Kā iespējot viesu piekļuves punktu bezvadu tīklā
Wi-Fi koplietošana ar viesiem ir tikai pieklājīga lieta, bet tas nenozīmē, ka vēlaties dot viņiem plašu piekļuvi visam jūsu LAN. Lasiet, kā parādīsim, kā iestatīt maršrutētāju divkāršiem SSID un izveidot saviem viesiem atsevišķu (un drošu) piekļuves punktu.
Kāpēc es gribu to darīt?
Ir vairāki ļoti praktiski iemesli, kāpēc vēlaties izveidot savu mājas tīklu, lai tajā būtu divi piekļuves punkti (AP).
Iemesls ar vispraktiskāko pielietojumu vairumam cilvēku ir vienkārši izolēt jūsu mājas tīklu, lai viesi nevarētu piekļūt lietām, kuras vēlaties palikt privātas. Gandrīz katras mājas Wi-Fi piekļuves punkta / maršrutētāja noklusējuma konfigurācija ir izmantot vienu bezvadu piekļuves punktu un ikvienu, kam ir atļauts piekļūt šim AP, piekļūt tīklam, it kā tie būtu pieslēgti tieši AP, izmantojot Ethernet.
Citiem vārdiem sakot, ja dodat draugam, kaimiņam, mājas viesim vai kurš jūsu Wi-Fi AP parole, esat arī piešķīris tiem piekļuvi jūsu tīkla printerim, jebkurām atvērtām tīkla daļām, nenodrošinātām ierīcēm tīklā utt. Iespējams, jūs vienkārši gribējāt ļaut viņiem pārbaudīt savu e-pastu vai spēlēt spēli tiešsaistē, bet jūs esat devis viņiem brīvību viesoties jebkurā vietā, ko viņi vēlas savā iekšējā tīklā.
Tagad, kamēr lielākā daļa no mums, protams, nav ļaunprātīgu hackers draugiem, tas nenozīmē, ka nav saprātīgi izveidot mūsu tīklus, lai viesi paliktu tur, kur tie pieder (bezmaksas interneta piekļuves pusē no žoga) un nevar aiziet, kur viņi to nedara (mājas servera / personīgās akcijas pusē).
Vēl viens praktisks iemesls, kāpēc AP var darbināt ar diviem SSID, ir spēja ne tikai ierobežot, kur viesa AP var doties, bet kad. Ja jūs esat vecāks, piemēram, kas vēlas ierobežot, cik vēlu jūsu bērns var palikt uz datora, jūs varat ievietot savu datoru, planšetdatoru utt. Uz sekundāro AP un noteikt ierobežojumus interneta piekļuvei visā apakšgrupā -SSID pēc, teiksim, 9:00.
Kas man ir nepieciešams?
Mūsu apmācība šodien ir vērsta uz DD-WRT saderīga maršrutētāja izmantošanu, lai sasniegtu divējādus SSID. Tāpēc jums būs nepieciešamas šādas lietas:
- 1 DD-WRT saderīgs maršrutētājs ar atbilstošu aparatūras pārskatīšanu (mēs jums parādīsim, kā pārbaudīt)
- 1 uzstādīta DD-WRT kopija uz minētā maršrutētāja
Tas nav vienīgais veids, kā iestatīt divējādus SSID jūsu mājas tīklam. Mēs darbosimies ar mūsu SSIDs no visuresošās Linksys WRT54G sērijas bezvadu maršrutētāja. Ja nevēlaties iet cauri problēmu, kad vecajā maršrutētājam mirgo pielāgotā programmaparatūra un veicat papildu konfigurācijas soļus, varat:
- Iegādājieties jaunāku maršrutētāju, kas atbalsta divējādus SSID, tieši no kastes, piemēram, ASUS RT-N66U.
- Iegādājieties otru bezvadu maršrutētāju un konfigurējiet to kā atsevišķu piekļuves punktu.
Ja vien jums jau nav maršrutētāja, kas atbalsta divējādus SSID (tādā gadījumā jūs varat izlaist šo pamācību un vienkārši izlasīt ierīces rokasgrāmatu), abas šīs iespējas ir mazākas par ideālu, jo jums ir jāpavada papildu nauda un, ja otrā opcija, veiciet papildu konfigurācijas ķekaru, ieskaitot sekundāro AP iestatīšanu, lai netraucētu un / vai pārklātu savu primāro AP.
Ņemot vērā visu iepriekš minēto, mēs labprāt izmantojām aparatūru, kas mums jau bija (Linksys WRT54G sērijas bezvadu maršrutētājs), un izlaist naudas un papildu Wi-Fi tīkla izdevumus..
