Kako omogočiti gostujočo dostopno točko na vašem brezžičnem omrežju
Skupna raba Wi-Fi-ja z gosti je vljudna stvar, vendar to ne pomeni, da jim želite omogočiti širok dostop do celotnega omrežja LAN. Preberite, kako vam lahko nastavimo usmerjevalnik za dvojne SSID in ustvarite ločeno (in zaščiteno) dostopno točko za svoje goste.
Zakaj želim to storiti??
Obstaja več zelo praktičnih razlogov za željo, da bi domače omrežje nastavili na dve dostopni točki (AP).
Razlog za najbolj praktično uporabo za največ ljudi je preprosto izoliranje vašega domačega omrežja, tako da gostje ne morejo dostopati do stvari, ki jih želite ostati zasebne. Privzeta konfiguracija za skoraj vsako domačo Wi-Fi dostopno točko / usmerjevalnik je uporaba ene brezžične dostopne točke in vsakogar, ki je pooblaščen za dostop do te AP, dostop do omrežja, kot če bi bili priključeni neposredno v AP prek Etherneta..
Z drugimi besedami, če podarite prijatelja, soseda, gostujočega gosta ali kdorkoli geslo za dostopno točko Wi-Fi, prav tako ste jim omogočili dostop do omrežnega tiskalnika, odprtih delnic v omrežju, nezavarovanih naprav v omrežju itd. Morda ste jim samo želeli dovoliti, da preverijo svojo e-pošto ali igrajo igro na spletu, vendar ste jim dali svobodo, da se gibljejo kjer koli želijo v vašem notranjem omrežju..
Zdaj, ko večina od nas zagotovo nima zlonamernih hekerjev za prijatelje, to ne pomeni, da ni pametno vzpostaviti naših omrežij, tako da gostje ostanejo tam, kjer pripadajo (na prostem dostopu do interneta na ograji) in ne morejo iti, kjer ne (na strani domačega strežnika / osebne strani delnice ograje).
Še en praktičen razlog za zagon AP z dvema SSID je zmožnost, da ne omejuje le, kam lahko gostujoča AP odide, ampak kdaj. Če ste na primer eden od staršev, ki želi omejiti, kako lahko vaš otrok ostane navzven v računalniku, lahko postavite njihov računalnik, tablični računalnik itd. Na sekundarno AP in nastavite omejitve dostopa do interneta za celotno podmeni. -SID po, recimo, 9:00.
Kaj potrebujem??
Naš današnji vodnik je osredotočen na uporabo usmerjevalnika, združljivega z DD-WRT, za doseganje dvojnih SSID. Tako boste potrebovali naslednje stvari:
- 1 DD-WRT združljiv usmerjevalnik z ustrezno revizijo strojne opreme (pokazali vam bomo, kako preveriti)
- 1 nameščen izvod DD-WRT na omenjenem usmerjevalniku
To ni edini način za nastavitev dvojnih SSID-jev za vaše domače omrežje. Naše SSID-ove bomo poganjali z vseprisotnega brezžičnega usmerjevalnika serije Linksys WRT54G. Če ne želite prenašati težav z utripanjem programske opreme po meri na starem usmerjevalniku in opraviti dodatne konfiguracijske korake, lahko:
- Nakup novejšega usmerjevalnika, ki podpira dvojne SSID-e neposredno iz škatle, kot je ASUS RT-N66U.
- Kupite drugi brezžični usmerjevalnik in ga konfigurirajte kot samostojno dostopno točko.
Razen če ste že lastnik usmerjevalnika, ki podpira dvojne SSID-je (v tem primeru lahko preskočite ta priročnik in preberete priročnik za napravo), sta obe možnosti manj kot idealni, saj morate porabiti dodaten denar in, v primeru druga možnost, naredite veliko dodatnih nastavitev, vključno z nastavitvijo sekundarne AP, da ne ovirajo in / ali prekrivajo z vašim primarnim AP.
V luči vsega tega smo bili več kot veseli uporabe strojne opreme, ki smo jo že imeli (brezžični usmerjevalnik serije Linksys WRT54G) in preskočili izdatke za denar in dodatno prilagoditev Wi-Fi omrežja..
