu mrežu da ima dvije pristupne točke (AP).
Razlog s najpraktičnijom aplikacijom za najveći broj ljudi je jednostavno izoliranje vaše kućne mreže tako da gosti ne mogu pristupiti stvarima koje želite ostati privatne. Zadana konfiguracija za gotovo svaku kućnu Wi-Fi pristupnu točku / usmjerivač je korištenje jedne bežične pristupne točke i svakoga tko je ovlašten za pristup tom AP-u dobiva pristup mreži kao da su spojeni izravno u AP putem Etherneta..
Drugim riječima, ako svom prijatelju, susjedu, gostu, ili ma tko zaporku za vašu Wi-Fi pristupnu točku, također ste im dali pristup mrežnom pisaču, sve otvorene dijelove na mreži, neosigurane uređaje na mreži i tako dalje. Možda ste im samo htjeli dopustiti provjeru e-pošte ili igranje igre na mreži, ali ste im dali slobodu da se kreću bilo gdje žele na internoj mreži.
Sada dok većina nas sigurno nema zlonamjernih hakera za prijatelje, to ne znači da nije pametno postaviti naše mreže tako da gosti ostaju tamo gdje im je mjesto (na besplatnoj strani ograde) i ne mogu ići gdje nemaju (na strani kućnog poslužitelja / osobne strane ograde).
Drugi praktični razlog za pokretanje AP-a s dva SSID-a je mogućnost ne samo ograničavanja mjesta na koje gost AP može ići, nego i kada. Ako ste, na primjer, roditelj koji želi ograničiti koliko dugo dijete može ostati na računalu, možete staviti njihovo računalo, tablet, itd. Na sekundarnu pristupnu točku i postaviti ograničenja pristupa internetu za cijelu sub -SID nakon, recimo, u 9 popodne.
Što trebam?
Naš je vodič danas usmjeren na korištenje DD-WRT kompatibilnog usmjerivača za postizanje dvostrukih SSID-ova. Kao takvi trebat će vam sljedeće stvari:
- 1 DD-WRT kompatibilan usmjerivač s odgovarajućom revizijom hardvera (pokazat ćemo vam kako provjeriti)
- 1 instalirana kopija DD-WRT-a na navedenom usmjerivaču
Ovo nije jedini način za postavljanje dvostrukih SSID-ova za vašu kućnu mrežu. Pokrećemo naše SSID-ove s sveprisutnog bežičnog rutera Linksys WRT54G serije. Ako ne želite prolaziti kroz gnjavažu treptanja prilagođenog firmvera na starom usmjerivaču i poduzimate dodatne korake konfiguracije, umjesto toga možete:
- Kupite noviji usmjerivač koji podržava dvostruke SSID-e izravno iz kutije, kao što je ASUS RT-N66U.
- Kupite drugi bežični usmjerivač i konfigurirajte ga kao samostalnu pristupnu točku.
Osim ako već posjedujete usmjerivač koji podržava dvostruke SSID-ove (u tom slučaju možete preskočiti ovaj vodič i jednostavno pročitati priručnik za uređaj) obje ove opcije su manje od idealne u tome što morate potrošiti dodatni novac i, u slučaju drugu opciju, napravite hrpu dodatnih podešavanja, uključujući postavljanje sekundarne AP da ne ometa i / ili preklapa se s primarnim AP.
U svjetlu svega toga, bili smo više nego zadovoljni korištenjem hardvera koji smo već imali (bežični ruter Linksys WRT54G serije) i preskočili izdatke za gotovinu i dodatno podešavanje Wi-Fi mreže.
Kako znati da je moj usmjerivač kompatibilan?
Postoje dva ključna elementa kompatibilnosti koje trebate provjeriti kako biste ostvarili uspjeh s ovim vodičem. Prvi i najjednostavniji je provjeriti ima li vaš usmjerivač podršku za DD-WRT. Ovdje možete posjetiti bazu podataka rutera za DD-WRT wiki.
