Jak povolit přístupový bod pro hosty na bezdrátové síti

Obsah:

Video: Jak povolit přístupový bod pro hosty na bezdrátové síti

Video: Jak povolit přístupový bod pro hosty na bezdrátové síti
Video: 127.0.0.1 vs 0.0.0.0 (Simple Explanation) 2024, Březen
Jak povolit přístupový bod pro hosty na bezdrátové síti
Jak povolit přístupový bod pro hosty na bezdrátové síti
Anonim
Sdílení Wi-Fi s hosty je jen zdvořilá věc, ale to neznamená, že byste jim chtěli dát široký otevřený přístup k celé síti LAN. Přečtěte si, jak vám ukážeme, jak nastavit směrovač pro duální SSID a vytvořit pro hosty samostatný (a zabezpečený) přístupový bod.
Sdílení Wi-Fi s hosty je jen zdvořilá věc, ale to neznamená, že byste jim chtěli dát široký otevřený přístup k celé síti LAN. Přečtěte si, jak vám ukážeme, jak nastavit směrovač pro duální SSID a vytvořit pro hosty samostatný (a zabezpečený) přístupový bod.

Proč to chci dělat?

Existuje několik velmi praktických důvodů, proč chcete, aby vaše domácí síť měla přístupové body (AP).

Důvodem s nejpraktičtější aplikací pro většinu lidí je jednoduchá izolace domácí sítě, takže hosté nemají přístup k věcem, které chcete zůstat soukromé. Výchozí konfigurací pro téměř všechny domácí přístupové body / směrovače Wi-Fi je použití jediného bezdrátového přístupového bodu a všichni oprávněni k přístupu k tomuto AP mají přístup do sítě, jako by byli propojeni přímo do AP prostřednictvím sítě Ethernet.

Jinými slovy, pokud dáte svému příteli, sousedovi, domácímu hostu nebo kdokoliv heslo k vašemu AP Wi-Fi, dali jste jim také přístup k síťové tiskárně, všechny otevřené sdílené položky ve vaší síti, nezabezpečené zařízení ve vaší síti a tak dále. Možná jste jen chtěli nechat, aby je zkontrolovali své e-maily nebo si zahráli hru online, ale dali jste jim svobodu toulky kamkoliv chtějí ve vaší vnitřní síti.

Nyní, zatímco většina z nás jistě nemá pro kamarády škodlivé hackery, neznamená to, že není rozumné nastavit naše sítě tak, aby hosté zůstali tam, kam patří (na volné straně přístupu na internet plotu) a nemohou jít tam, kde nemají (na domácím serveru / osobních akcií straně plotu).

Dalším praktickým důvodem pro spuštění AP s dvěma identifikátory SSID je schopnost nejen omezit, kam může AP hostovat, ale kdy. Pokud jste například rodič, který chce omezit, jak pozdě může vaše dítě zvyknout na počítači, můžete umístit svůj počítač, tablet apod. Na sekundární AP a nastavit omezení přístupu k internetu pro celý sub -SSID po, řekněme, 9PM.

Co potřebuji?

Náš tutoriál je dnes zaměřen na použití směrovače kompatibilního s DD-WRT pro dosažení duálních identifikátorů SSID. Jako takové budete potřebovat následující věci:
Náš tutoriál je dnes zaměřen na použití směrovače kompatibilního s DD-WRT pro dosažení duálních identifikátorů SSID. Jako takové budete potřebovat následující věci:
  • 1 směrovač kompatibilní se standardem DD-WRT s příslušnou revizí hardwaru (ukážeme vám, jak zkontrolovat)
  • 1 nainstalovaná kopie DD-WRT na uvedeném směrovači

To není jediný způsob, jak nastavit duální SSID pro vaši domácí síť. Budeme řídit naše SSIDs z všudypřítomného bezdrátového routeru řady Linksys WRT54G. Pokud nechcete procházet potížím s blikáním vlastního firmwaru na starém směrovači a provádět další konfigurační kroky, můžete místo toho:

  • Kupte si novější směrovač, který podporuje dvojité SSIDy přímo z krabice, jako je ASUS RT-N66U.
  • Koupit druhý bezdrátový směrovač a nakonfigurovat jej jako samostatný přístupový bod.