Kako vem, da je moj usmerjevalnik združljiv?
Obstajata dva ključna elementa združljivosti, ki ju morate preveriti, da bi s tem vodičem dosegli uspeh. Prvi in najbolj osnovni je preveriti, ali ima vaš usmerjevalnik podporo za DD-WRT. Če želite preveriti, lahko obiščete bazo podatkov o usmerjevalnikih wiki DD-WRT.
Ko ugotovite, da je vaš usmerjevalnik združljiv z DD-WRT, moramo preveriti številko revizije čipa vašega usmerjevalnika. Če imate na primer resnično stari Linksys usmerjevalnik, je lahko popoln servisni usmerjevalnik v vseh pogledih, vendar čip morda ne podpira dvojnih SSID-ov (zaradi česar je bistveno nezdružljiv z navodili).
Glede na revizijsko številko usmerjevalnika obstajata dve stopnji združljivosti. Nekateri usmerjevalniki lahko naredijo več SSID-jev, vendar ne morejo razdeliti SSID-ov v ločene popolnoma edinstvene dostopne točke (npr. Edinstven naslov MAC za vsak SSID). V nekaterih primerih lahko to povzroči težave z nekaterimi napravami Wi-Fi, saj se zmedejo pri tem, kateri SSID (ker oba imata isti naslov MAC), ki bi ju morali uporabljati. Na žalost ni mogoče predvideti, katere naprave se bodo neprimerno obnašale v vašem omrežju, zato vam ne moremo priporočiti, da se izognete tehniki, opisani v tej vadnici, če ugotovite, da imate napravo, ki ne podpira ločenih SSID-ov..
Številko revizije lahko preverite z Googlovim iskanjem za določen model usmerjevalnika skupaj z številko različice, ki je natisnjena na informacijski nalepki (običajno na spodnji strani usmerjevalnika), vendar smo ugotovili, da je ta tehnika nezanesljiva (oznake lahko napačno uporabljeni, informacije, objavljene na spletu glede modela in datuma izdelave, so lahko netočne itd.)
Najbolj zanesljiv način za preverjanje številke revizije čipa v vašem usmerjevalniku je dejansko preverjanje usmerjevalnika. Če želite to storiti, morate izvesti naslednje korake. Odprite odjemalca telnet (večnamenski program, kot je PuTTY ali osnovni ukaz Windows Telnet) in telnet na naslov IP vašega usmerjevalnika (npr. 192.168.1.1). Prijavite se v usmerjevalnik z uporabniškim imenom in geslom (za nekatere usmerjevalnike, tudi če vnesete »admin« in »mypassword« za prijavo v spletni portal za upravljanje na usmerjevalniku, boste morali vnesti »root "In" mypassword "za prijavo preko telneta).
Ko ste prijavljeni v usmerjevalnik, v pozivu vnesite naslednji ukaz:
nvram show | grep corerev
Tako boste vrnili številko revidiranega čipa v vašem usmerjevalniku v naslednji obliki:
wl0_corerev = 9
wl_corerev =
Kaj zgoraj navedenega pomeni, da je naš usmerjevalnik ima en radio (wl0, ni wl1) in da je temeljna revizija tega radijskega čipa 9. Kako razlagate izhod? Številka revizije v povezavi z našim vodnikom pomeni naslednje:
- 0-4 Usmerjevalnik ne podpira več SSID-jev (z edinstvenimi identifikatorji ali kako drugače)
- 5-8 Usmerjevalnik podpira več SSID-jev (vendar ne z enotnimi identifikatorji)
- Usmerjevalnik podpira več SSID-jev (z edinstvenimi identifikatorji)
Kot lahko vidite iz našega zgornjega izhodnega ukaza, smo se razočarali. Čip našega usmerjevalnika je najnižja revizija, ki podpira več SSID-jev z edinstvenimi identifikatorji.