Kā es varu zināt, vai mans maršrutētājs ir saderīgs?
Lai pārbaudītu, vai šī apmācība ir veiksmīga, ir divi svarīgi saderības elementi. Pirmais, un vissvarīgākais, ir pārbaudīt, vai jūsu konkrētajam maršrutētājam ir DD-WRT atbalsts. Lai pārbaudītu, varat apmeklēt DD-WRT wiki maršrutētāju datubāzi.
Kad esat konstatējis, ka jūsu maršrutētājs ir saderīgs ar DD-WRT, mums ir jāpārbauda maršrutētāja mikroshēmas versijas numurs. Ja, piemēram, jums ir patiešām vecs Linksys maršrutētājs, tas var būt pilnveidojams izmantojams maršrutētājs, taču mikroshēma var neatbalstīt divējādus SSID (kas padara to par nesaderīgu ar pamācību).
Attiecībā uz maršrutētāja versijas numuru ir divas saderības pakāpes. Daži maršrutētāji var veikt vairākus SSID, bet tie nevar sadalīt SSID atšķirīgos pilnīgi unikālos piekļuves punktos (piemēram, unikāla MAC adrese katrai SSID). Dažās situācijās tas var radīt problēmas ar dažām Wi-Fi ierīcēm, jo tās tiek sajauktas par to, kādam SSID (jo abām tām ir viena un tā pati MAC adrese) tās jāizmanto. Diemžēl nav iespējams paredzēt, kuras ierīces nepareizi darbosies jūsu tīklā, tāpēc mēs nevaram apturēt ieteikumu izvairīties no šajā pamācībā aprakstītās metodes, ja jums ir ierīce, kas neatbalsta diskrētus SSID.
Jūs varat pārbaudīt versijas numuru, veicot Google meklēšanu konkrētajam maršrutētāja modelim kopā ar versijas numuru, kas uzdrukāts uz informācijas etiķetes (parasti atrodams maršrutētāja apakšpusē), bet mēs esam atklājuši, ka šī metode nav uzticama (etiķetes var tikt nepareizi piemērota, informācija, kas publicēta tiešsaistē par modeli un izgatavošanas datumu, var būt neprecīza utt.)
Visdrošākais veids, kā pārbaudīt mikroshēmas versijas numuru jūsu maršrutētāja iekšienē, ir faktiski apzināt maršrutētāju, lai uzzinātu. Lai to izdarītu, jums ir jāveic šādas darbības. Atveriet telnetu klientu (vai nu daudzfunkcionālu programmu, piemēram, PuTTY vai pamata Windows Telnet komandu), un telnetu uz sava maršrutētāja IP adresi (piem., 192.168.1.1). Piesakieties maršrutētājam, izmantojot administratora pieteikumvārdu un paroli (ņemiet vērā, ka dažiem maršrutētājiem, pat ja ievadāt “admin” un “mypassword”, lai pieteiktos uz tīmekļa pārvaldības portālu maršrutētājam, iespējams, būs jāievada “root” "Un" mypassword ", lai pieteiktos caur telnet).
Kad esat pieteicies maršrutētājā, uzvednē ievadiet šādu komandu:
nvram šovs |
Tas atgriezīs čipu (-u) galveno versijas numuru maršrutētājam šādā formātā:
wl0_corerev = 9
wl_corerev =
Kāds ir iepriekšminētais rezultāts ir tas, ka mūsu maršrutētājam ir viens radio (wl0, nav wl1) un ka šīs radio mikroshēmas galvenā pārskatīšana ir 9. Kā jūs interpretējat izeju? Pārskatīšanas numurs saistībā ar mūsu rokasgrāmatu nozīmē:
- 0-4 Maršrutētājs neatbalsta vairākus SSID (ar unikāliem identifikatoriem vai citādi)
- 5-8 Maršrutētājs atbalsta vairākus SSID (bet ne ar unikāliem identifikatoriem)
- 9+ Maršrutētājs atbalsta vairākus SSID (ar unikāliem identifikatoriem)
Kā jūs varat redzēt no mūsu komandas izejas, mēs lucked out. Mūsu maršrutētāja mikroshēma ir zemākā versija, kas atbalsta vairākus SSID ar unikāliem identifikatoriem.
Kad esat noteicis, ka jūsu maršrutētājs var atbalstīt vairākus SSID, jums jāinstalē DD-WRT. Ja jūsu maršrutētājs ir piegādāts kopā ar DD-WRT vai jau esat to uzstādījis, tas ir fantastisks. Ja to vēl neesat instalējuši, iesakām lejupielādēt atbilstošo versiju no DD-WRT tīmekļa vietnes un sekot līdzi mūsu apmācībai: Pārvērtiet savu mājas maršrutētāju Super-Powered Router ar DD-WRT.