Kada ustanovite da je vaš usmjerivač kompatibilan s DD-WRT-om, moramo provjeriti broj revizije čipa vašeg usmjerivača. Ako imate stvarno stari Linksys usmjerivač, na primjer, to bi mogao biti savršen uslužni usmjerivač na svaki način, ali čip možda ne podržava dvostruke SSID-ove (što ga čini fundamentalno nekompatibilnim s uputama).
Postoje dva stupnja kompatibilnosti s brojem revizije usmjerivača. Neki usmjerivači mogu raditi više SSID-ova, ali ne mogu podijeliti SSID-ove na različite apsolutno jedinstvene pristupne točke (npr. Jedinstvenu MAC adresu za svaki SSID). U nekim situacijama to može uzrokovati probleme s nekim Wi-Fi uređajima jer se oni zbunjuju o tome koji SSID (budući da oba imaju istu MAC adresu) trebaju koristiti. Nažalost, ne postoji način da se predvidi koji će se uređaji loše ponašati na vašoj mreži pa ne možemo izostaviti preporučiti da izbjegavate tehniku opisanu u ovom vodiču ako otkrijete da imate uređaj koji ne podržava diskretne SSID-ove.
Broj revizije možete provjeriti pomoću Google pretraživanja za određeni model rutera zajedno s brojem verzije ispisanom na oznaci informacije (obično se nalazi na donjoj strani usmjerivača), ali smatramo da je ova tehnika nepouzdana (oznake mogu se pogrešno primijeniti, informacije objavljene na mreži u vezi modela i datuma proizvodnje mogu biti netočne, itd.)
Najpouzdaniji način za provjeru broja revizije čipa unutar vašeg usmjerivača je zapravo anketiranje usmjerivača kako bi se saznalo. Da biste to učinili, morate izvršiti sljedeće korake. Otvorite telnet klijent (višenamjenski program kao što je PuTTY ili osnovna Windows Telnet naredba) i telnet na IP adresu vašeg usmjerivača (npr. 192.168.1.1). Prijavite se na usmjerivač pomoću administratorske prijave i lozinke (budite svjesni da za neke usmjerivače, čak i ako upišete “admin” i “mypassword” za prijavu na web-bazirani portal za upravljanje na ruteru, možda ćete morati upisati “root” "I" mypassword "za prijavu putem telneta).
Nakon što ste prijavljeni na usmjerivač, upišite sljedeću naredbu na upit:
nvram show | grep corerev
Time ćete vratiti osnovni broj revizije čipova u usmjerivaču u sljedećem formatu:
wl0_corerev = 9
wl_corerev =
Što znači gornji izlaz je da naš ruter ima jedan radio (wl0, nema wl1) i da je revizija jezgre tog radio čipa 9. Kako tumačite izlaz? Broj revizije u odnosu na naš vodič znači sljedeće:
- 0-4 Usmjerivač ne podržava više SSID-ova (s jedinstvenim identifikatorima ili na neki drugi način)
- 5-8 Usmjerivač podržava više SSID-ova (ali ne s jedinstvenim identifikatorima)
- Router podržava više SSID-ova (s jedinstvenim identifikatorima)
Kao što možete vidjeti iz našeg naredbenog izlaza, pobjegli smo. Čip našeg usmjerivača je najniža revizija koja podržava višestruke SSID-ove s jedinstvenim identifikatorima.
Kada utvrdite da vaš usmjerivač može podržati više SSID-ova, morat ćete instalirati DD-WRT. Ako je vaš usmjerivač isporučen s DD-WRT ili ste ga već instalirali, fantastično. Ako ga već niste instalirali, preporučujemo da preuzmete odgovarajuću verziju s DD-WRT web-mjesta i pratite zajedno s našim vodičem: Pretvorite svoj kućni usmjerivač u super-usmjereni ruter s DD-WRT.