Ko ugotovite, da lahko vaš usmerjevalnik podpira več SSID-jev, morate namestiti DD-WRT. Če je vaš usmerjevalnik opremljen z DD-WRT ali ste ga že namestili, fantastično. Če ga še niste namestili, vam priporočamo, da prenesete ustrezno različico z DD-WRT spletne strani in sledite skupaj z našo vadnico: Vklopite domači usmerjevalnik v super pogon z DD-WRT.
Poleg naše vadnice ne moremo poudariti vrednosti obsežnega in odlično vzdrževanega wiki-ja DD-WRT. Preberite o vašem usmerjevalniku in najboljših praksah za utripanje nove strojne programske opreme.
Konfiguriranje DD-WRT za več SSID-jev
Imate združljiv usmerjevalnik, ki ste ga preusmerili na DD-WRT, zdaj je čas, da začnete z nastavljanjem drugega SSID-a. Tako kot bi vedno morali zagnati novo strojno programsko opremo preko žične povezave, vam priporočamo, da za brezžično nastavitev uporabite žično povezavo, tako da spremembe ne bodo onemogočale brezžičnega računalnika iz omrežja.
Odprite spletni brskalnik v računalniku, ki je povezan z usmerjevalnikom prek omrežja Ethernet. Pomaknite se na privzeti IP usmerjevalnik (običajno 198.168.1.1). V vmesniku DD-WRT se pomaknite do možnosti Brezžično -> Osnovne nastavitve (kot je prikazano na zgornji sliki). Vidite lahko, da ima naša obstoječa aplikacija Wi-Fi SSID »HTG_Office«.
Na dnu strani v razdelku »Virtualni vmesniki« kliknite gumb »Dodaj«. Prejšnji prazen razdelek »Virtualni vmesniki« se bo razširil s tem prednapisanim vnosom:
Ta navidezni vmesnik se prenese na vaš obstoječi radijski čip (upoštevajte wl0.1 v naslovu novega vnosa). Tudi stenografija v SSID je to označila, »vap« na koncu privzetega SSID pomeni Virtual Access Point. Razčlenimo ostale vnose v novem virtualnem vmesniku.
SSID lahko preimenujete v kar želite. V skladu z našo obstoječo konvencijo o poimenovanju (in da bi našim gostom olajšali življenje) bomo spremenili SSID s privzete nastavitve na »HTG_Guest« - spomnimo se, da je naša glavna dostopna točka Wi-Fi »HTG_Office«.
Brezžično oddajanje SSID-ja omogočite. Ne samo, da mnogi starejši računalniki in naprave, ki omogočajo Wi-Fi, ne igrajo zelo lepo s tajnimi SSID-ji, ampak skrito gostinsko omrežje ni zelo vabljivo / uporabno gostujoče omrežje.
AP Izolacija je varnostna nastavitev, ki jo po lastni presoji dovolimo ali onemogočimo. Če omogočite AP Izolacija, bo vsaka stranka v vašem gostu Wi-Fi omrežje popolnoma izolirana. S stališča varnosti je to super, saj zlonamerni uporabnik ohranja uporabnike drugih uporabnikov. To pa je bolj zaskrbljujoče za korporacijska omrežja in javne vroče točke. Praktično rečeno, to pomeni tudi, če sta tvoja nečakinja in nečak konec in želita igrati igro, povezano z Wi-Fi na svojih enotah Nintendo DS, njuni enoti DS se ne bosta videli. V večini domačih in majhnih pisarniških aplikacij ni veliko razloga za izolacijo AP.
Možnost Unbridged / Bridged v omrežni konfiguraciji se nanaša na to, ali bo AP Wi-Fi premoščena ali ne do fizičnega omrežja. Ker je to nasprotno, morate pustiti, da je nastavljeno na Bridged. Namesto da bi usmerjevalnik vdelane programske opreme obdelal (dokaj nerodno) proces prekinitve povezave, bomo sami sami odstranili povezavo s čistejšim in stabilnejšim izidom.
Ko spremenite SSID in pregledate nastavitve, kliknite Shrani.