Pokud již vlastníte router, který podporuje duální identifikátory SSID (v tomto případě můžete tento návod přeskočit a prostě si přečíst manuál pro vaše zařízení), obě tyto možnosti jsou méně než ideální, protože musíte vynaložit další peníze a v případě druhá možnost, udělejte spoustu dalších konfigurací včetně nastavení sekundárního AP, aby se nepoškodilo a / nebo nepřekrývalo s vaším primárním AP.

Ve světle všech toho jsme byli rádi, že používáme hardwarový hardware, který jsme již měli (bezdrátový směrovač řady Linksys WRT54G) a vynechali výdaje za hotovost a další vylepšení sítě Wi-Fi.

Jak zjistím, že můj směrovač je kompatibilní?

Existují dva kritické prvky kompatibility, které je třeba zkontrolovat, abyste měli v tomto kurzu úspěch. První a nejzákladnější je zkontrolovat, zda má váš konkrétní směrovač podporu DD-WRT. Zde můžete zkontrolovat databázi směrovačů WDT wiki.
Existují dva kritické prvky kompatibility, které je třeba zkontrolovat, abyste měli v tomto kurzu úspěch. První a nejzákladnější je zkontrolovat, zda má váš konkrétní směrovač podporu DD-WRT. Zde můžete zkontrolovat databázi směrovačů WDT wiki.

Jakmile zjistíte, že váš směrovač je kompatibilní s DD-WRT, musíme zkontrolovat číslo revize čipu směrovače. Máte-li například opravdu starý router Linksys, může to být směrodatný servisní směrovač ve všech směrech, ale čip nemusí podporovat duální identifikátory SSID (což je zásadně nekompatibilní s výukovým programem).

Existují dva stupně kompatibility s ohledem na číslo revize routeru. Některé směrovače mohou dělat více identifikátorů SSID, ale nemohou rozdělit identifikátory SSID do zcela jednoznačných přístupových bodů (např. Jedinečná MAC adresa pro každý identifikátor SSID). V některých situacích to může způsobit problémy s některými zařízeními Wi-Fi, jelikož se zmiňují o tom, který SSID (protože oba mají stejnou MAC adresu), kterou by měli používat. Bohužel neexistuje způsob, jak předvídat, která zařízení se budou chovat v síti, takže nemůžeme doporučit, abyste se vyhnuli technice popsané v tomto tutoriálu, pokud zjistíte, že máte zařízení, které nepodporuje diskrétní identifikátory SSID.

Číslo revize můžete zkontrolovat provedením vyhledání konkrétního modelu vašeho směrovače společně s číslem verze vytištěným na informačním štítku (obvykle najdete na spodní straně směrovače), ale zjistili jsme, že tato technika je nespolehlivá (štítky mohou být nesprávně použity, informace zveřejněné online ohledně modelu a data výroby mohou být nepřesné atd.).

Nejspolehlivějším způsobem, jak zkontrolovat číslo revize čipu ve vašem směrovači, je skutečně otestovat směrovač. K tomu je třeba provést následující kroky.Otevřete klienta telnet (buď víceúčelový program jako PuTTY nebo základní příkaz Windows Telnet) a telnet na adresu IP vašeho směrovače (např. 192.168.1.1). Přihlaste se do směrovače pomocí přihlašovacího jména a hesla správce (uvědomte si, že u některých směrovačů, i když zadáte "admin" a "mypassword" pro přihlášení k webovému portálu pro správu routeru, budete možná muset zadat "root "A" mypassword "pro přihlášení přes telnet).