Osim našeg tutoriala, ne možemo naglasiti vrijednost opsežnog i izvrsno održavanog DD-WRT wikija. Pročitajte na određenom usmjerivaču i najbolje postupke za treptanje novog firmwarea tamo.
Konfiguriranje DD-WRT za više SSID-ova
Imate kompatibilan usmjerivač, DD-WRT ste prebacili na njega, sada je vrijeme da počnete s postavljanjem tog drugog SSID-a. Baš kao što uvijek trebate bljeskati novu firmware preko žičane veze, toplo vam preporučujemo da radite na bežičnom postavljanju preko žičanog povezivanja tako da promjene ne prisiljavaju vaše bežično računalo na mrežu.
Otvorite web-preglednik na računalu koje je povezano s usmjerivačem putem Etherneta. Dođite do IP-a zadanog usmjerivača (obično 198.168.1.1). Unutar DD-WRT sučelja, idite na Wireless -> Basic Settings (kao što se vidi na slici iznad). Možete vidjeti da naš postojeći AP Wi-Fi ima SSID "HTG_Office".
Na dnu stranice, u odjeljku "Virtualna sučelja", kliknite gumb Dodaj. Prethodno prazan odjeljak "Virtualna sučelja" proširit će se s ovim unaprijed unesenim unosom:
Ovo virtualno sučelje je ugrađeno na vaš postojeći radio čip (zabilježite wl0.1 u naslovu novog unosa). Čak i skraćenica u SSID-u označava ovo, "vap" na kraju defaultnog SSID-a označava Virtual Access Point. Razdvojimo ostale unose u novom virtualnom sučelju.
Možete preimenovati SSID u ono što želite. U skladu s našom postojećom konvencijom o imenovanju (i kako bi našim gostima učinili život lakšim) promijenit ćemo SSID od zadane postavke na "HTG_Guest" - podsjetimo se da je naš glavni AP Wi-Fi "HTG_Office".
Ostavite omogućeno bežično emitiranje SSID-a. Ne samo da mnoga starija računala i uređaji s omogućenom Wi-Fi mrežom ne igraju jako lijepo s tajnim SSID-ovima, nego i skrivena mreža gostiju nije vrlo privlačna / korisna mreža gostiju.
AP Izolacija je sigurnosna postavka koju ćemo po vlastitom nahođenju ostaviti da omogućite ili onemogućite. Ako omogućite AP Izolacija, svaki klijent na vašoj gostujućoj Wi-Fi mreži bit će potpuno izoliran jedni od drugih. Sa sigurnosnog stajališta to je sjajno, jer zlonamjernog korisnika zadržava u tome da se okrene oko klijenata drugih korisnika. Međutim, to je više briga za korporativne mreže i javne vruće točke. Praktično govoreći, to također znači ako su vaša nećakinja i nećak završili i žele igrati igru povezanu s Wi-Fi vezom na svojim Nintendo DS jedinicama, a njihove jedinice DS-a neće se moći vidjeti. U većini kućnih i malih uredskih aplikacija nema razloga za izoliranje pristupnih točaka.
Opcija Unbridged / Bridged u Network Configuration odnosi se na to hoće li se Wi-Fi AP premostiti ili ne na fizičku mrežu. Kao što je to protuintuitivno, morate ga ostaviti postavljenog na premošteno. Umjesto da firmwareu usmjerivača rukuje (prilično nespretno) procesom prekidanja veze, sami ćemo ručno ukloniti most s čišćeg i stabilnijeg ishoda.
Kada promijenite svoj SSID i pregledate postavke, kliknite Spremi.