Papildus mūsu apmācībai mēs nevaram uzsvērt plašo un lieliski uzturēto DD-WRT wiki vērtību. Izlasiet savu konkrēto maršrutētāju un labākās prakses piemērus tam, lai tajā tiktu mirgots jauns programmaparatūra.
DD-WRT konfigurēšana vairākiem SSID
Jums ir savietojams maršrutētājs, ar to esat izgaismojis DD-WRT, tagad ir pienācis laiks sākt iestatīt šo otro SSID. Tāpat kā jums vienmēr būtu jāiespiež jauni programmaparatūras pakalpojumi, izmantojot vadu savienojumu, mēs iesakām strādāt ar bezvadu savienojumu, izmantojot vadu savienojumu, lai izmaiņas neizspiestu bezvadu datoru no tīkla.
Atveriet tīmekļa pārlūkprogrammu datorā, kas savienots ar maršrutētāju, izmantojot Ethernet. Virzieties uz noklusējuma maršrutētāja IP (parasti 198.168.1.1). DD-WRT interfeisā dodieties uz Wireless -> Basic Settings (kā redzams iepriekšējā attēlā). Jūs varat redzēt, ka mūsu esošajam Wi-Fi AP ir SSID “HTG_Office”.
Lapas apakšdaļā sadaļā “Virtuālās saskarnes” noklikšķiniet uz pogas Pievienot. Iepriekš šī tukšā „Virtuālās saskarnes” sadaļa tiks paplašināta ar šo iepriekš izvērsto ierakstu:
Šī virtuālā interfeiss tiek ielādēts jūsu esošajā radio mikroshēmā (atzīmējiet wl0.1 jaunā ieraksta nosaukumā). Pat tas nozīmē, ka SSID norādīja, ka “SP” pēc noklusējuma SSID apzīmē virtuālo piekļuves punktu. Sadalīsim pārējos ierakstus jaunajā virtuālajā saskarnē.
Jūs varat pārdēvēt SSID visu, ko vēlaties. Atbilstoši mūsu pašreizējai nosaukuma konvencijai (un lai padarītu mūsu viesus vieglākus) mēs mainīsim SSID no noklusējuma uz “HTG_Guest” - atcerieties, ka mūsu galvenais Wi-Fi AP ir “HTG_Office”.
Atstājiet iespējotu bezvadu SSID apraidi. Ne tikai daudzi vecāki datori, bet arī Wi-Fi iespējotas ierīces netiek atskaņoti ļoti jauki ar slepeniem SSID, bet slēpts viesu tīkls nav ļoti aicinošs / noderīgs viesu tīkls.
AP izolācija ir drošības iestatījums, kuru mēs atstāsim pēc jūsu izvēles, lai iespējotu vai atspējotu. Ja iespējosit AP izolāciju, katrs jūsu viesa Wi-Fi tīkla klients būs pilnīgi izolēts viens no otra. No drošības viedokļa tas ir lieliski, jo tas ļaunprātīgu lietotāju attur no citu lietotāju klientiem. Tomēr tas vairāk attiecas uz korporatīvajiem tīkliem un publiskajiem karstajiem punktiem. Praktiski tas nozīmē arī to, ka jūsu brāļameita un brāļadēls ir beidzies un viņi vēlas spēlēt Wi-Fi saistītu spēli savās Nintendo DS vienībās, to DS vienības nevarēs redzēt viens otru. Lielākajā daļā mājas un mazo biroju lietojumu ir maz iemesla, lai izolētu AP.
Tīkla konfigurācijas opcija Bez ierobežojuma / Pārslēgts attiecas uz to, vai Wi-Fi AP būs vai nav savienots ar fizisko tīklu. Tā kā tas ir pretpasākums, tas ir jāatstāj uz Bridged. Tā vietā, lai ļautu maršrutētāja programmaparatūrai rīkoties (drīzāk neveikli) atvienošanas procesam, mēs ar rokām atcelsim visu sevi ar tīrāku un stabilāku rezultātu.
Kad esat mainījis savu SSID un pārskatījis iestatījumus, noklikšķiniet uz Saglabāt.