Jakmile jste přihlášeni do routeru, zadejte na výzvu následující příkaz:
Jakmile jste přihlášeni do routeru, zadejte na výzvu následující příkaz:

nvram show|grep corerev

Tím se vrátí základní číslo revize čipu (ů) ve vašem směrovači v následujícím formátu:

wl0_corerev=9 wl_corerev=

Výše uvedený výstup znamená, že náš směrovač má jedno rádio (wl0, neexistuje wl1) a že základní revize tohoto rádiového čipu je 9. Jak interpretujete výstup? Číslo revize ve vztahu k našemu průvodci znamená následující:

  • 0-4 Směrovač nepodporuje více identifikátorů SSID (s jedinečnými identifikátory nebo jinak)
  • 5-8 Směrovač podporuje více identifikátorů SSID (ale ne s jedinečnými identifikátory)
  • 9+ Směrovač podporuje více identifikátorů SSID (s jedinečnými identifikátory)

Jak můžete vidět z našeho výše uvedeného příkazu, vyhráli jsme. Čip našeho směrovače je nejnižší verze, která podporuje více identifikátorů SSID s jedinečnými identifikátory.

Jakmile zjistíte, že váš směrovač podporuje více SSID, musíte nainstalovat DD-WRT. Pokud je váš směrovač dodán s DD-WRT nebo jste jej již nainstalovali, je to fantastické. Pokud jste dosud nenainstalovali, doporučujeme stahovat příslušnou verzi z webových stránek DD-WRT a postupovat společně s naším výukovým programem: Otočte svůj domácí směrovač do super-Powered routeru s DD-WRT.

Kromě našeho tutoriálu nemůžeme zdůraznit hodnotu rozsáhlé a skvěle udržované wiki DD-WRT. Přečtěte si svůj konkrétní směrovač a doporučené postupy pro blikající nový firmware tam.

Konfigurace protokolu DD-WRT pro více identifikátorů SSID

Máte kompatibilní směrovač, do něj jste zapnuli DD-WRT, nyní je čas začít s nastavením druhého SSID. Stejně jako byste měli vždy blikat nový firmware přes kabelové připojení, důrazně doporučujeme pracovat na bezdrátovém připojení prostřednictvím kabelového připojení, takže změny nenutí váš bezdrátový počítač ze sítě.
Máte kompatibilní směrovač, do něj jste zapnuli DD-WRT, nyní je čas začít s nastavením druhého SSID. Stejně jako byste měli vždy blikat nový firmware přes kabelové připojení, důrazně doporučujeme pracovat na bezdrátovém připojení prostřednictvím kabelového připojení, takže změny nenutí váš bezdrátový počítač ze sítě.

Otevřete webový prohlížeč v počítači připojeném k routeru přes Ethernet. Přejděte na výchozí IP směrovače (typicky 198.168.1.1). V rozhraní DD-WRT přejděte do části Bezdrátové -> Základní nastavení (jak je vidět na snímku obrazovky výše). Vidíte, že náš stávající Wi-Fi AP má SSID "HTG_Office".

V dolní části stránky v sekci "Virtuální rozhraní" klikněte na tlačítko Přidat. Předtím prázdná sekce "Virtuální rozhraní" se rozbalí s touto předpopulovanou položkou:

Toto virtuální rozhraní je připojeno k vašemu existujícímu rádiovému čipu (všimněte si wl0.1 v názvu nového záznamu). Dokonce i zkratka v SSID to označila, "vap" na konci výchozí SSID znamená virtuální přístupový bod. Zrušte zbytek záznamů pod novým virtuálním rozhraním.
Toto virtuální rozhraní je připojeno k vašemu existujícímu rádiovému čipu (všimněte si wl0.1 v názvu nového záznamu). Dokonce i zkratka v SSID to označila, "vap" na konci výchozí SSID znamená virtuální přístupový bod. Zrušte zbytek záznamů pod novým virtuálním rozhraním.