Zatim idite na Wireless -> Wireless Security:
Po zadanom nema sigurnosti na drugom AP-u. Možete ga privremeno ostaviti u svrhu testiranja (ostavili smo otvorene do samog kraja) kako bismo se spasili od unosa zaporke na testnim uređajima. Međutim, ne preporučujemo da ga trajno otvorite. Bilo da se odlučite ostaviti otvoreno ili ne u ovom trenutku, morate kliknuti Spremi, a zatim Primijeniti Postavke za promjene koje smo napravili u prethodnom odjeljku i ovu kako bi stupili na snagu. Budite strpljivi, može proći do 2 minute da bi promjene stupile na snagu.
Sada je pravo vrijeme da potvrdite da obližnji Wi-Fi uređaji mogu vidjeti primarne i sekundarne pristupne točke. Otvaranje Wi-Fi sučelja na pametnom telefonu odličan je način za brzu provjeru. Ovo je prikaz sa stranice s konfiguracijom Wi-Fi-ja telefona Androida:
Još se ne možemo povezati s sekundarnom AP-om jer trebamo napraviti još nekoliko izmjena na usmjerivaču, ali uvijek je lijepo vidjeti ih na popisu.
Sljedeći korak je započeti proces odvajanja SSID-ova na mreži dodjeljivanjem jedinstvenog raspona IP adresa gostima Wi-Fi uređaja.
Idite na Postavke -> Umrežavanje. U odjeljku "Premještanje" kliknite gumb Dodaj.
Prvo promijenite početni utor na “br1”, a ostale vrijednosti ostavite istim. Još nećete moći vidjeti unos IP / podmreže. Kliknite "Primijeni postavke". Novi most bit će u odjeljku Premošćivanje s dostupnim dijelovima IP i podmreže. Postavite IP adresu na jednu vrijednost iz uobičajene IP mreže (npr. Vaša primarna mreža je 192.168.1.1, stoga unesite tu vrijednost 192.168.2.1). Postavite masku podmreže na 255.255.255.0. Kliknite "Primijeni postavke" na dnu stranice ponovo.
Dodijelite mrežu gosta mostu
Napomena: zahvaljujući čitatelju Joelu koji je istaknuo ovaj dio i dao nam upute za dodavanje u tutorial.
U odjeljku "Dodijeli mostu" kliknite "Dodaj". Odaberite novi most koji ste izradili iz prvog padajućeg izbornika i uparite ga s sučeljem "wl0.1".
Sada kliknite "Spremi" i "Primijeni postavke".
Nakon primjene promjena, pomaknite se još jednom na dno stranice u odjeljak DHCPD. Kliknite "Dodaj". Prebacite prvo mjesto na "br1". Ostavite ostale postavke istim (kao što je prikazano na slici ispod).
Kliknite "Primijeni postavke" još jednom. Kada dovršite sve zadatke na stranici Podešavanje -> Umrežavanje, trebali biste biti spremni za povezivanje i dodjelu DHCP-a.
Napomena: ako je pristupna točka za Wi-Fi koju konfigurirate za dvostruke SSID-ove prase se prase na drugom uređaju (npr. Imate dva Wi-Fi usmjerivača u vašem domu ili uredu kako biste proširili pokrivenost i onu koju postavljate kao SSID on je # 2 u lancu) morat ćete postaviti DHCP u odjeljku Usluge. Ako ovo zvuči kao da ste postavili vrijeme je za navigaciju do odjeljka Usluge -> Usluge.
U odjeljku usluga moramo dodati malo koda u DNSMasq odjeljak tako da usmjerivač pravilno dodijeli dinamičke IP adrese uređajima koji se povezuju na mrežu gostiju. Pomaknite se prema dolje u odjeljku DNSMasq. U okviru "Dodatne opcije za DNSMasq" zalijepite sljedeći kod (minus # komentari koji objašnjavaju funkcionalnost svakog retka):
# Omogućuje DHCP na br1
sučelje = BR1
# Postavite zadani pristupnik za br1 klijente
DHCP-opcija = br1,3,192.168.2.1
# Postavite raspon DHCP-a i zadano vrijeme zakupa od 24 sata za br1 klijente
DHCP dometa = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Kliknite "Primijeni postavke" na dnu stranice.