Nato se pomaknite na Wireless -> Wireless Security:
Privzeto ni nobene zaščite na drugi AP. Lahko ga pustite kot tako začasno za namene testiranja (mi smo pustili odprto do konca), da si prihranimo od vnašanja gesla na testne naprave. Vendar vam ne priporočamo, da ga trajno odprete. Če se odločite, da ga pustite odprto ali ne, morate klikniti Shrani in nato Uporabiti nastavitve za spremembe, ki smo jih naredili tako v prejšnjem, kot tudi tisti, ki bo začela veljati. Bodite potrpežljivi, lahko traja do 2 minuti, da spremembe začnejo veljati.
Zdaj je pravi čas, da potrdite, da lahko bližnje naprave Wi-Fi vidijo tako primarne kot sekundarne dostopne točke. Odpiranje vmesnika Wi-Fi na pametnem telefonu je odličen način za hitro preverjanje. Tukaj je prikazana stran za konfiguracijo Wi-Fi telefona telefona Android:
Še vedno se ne moremo povezati s sekundarno programsko opremo, ker moramo usmerjevalnik narediti še nekaj sprememb, vendar je vedno lepo videti oba na seznamu.
Naslednji korak je začetek postopka ločevanja SSID-jev v omrežju z dodeljevanjem edinstvenega obsega naslovov IP gostiteljskim napravam Wi-Fi.
Pomaknite se na Nastavitev -> Omrežje. V razdelku »Premostitev« kliknite gumb Dodaj.
Najprej spremenite začetno režo na “br1”, preostale vrednosti pustite enake. Še vedno ne boste mogli videti vnosa IP / Subnet, ki ste ga videli zgoraj. Kliknite »Uporabi nastavitve«. Novi most bo v razdelku Premostitev z razpoložljivimi deli IP in podomrežja. IP naslov nastavite na eno vrednost iz običajnega IP omrežja (npr. Vaše primarno omrežje je 192.168.1.1, zato naredite to vrednost 192.168.2.1). Nastavite podomrežno masko na 255.255.255.0. Na dnu strani ponovno kliknite »Uporabi nastavitve«.
Dodeli gostujočo omrežje mostu
Opomba: zahvaljujoč bralcu Joelu, ki je poudaril ta del in nam dal navodila za dodajanje vadnici.
V razdelku »Dodeli mostu« kliknite »Dodaj«. Izberite novi most, ki ste ga ustvarili v prvem spustnem meniju, in ga povežite z vmesnikom »wl0.1«.
Sedaj kliknite »Shrani« in »Uporabi nastavitve«.
Po uveljavitvi sprememb se še enkrat pomaknite na dno strani v razdelek DHCPD. Kliknite »Dodaj«. Preklopite prvo režo na »br1«. Preostale nastavitve pustite enake (kot je prikazano na spodnjem posnetku zaslona).
Še enkrat kliknite »Uporabi nastavitve«. Ko končate vse naloge na strani Setup -> Networking, morate biti pripravljeni na povezljivost in dodelitev DHCP.
Opomba: Če je AP za Wi-Fi, ki jo konfigurirate za dvojne SSID, podprta na drugi napravi (npr. V vašem domu ali pisarni imate dva usmerjevalnika Wi-Fi, da razširite pokritost, in tisti, ki ga nastavite na SSID na 2. strani v verigi), morate v oddelku Storitve nastaviti DHCP. Če to zveni kot vaša nastavitev, je čas, da se pomaknete do razdelka Storitve -> Storitve.
V storitvenem oddelku moramo dodati nekaj kode v sekcijo DNSMasq, da bo usmerjevalnik pravilno dodelil dinamične naslove IP napravam, ki se povezujejo v gostujoče omrežje. Pomaknite se navzdol v razdelku DNSMasq. V polju »Dodatne možnosti DNSMasq« prilepite naslednjo kodo (minus # komentarji, ki pojasnjujejo funkcionalnost vsake vrstice):
# Omogoči DHCP na br1
vmesnik = br1
# Nastavite privzeti prehod za br1 odjemalce
dhcp-option = br1,3,192.168.2.1
# Nastavite obseg DHCP in privzeti čas zakupa 24 ur za stranke br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Na dnu strani kliknite »Uporabi nastavitve«.