SSID můžete přejmenovat na co chcete. V souladu s našimi stávajícími názvovými konvencemi (a ulehčujeme život našim hostům) změníme SSID z výchozího nastavení na "HTG_Guest" - přejděte na náš hlavní Wi-Fi AP je "HTG_Office".

Povolit bezdrátové vysílání SSID. Nejen, že mnoho starších počítačů a zařízení s podporou Wi-Fi nehraje velmi hezké s tajnými SSID, ale skrytá síť hostů není příliš příjemná / užitečná hostující síť.

AP Izolace je bezpečnostní nastavení, které necháme podle vašeho uvážení povolit nebo zakázat. Pokud povolíte AP Izolace, každý klient vaší sítě Wi-Fi hosta bude zcela navzájem izolován. Z bezpečnostního hlediska je to skvělé, protože zabraňuje uživateli se zlými úmysly, aby se pokoušeli o klienty ostatních uživatelů. To je spíše zájem o firemní sítě a veřejné hotspoty. Prakticky řečeno, to také znamená, že pokud je vaše neteř a synovec u konce a chtějí hrát Wi-Fi připojenou hru na svých jednotkách Nintendo DS, jejich jednotky DS se nebudou moci navzájem vidět. Ve většině domácích i malých kancelářských aplikací není dostatečný důvod izolovat AP.

Volba Nekomprimovaná / přemostěná v Konfiguraci sítě označuje, zda bude Wi-Fi AP přemostěn či nikoliv do fyzické sítě. Stejně jako protikladná, musíte ji nechat nastavenou na Bridged. Spíše než nechat firmware směrovače zvládnout (spíše neohrabaně) proces odpojování, budeme ručně unbridgeovat všechno sami s čistšími a stabilnějšími výsledky.

Po změně identifikátoru SSID a kontrole nastavení klikněte na tlačítko Uložit.

Pak přejděte na možnost Bezdrátové připojení -> Bezdrátové zabezpečení:

Ve výchozím nastavení neexistuje žádná bezpečnost na druhém AP. Můžete je nechat dočasně pro účely testování (nechali jsme otevřenou až do konce), abyste se ušetřili heslem na testovacích zařízeních. Nechceme nicméně doporučovat, aby to trvalo otevřelo. Ať už se rozhodnete ponechat v tomto okamžiku otevřené nebo ne, musíte klepnout na tlačítko Uložit a poté na tlačítko Použít nastavení pro změny, které jsme provedli jak v předchozí části, tak i v této části. Buďte trpěliví, může to trvat až 2 minuty, než se změny projeví.
Ve výchozím nastavení neexistuje žádná bezpečnost na druhém AP. Můžete je nechat dočasně pro účely testování (nechali jsme otevřenou až do konce), abyste se ušetřili heslem na testovacích zařízeních. Nechceme nicméně doporučovat, aby to trvalo otevřelo. Ať už se rozhodnete ponechat v tomto okamžiku otevřené nebo ne, musíte klepnout na tlačítko Uložit a poté na tlačítko Použít nastavení pro změny, které jsme provedli jak v předchozí části, tak i v této části. Buďte trpěliví, může to trvat až 2 minuty, než se změny projeví.

Nyní je skvělý čas potvrdit, že nedaleké zařízení Wi-Fi mohou vidět primární i sekundární AP. Otevření rozhraní Wi-Fi na smartphonu je skvělý způsob, jak rychle zkontrolovat. Zde je náhled z konfigurační stránky Wi-Fi na telefonu Android:

Image
Image

Nemůžeme se připojit k sekundárnímu AP, protože potřebujeme udělat další změny směrovače, ale je vždy příjemné je vidět v seznamu.

Dalším krokem je zahájení procesu oddělení SSID v síti přidělením jedinečného rozsahu adres IP hostitelským zařízením Wi-Fi.