Bilo da ste koristili tehniku jednu ili dvije, pričekajte nekoliko minuta da se povežete s novim SSID-om za goste. Kada se spojite na SSID gosta, provjerite svoju IP adresu. Trebali biste imati IP u rasponu koji smo naveli s gore navedenim. Opet, to je zgodan za korištenje pametnog telefona za provjeru:
Sve izgleda dobro. Sekundarni AP dodjeljuje dinamičke IP adrese u odgovarajućem rasponu, možemo doći na internet - ovdje stvaramo bilješku, veliki uspjeh.
Jedini problem je, međutim, da sekundarni AP još uvijek ima pristup resursima primarne mreže. To znači da su svi umreženi pisači, mrežni resursi i takvi još uvijek vidljivi (možete ga testirati sada, pokušati pronaći mrežno dijeljenje iz primarne mreže na sekundarnoj AP-u).
Ako ti željeti gosti na sekundarnom AP-u imaju pristup tim stvarima (i slijede uz vodič kako biste mogli obavljati druge zadatke s dvojnim SSID-om, kao što su ograničavanje propusnosti gosta ili vremena kojima je dopušteno koristiti internet), a zatim učinkovito radite s udžbenik.
Pretpostavljamo da bi većina vas željela zadržati svoje goste od gužvanja oko vaše mreže i nježno ih paziti da se drže Facebooka i e-pošte. U tom slučaju moramo završiti proces tako što ćemo odvojiti sekundarni AP od fizičke mreže.
Idite na Administracija -> Naredbe. Vidjet ćete područje s oznakom "Command Shell". Zalijepite sljedeće naredbe, bez retka s komentarima u područje za uređivanje:
#Remove gost pristup fizičkoj mreži
iptables -I FORWARD -i br1 -o br0 -m stanje - stanje NOVO -j DROP
iptables -I FORWARD -i br0 -o br1 -m stanje - stanje NOVO -j DROP
#Removes gost pristup GUI / portovi usmjerivača config
iptables -I INPUT -i br1 -p tcp --port telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp -dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --port www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --port https -j REJECT --reject-with tcp-reset
Kliknite "Spremi vatrozid" i ponovno pokrenite usmjerivač.
Ova dodatna pravila vatrozida jednostavno zaustavljaju sve na dva mosta (privatna mreža i javna / gostujuća mreža) iz razgovora, kao i odbacuju svaki kontakt između klijenta na mreži gostiju i portova telnet, SSH ili web poslužitelja na usmjerivača (time ih ograničava na pokušaj pristupa konfiguracijskim datotekama usmjerivača).
Riječ o korištenju naredbe ljuske i pokretanja, isključivanja i firewall skripte. Prvo, IPTABLES naredbe se obrađuju po redu. Promjena redoslijeda linija pojedinaca može značajno promijeniti ishod. Drugo, postoje deseci na desetke usmjerivača koje podržava DD-WRT i ovisno o vašem specifičnom usmjerivaču i konfiguraciji, možda ćete morati podesiti gore navedene IPTABLES naredbe. Skripta je radila za naš usmjerivač i koristi najšire i najjednostavnije naredbe za izvršavanje zadatka, tako da bi trebala raditi za većinu usmjerivača. Ako se to ne dogodi, potičemo vas da potražite određeni model usmjerivača u forumima za DD-WRT i provjerite jesu li drugi korisnici iskusili iste probleme.
U ovom trenutku ste završili s konfiguracijom i spremni ste za uživanje u dvostrukim SSID-ovima i svim prednostima koje dolaze s njihovim pokretanjem. Lako možete izdati gostujuću zaporku (i promijeniti je po želji), postaviti QoS pravila za gostujuću mrežu i na drugi način izmijeniti i ograničiti mrežu gostiju na način koji ne utječe na vašu primarnu mrežu..