Tālāk pāriet uz Wireless -> Wireless Security:
Pēc noklusējuma otrā AP nav drošības. Jūs to varat uz laiku atstāt testēšanas nolūkos (mēs esam palikuši atvērti līdz pat beigām), lai saglabātu sevi, ievadot paroli testa ierīcēs. Tomēr mēs neiesakām to neatgriezeniski atvērt. Neatkarīgi no tā, vai izvēlaties atstāt to atvērtu vai nē, jums ir jānoklikšķina uz Saglabāt un pēc tam jāpielieto iestatījumi, lai veiktu izmaiņas, kas tika veiktas gan iepriekšējā sadaļā, gan šajā, lai tas stātos spēkā. Esiet pacietīgi, lai izmaiņas stātos spēkā, var paiet 2 minūtes.
Tagad ir īstais laiks apstiprināt, ka tuvumā esošās Wi-Fi ierīces var redzēt gan primāro, gan sekundāro AP. Wi-Fi interfeisa atvēršana viedtālrunī ir lielisks veids, kā ātri pārbaudīt. Lūk, skatiet mūsu Android tālruņa Wi-Fi konfigurācijas lapu:
Mēs vēl nevaram izveidot savienojumu ar sekundāro AP, jo mums ir jāveic vēl dažas izmaiņas maršrutētājam, bet vienmēr ir patīkami tos redzēt abos sarakstos..
Nākamais solis ir sākt SSID atdalīšanu tīklā, piešķirot unikālu IP adrešu klāstu viesu Wi-Fi ierīcēm.
Virzieties uz Iestatīšana -> Tīklošana. Sadaļā “Bridging” noklikšķiniet uz pogas Pievienot.
Pirmkārt, nomainiet sākotnējo slotu uz “br1”, atstājiet pārējās vērtības vienādas. Jūs vēl nevarēsiet redzēt iepriekš redzamo IP / apakštīkla ierakstu. Noklikšķiniet uz “Apply Settings”. Jaunais tilts būs sadaļā Pārslēgšana ar pieejamajām IP un apakštīkla sadaļām. Iestatiet IP adresi vienai vērtībai no jūsu parastā tīkla IP (piem., Jūsu primārais tīkls ir 192.168.1.1, lai padarītu šo vērtību 192.168.2.1). Iestatiet apakštīkla maska uz 255.255.255.0. Vēlreiz lapas apakšdaļā noklikšķiniet uz “Lietot iestatījumus”.
Piešķirt viesu tīklam tiltu
Piezīme: pateicoties lasītājam Joel par norādīto šo daļu un sniedzot mums norādījumus, lai pievienotu šo pamācību.
Sadaļā “Piešķirt tiltam” noklikšķiniet uz “Pievienot”. Atlasiet jauno tiltu, kuru esat izveidojis no pirmā nolaižamā saraksta, un savienojiet to ar “wl0.1” saskarni.
Tagad noklikšķiniet uz "Saglabāt" un "Lietot iestatījumus".
Pēc izmaiņu piemērošanas ritiniet līdz lapas apakšai vēlreiz uz DHCPD sadaļu. Noklikšķiniet uz Pievienot. Pārslēdziet pirmo slotu uz “br1”. Atstājiet pārējos iestatījumus vienādi (kā redzams zemāk redzamajā ekrānuzņēmumā).
Vēlreiz noklikšķiniet uz “Pielietot iestatījumus”. Kad esat pabeidzis visus uzdevumus, kas norādīti lapā Iestatīšana -> Tīklošana, jums vajadzētu būt labi, lai varētu piekļūt savienojumam un DHCP piešķiršanai.
Piezīme. Ja Wi-Fi AP, ko konfigurējat divējādiem SSID, ir cūciņa, kas atrodas citā ierīcē (piem., Jums ir divi Wi-Fi maršrutētāji jūsu mājās vai birojā, lai paplašinātu savu pārklājumu un iestatītu viesa SSID ir # 2 ķēdē), jums būs jāizveido DHCP sadaļā Pakalpojumi. Ja tas izklausās kā jūsu iestatījums, ir laiks doties uz sadaļu Pakalpojumi -> Pakalpojumi.
Pakalpojumu sadaļā DNSMasq sadaļai ir jāpievieno nedaudz koda, lai maršrutētājs pareizi piešķirtu dinamiskās IP adreses ierīcēm, kas savienojas ar viesu tīklu. Ritiniet lejup DNSMasq sadaļu. Lodziņā “Papildu DNSMasq opcijas” ielīmējiet šādu kodu (atskaitot # komentārus, kas izskaidro katras rindas funkcionalitāti):
# Iespējo DHCP uz br1
interfeiss = br1
# Iestatiet noklusējuma vārteju br1 klientiem
dhcp-option = br1,3,192.168.2.1
# Iestatiet DHCP diapazonu un noklusējuma nomas laiku 24 stundām br1 klientiem
dhcp diapazons = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Lapas apakšdaļā noklikšķiniet uz “Lietot iestatījumus”.
Vai esat izmantojis vienu vai divas metodes, pagaidiet dažas minūtes, lai izveidotu savienojumu ar jauno viesa SSID. Kad izveidojat savienojumu ar viesu SSID, pārbaudiet savu IP adresi. Jums vajadzētu būt IP robežās, kas norādītas ar iepriekš minēto. Atkal ir ērti izmantot viedtālruni, lai pārbaudītu:
Viss izskatās labi. Sekundārā AP piešķir dinamisku IP atbilstošā diapazonā, mēs varam nokļūt internetā - mēs šeit rakstām, milzīgus panākumus.
Tomēr vienīgā problēma ir tā, ka sekundārajam AP joprojām ir piekļuve primārā tīkla resursiem. Tas nozīmē, ka visi tīkla printeri, tīkla daļas un tādi joprojām ir redzami (jūs varat to pārbaudīt tagad, mēģiniet atrast tīkla daļu no primārā tīkla sekundārajā AP).
Ja jūs vēlaties viesi sekundārajā AP var piekļūt šīm lietām (un seko līdzi apmācībai, lai jūs varētu darīt citus divējāda SSID uzdevumus, piemēram, ierobežot viesu joslas platumu vai laikus, kad viņiem ir atļauts izmantot internetu), tad jūs esat efektīvi paveicis apmācība.
Mēs iedomājamies, ka lielākā daļa no jums vēlētos, lai jūsu viesi netiktu apietu jūsu tīklā, un uzmanīgi sakopojiet tos uz Facebook un e-pastu. Tādā gadījumā mums ir jāpabeidz process, atvienojot sekundāro AP no fiziskā tīkla.
Virzieties uz Administrācija -> Komandas. Jūs redzēsiet apgabalu ar nosaukumu “Command Shell”. Ievietojiet tālāk norādītās komandas, sean # komentāru rindas rediģējamā apgabalā:
#Noņem viesa piekļuvi fiziskajam tīklam
iptables -I FORWARD -i br1 -o br0 -m stāvoklis - valsts NEW-j DROP
iptables -I FORWARD -i br0 -o br1 -m stāvoklis - valsts NEW-j DROP
#Noņem viesa piekļuvi maršrutētāja konfigurācijas GUI / ostām
iptables -I INPUT -i br1 -p tcp --datu telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp - dats ssh -j REJECT -reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp - dots www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp - ports https -j REJECT --reject-with tcp-reset
Noklikšķiniet uz “Saglabāt ugunsmūri” un restartējiet maršrutētāju.
Šie papildu ugunsmūra noteikumi vienkārši aptur visus abus tiltus (privāto tīklu un publisko / viesu tīklu), lai runātu, kā arī noraidītu jebkādu kontaktu starp klientu viesa tīklā un telnet, SSH vai tīmekļa servera portiem uz maršrutētājs (tādējādi ierobežojot to mēģināšanu piekļūt maršrutētāja konfigurācijas failiem).
Vārds par komandas apvalka un startēšanas, izslēgšanas un ugunsmūra skriptu izmantošanu. Pirmkārt, IPTABLES komandas tiek apstrādātas kārtībā. Personu rindu secības maiņa var būtiski mainīt rezultātu. Otrkārt, ir vairāki desmiti maršrutētāju, kurus atbalsta DD-WRT, un atkarībā no jūsu konkrētā maršrutētāja un konfigurācijas, iespējams, būs jālikvidē iepriekš minētās IPTABLES komandas. Skripts strādāja mūsu maršrutētājam, un tas izmanto plašākos un vienkāršākos iespējamos uzdevumus, lai izpildītu uzdevumu, lai tas darbotos lielākajā daļā maršrutētāju. Ja tā nenotiek, mēs noteikti aicinām jūs meklēt savu konkrēto maršrutētāja modeli DD-WRT diskusiju forumos un redzēt, vai citi lietotāji ir piedzīvojuši tādus pašus jautājumus kā.
Šajā brīdī jūs esat pabeidzis konfigurāciju un esat gatavi baudīt divējādus SSID un visas priekšrocības, kas saistītas ar to darbību. Jūs varat viegli piešķirt viesa paroli (un mainīt to pēc vēlēšanās), iestatīt QoS noteikumus viesu tīklam un citādi mainīt un ierobežot viesu tīklu tādā veidā, kas neietekmēs jūsu primāro tīklu vismazāk.