Přejděte do nabídky Nastavení -> Sítě. V části "Přemostění" klikněte na tlačítko Přidat.

Nejprve změňte počáteční slot na hodnotu "br1", ostatní hodnoty nechte stejné. Nebudete moci ještě vidět položku IP / Subnet. Klikněte na tlačítko Použít nastavení. Nový můstek bude v sekci Překlenutí s dostupnými oddíly IP a Subnet. Nastavte IP adresu na jednu hodnotu mimo IP vaší běžné sítě (např. Hlavní síť je 192.168.1.1, takže tuto hodnotu nastavte na 192.168.2.1). Nastavte masku podsítě na hodnotu 255.255.255.0. Klikněte na tlačítko "Použít nastavení" v dolní části stránky.
Nejprve změňte počáteční slot na hodnotu "br1", ostatní hodnoty nechte stejné. Nebudete moci ještě vidět položku IP / Subnet. Klikněte na tlačítko Použít nastavení. Nový můstek bude v sekci Překlenutí s dostupnými oddíly IP a Subnet. Nastavte IP adresu na jednu hodnotu mimo IP vaší běžné sítě (např. Hlavní síť je 192.168.1.1, takže tuto hodnotu nastavte na 192.168.2.1). Nastavte masku podsítě na hodnotu 255.255.255.0. Klikněte na tlačítko "Použít nastavení" v dolní části stránky.

Přiřaďte hostitelské síti k Bridge

Poznámka: díky čtenáři Joelovi, že jste ukázali tuto část a dali nám pokyny k přidání do tutoriálu.

V části "Přiřadit k Bridge" klikněte na "Přidat". Vyberte nový most, který jste vytvořili z prvního rozbalovacího seznamu, a spárujte jej s rozhraním "wl0.1".

Nyní klikněte na tlačítko "Uložit" a "Použít nastavení".

Po provedení změn znovu přejděte do dolní části stránky do sekce DHCPD. Klikněte na tlačítko Přidat. Přepněte první slot na "br1". Zbytek nastavení nechte stejný (jak je vidět na obrázku níže).
Po provedení změn znovu přejděte do dolní části stránky do sekce DHCPD. Klikněte na tlačítko Přidat. Přepněte první slot na "br1". Zbytek nastavení nechte stejný (jak je vidět na obrázku níže).
Klikněte na tlačítko "Použít nastavení" ještě jednou. Jakmile dokončíte všechny úkoly na stránce Nastavení -> Síťové připojení, měli byste být rádi, abyste se připojili k připojení a přiřazení DHCP.
Klikněte na tlačítko "Použít nastavení" ještě jednou. Jakmile dokončíte všechny úkoly na stránce Nastavení -> Síťové připojení, měli byste být rádi, abyste se připojili k připojení a přiřazení DHCP.

Poznámka: Pokud konfigurujete přístupový bod Wi-Fi pro duální identifikátor SSID, je to praporčík na jiném zařízení (např. Máte ve svém domě nebo kanceláři dva směrovače Wi-Fi pro rozšíření pokrytí a ten, který nastavujete SSID hosta on je # 2 v řetězci), budete muset nastavit DHCP v sekci Služby. Pokud to zní jako vaše nastavení, je čas se dostat do sekce Služby -> Služby.

V sekci služeb je třeba do oddílu DNSMasq přidat trochu kódu, aby směrovač správně přiřadil dynamické adresy IP zařízením připojeným k hostitelské síti. Posuňte dolů část DNSMasq. V poli "Další možnosti DNSMasq" vložte následující kód (mínus # komentářů vysvětlující funkčnost každého řádku):
V sekci služeb je třeba do oddílu DNSMasq přidat trochu kódu, aby směrovač správně přiřadil dynamické adresy IP zařízením připojeným k hostitelské síti. Posuňte dolů část DNSMasq. V poli "Další možnosti DNSMasq" vložte následující kód (mínus # komentářů vysvětlující funkčnost každého řádku):

# Enables DHCP on br1 interface=br1 # Set the default gateway for br1 clients dhcp-option=br1,3,192.168.2.1 # Set the DHCP range and default lease time of 24 hours for br1 clients dhcp-range=br1,192.168.2.100,192.168.2.150,255.255.255.0,24h

Klikněte na tlačítko "Použít nastavení" v dolní části stránky.