Ne glede na to, ali ste uporabili eno ali dve tehniki, počakajte nekaj minut, da se povežete z novim SSID-om za goste. Ko se povežete s SSID gostom, preverite svoj IP naslov. Morali bi imeti IP v obsegu, ki smo ga določili z zgoraj navedenim. Spet je priročno, da s pametnim telefonom preverite:
Vse izgleda dobro. Sekundarna AP dodeljuje dinamične IP-je v ustreznem razponu, lahko dobimo na internetu - tukaj beležimo ogromen uspeh.
Edini problem pa je, da ima sekundarna AP še vedno dostop do virov primarnega omrežja. To pomeni, da so vsi omrežni tiskalniki, skupna raba v omrežju in takšni še vedno vidni (zdaj ga lahko preizkusite, poskusite najti omrežno skupno rabo iz primarnega omrežja v sekundarni aplikaciji).
Če ti želijo gostje na sekundarni AP imajo dostop do teh stvari (in sledijo skupaj z vadnico, tako da lahko opravljate druge naloge z dvojnim SSID-jem, kot je omejitev pasovne širine gostov ali čas, ko jim je dovoljeno uporabljati internet), potem ste učinkovito opravljeni z tutorial.
Predvidevamo, da bi večina od vas želela, da bi vaši gostje zadrževali vaše omrežje in jih nežno vodili proti Facebooku in e-pošti. V tem primeru moramo postopek končati tako, da ločimo sekundarno AP od fizičnega omrežja.
Pomaknite se na Uprava -> Ukazi. Videli boste območje z oznako »Ukazna lupina«. Prilepite naslednje ukaze, brez znakov # komentarjev, v področje, ki ga je mogoče urejati:
# Odstrani dostop gosta do fizičnega omrežja
iptables -I FORWARD -i br1 -o br0 -m stanje - stanje NOVO -j DROP
iptables -I FORWARD -i br0 -o br1 -m stanje - stanje NOVO -j DROP
#Removes gostinski dostop do GUI / vrat usmerjevalnika za konfiguracijo
iptables -I INPUT -i br1 -p tcp --port telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --port ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --portport -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --port https -j REJECT --reject-with tcp-reset
Kliknite »Shrani požarni zid« in ponovno zaženite usmerjevalnik.
Ta dodatna pravila požarnega zidu preprosto ustavijo vse pogovore na dveh mostovih (zasebno omrežje in javno / gostujoče omrežje) in govorijo ter zavračajo vsak stik med odjemalcem v gostujočem omrežju in vratom telnet, SSH ali spletnega strežnika. usmerjevalnik (s čimer jih omejuje na poskus dostopa do konfiguracijskih datotek usmerjevalnika).
Beseda o uporabi ukazne lupine in zagonskih, zaustavitvenih in požarnih zidov. Najprej se ukazi IPTABLES obdelajo po vrstnem redu. Spreminjanje vrstnega reda posameznikov lahko bistveno spremeni rezultat. Drugič, obstaja na desetine na desetine usmerjevalnikov, ki jih podpira DD-WRT in odvisno od vašega specifičnega usmerjevalnika in in konfiguracije boste morda morali potegniti IPTABLES ukaze zgoraj. Skript je delal za naš usmerjevalnik in uporablja najširše in najenostavnejše ukaze za izpolnitev naloge, zato mora delovati za večino usmerjevalnikov. Če se to ne zgodi, vas pozivamo, da v razpravnih forumih DD-WRT iščete svoj model usmerjevalnika in preverite, ali so drugi uporabniki imeli enake težave, kot jih imate.
Na tej točki ste končali s konfiguracijo in pripravljeni na dvojne SSID-e in vse prednosti, ki jih prinaša njihovo izvajanje. Z lahkoto lahko izdate geslo za goste (in ga spremenite po želji), nastavite pravila QoS za gostujoče omrežje in drugače spremenite in omejite gostujoče omrežje na način, ki ne vpliva na vaše primarno omrežje.