Ať už jste použili jednu nebo dvě techniky, počkejte několik minut, než se připojíte k novému SSID hostu. Při připojení k SSID hostu zkontrolujte adresu IP. Měli byste mít IP v rozsahu, který jsme specifikovali výše. Znovu je užitečné používat váš smartphone ke kontrole:

Všechno vypadá dobře. Sekundární přístupový bod přiřazuje dynamické adresy IP ve vhodném rozsahu, můžeme se dostat na internet - zde děláme poznámku, obrovský úspěch.
Všechno vypadá dobře. Sekundární přístupový bod přiřazuje dynamické adresy IP ve vhodném rozsahu, můžeme se dostat na internet - zde děláme poznámku, obrovský úspěch.

Jediným problémem však je, že sekundární AP stále má přístup k prostředkům primární sítě. To znamená, že všechny tiskárny v síti, síťové sdílené položky a další jsou stále viditelné (můžete je otestovat nyní, zkuste najít síťový sdílený adresář z primární sítě v sekundárním AP).

jestli ty chtějí hosté na sekundárním přístupovém bodu mají přístup k těmto věcem (a spolu s výukovým programem sledují, takže můžete provádět další úkoly se dvěma SSID, jako je omezování šířky pásma hosta nebo časy, kdy mohou používat internet). tutorial.

Představujeme si, že většina z vás by chtěla nechat své hosty, aby se pokoušely o vaši síť a jemně je poskládaly do Facebooku a e-mailu. V takovém případě musíme proces dokončit odpojením sekundární AP z fyzické sítě.

Image
Image

Přejděte na Administration -> Commands. Zobrazí se oblast označená jako "Command Shell". Vložte následující příkazy bez editačních řádků do upravitelné oblasti:

#Removes guest access to physical network iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP #Removes guest access to the router's config GUI/ports iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset

Klikněte na "Uložit bránu firewall" a restartujte router.

Tyto další pravidla brány firewall jednoduše zastaví vše, co je na obou mostních (soukromé síti a veřejné / hostující síti), a zároveň odmítá jakýkoli kontakt mezi klientem v hostitelské síti a porty telnet, SSH nebo webového serveru na směrovač (čímž je omezuje pokus o přístup k konfiguračním souborům směrovače vůbec).

Slovo o používání příkazového shellu a spouštěcích, vypínacích a firewallových skriptech. Nejprve jsou příkazy IPTABLES zpracovávány v pořadí. Změna pořadí jednotlivců může značně změnit výsledek. Za druhé, DD-WRT podporuje desítky z desítek směrovačů a v závislosti na konkrétním směrovači a konfiguraci může být potřeba vylepšit příkazy IPTABLES výše. Skript pracoval pro náš směrovač a používá nejširší a nejjednodušší možné příkazy pro splnění úkolu, takže by měl pracovat pro většinu směrovačů. Pokud tomu tak není, důrazně vás vyzýváme, abyste hledali konkrétní model směrovače v diskusních fórech DD-WRT a zjistili, zda ostatní uživatelé mají stejné problémy, jaké máte.

V tomto okamžiku jste hotovi s konfigurací a jste připraveni využívat dual SSID a všechny výhody, které přicházejí s jejich spuštěním. Můžete snadno zadat heslo pro hosty (a měnit je podle vlastního uvážení), nastavit pravidla QoS pro hostující síť a jinak upravit a omezit síť hosta tak, aby to neovlivnilo vaši nejdůležitější síť.

Doporučuje: