Kaip įjungti belaidžio tinklo svečių prieigos tašką
Pasidalijimasis „Wi-Fi“ su svečiais yra tik mandagus dalykas, bet tai nereiškia, kad norite suteikti jiems platų atvirą prieigą prie viso LAN. Skaitykite, kaip parodysime, kaip nustatyti maršrutizatorių dvigubiems SSID ir sukurti atskirą (ir saugų) prieigos tašką savo svečiams.
Kodėl aš noriu tai padaryti?
Yra keletas labai praktinių priežasčių, kodėl norėtumėte nustatyti namų tinklą, kad galėtumėte naudotis dviem prieigos taškais (AP).
Priežastys, dėl kurių labiausiai praktiškai taikoma dauguma žmonių, yra tiesiog atskirti namų tinklą, kad svečiai negalėtų pasiekti dalykų, kuriuos norite likti privatūs. Beveik kiekvienos namų „Wi-Fi“ prieigos taško / maršrutizatoriaus numatytoji konfigūracija yra naudoti vieną belaidį prieigos tašką ir bet kuriam asmeniui, turinčiam prieigą prie to AP, prieigą prie tinklo, tarsi jie būtų prijungti tiesiai prie AP per Ethernet.
Kitaip tariant, jei duodate savo draugui, kaimynui, namų svečiui, arba kas nors jūsų „Wi-Fi“ AP slaptažodis, taip pat suteikėte jiems prieigą prie tinklo spausdintuvo, bet kokių atvirų jūsų tinklo akcijų, neužtikrintų įrenginių tinkle ir pan. Galbūt tiesiog norėjote leisti jiems patikrinti savo el. Paštą arba žaisti žaidimą internete, bet jūs suteikėte jiems laisvę klajoti bet kurioje vietoje, kur jie nori savo vidiniame tinkle.
Dabar, kai dauguma iš mūsų tikrai neturi kenkėjiškų įsilaužėlių draugams, tai nereiškia, kad nėra protinga nustatyti savo tinklus, kad svečiai liktų ten, kur jie priklauso (nemokamoje interneto prieigos dalyje) ir negali eiti ten, kur jie nėra (namų serverio / asmeninės akcijos pusėje).
Kita praktinė priežastis, dėl kurios paleisti AP su dviem SSID, yra gebėjimas ne tik apriboti, kur gali eiti svečių AP, bet kada. Pavyzdžiui, jei esate tėvas, kuris nori apriboti, kaip vėlyvas jūsų vaikas gali pasilikti aplink kompiuterį, galite įdėti savo kompiuterį, planšetinį kompiuterį ir pan. Į antrinį AP ir nustatyti apribojimus interneto prieigai visai daliai -SSID po, tarkim, 9 val.
Ką man reikia??
Šiandien mūsų pamoka orientuota į DD-WRT suderinamo maršrutizatoriaus naudojimą, norint pasiekti dvigubus SSID. Todėl jums reikės šių dalykų:
- 1 DD-WRT suderinamas maršrutizatorius su atitinkama aparatūros versija (parodysime, kaip patikrinti)
- 1 įdiegta DD-WRT kopija minėtame maršrutizatoriuje
Tai ne vienintelis būdas nustatyti dvigubus SSID savo namų tinklui. Mes ketiname paleisti savo SSID iš visur esančio „Linksys WRT54G“ serijos belaidžio kelvedžio. Jei nenorite eiti per blykstę, kad senas maršrutizatorius mirksės pagal užsakymą, ir atlikite papildomus konfigūravimo veiksmus, galėtumėte:
- Įsigykite naujesnį maršrutizatorių, kuris palaiko dvigubus SSID, iš karto, pvz., ASUS RT-N66U.
- Įsigykite antrąjį belaidį maršrutizatorių ir sukonfigūruokite jį kaip atskirą prieigos tašką.
Jei jau neturite maršrutizatoriaus, kuris palaiko dvigubus SSID (tokiu atveju galite praleisti šią pamoką ir tiesiog perskaityti savo prietaiso vadovą), abi šios parinktys yra mažiau nei idealios, nes jūs turite išleisti papildomus pinigus ir antrą variantą, atlikite papildomos konfigūracijos krūva, įskaitant antrinio AP nustatymą, kad netrukdytų ir (arba) sutaptų su pagrindiniu AP.
Atsižvelgdami į tai, buvome daugiau nei laimingi galėdami naudoti jau turimą aparatūrą („Linksys WRT54G serijos bevielis maršrutizatorius“) ir praleisti pinigus ir papildomą „Wi-Fi“ tinklą..
Kaip sužinoti, ar mano maršrutizatorius yra suderinamas?
Yra du svarbūs suderinamumo elementai, kuriuos reikia patikrinti, kad galėtumėte sėkmingai naudotis šia pamoka. Pirmasis ir svarbiausias yra patikrinti, ar jūsų maršrutizatorius turi DD-WRT palaikymą. Čia galite aplankyti DD-WRT wiki maršrutizatorių duomenų bazę.
Nustačius, kad jūsų maršrutizatorius yra suderinamas su DD-WRT, turime patikrinti maršrutizatoriaus lusto versijos numerį. Pavyzdžiui, jei turite tikrai seną „Linksys“ maršrutizatorių, jis gali būti tobulas, tinkamas naudoti maršrutizatorius visais būdais, tačiau lustas gali nepalaikyti dvigubų SSID (todėl jis iš esmės nesuderinamas su pamoka).
Yra du suderinamumo laipsniai, susiję su maršrutizatoriaus versijos numeriu. Kai kurie maršrutizatoriai gali atlikti kelis SSID, tačiau jie negali suskirstyti SSID į skirtingus visiškai unikalius prieigos taškus (pvz., Unikalus kiekvieno SSID MAC adresas). Kai kuriose situacijose tai gali sukelti problemų dėl kai kurių „Wi-Fi“ įrenginių, nes jie supainioja, kokio SSID (nes abu turi tą patį MAC adresą), kuriuos jie turėtų naudoti. Deja, nėra jokio būdo numatyti, kurie įrenginiai bus netinkamai veikiami jūsų tinkle, todėl negalime išsiaiškinti, kad rekomenduojame vengti šioje instrukcijoje aprašyto metodo, jei radote įrenginį, kuris nepalaiko atskirų SSID.
Peržiūros numerį galite patikrinti atlikdami „Google“ paiešką konkrečiam maršrutizatoriaus modeliui kartu su versijos numeriu, atspausdintu informacinėje etiketėje (dažniausiai yra apatinėje maršrutizatoriaus pusėje), tačiau nustatėme, kad šis metodas yra nepatikimas (etiketės gali būti netinkamai taikoma, internete paskelbta informacija apie gamybos modelį ir datą gali būti netiksli ir tt)
Patikimiausias būdas patikrinti, ar jūsų maršrutizatoriuje yra mikroschemų versijos numeris, yra tikrinti maršrutizatorių, kad būtų galima sužinoti. Norėdami tai padaryti, turite atlikti šiuos veiksmus. Atidarykite telneto klientą (arba daugiafunkcinę programą, pvz., „PuTTY“ arba pagrindinę „Windows Telnet“ komandą), ir telnetą į savo maršrutizatoriaus IP adresą (pvz., 192.168.1.1). Prisijunkite prie maršrutizatoriaus naudodami administratoriaus prisijungimo vardą ir slaptažodį (atkreipkite dėmesį, kad kai kuriems maršrutizatoriams, net jei įvesite „admin“ ir „mypassword“, kad prisijungtumėte prie maršrutizatoriaus žiniatinklio valdymo portalo, gali tekti įvesti „root“ Ir „mypassword“ prisijungti per telnet).
Prisijungę prie maršrutizatoriaus, spustelėję įveskite šią komandą:
nvram šou | grep corerev
Taip grįžtamasis pagrindinio (-ių) lusto (-ų) versijos numeris jūsų maršrutizatoriuje bus toks:
wl0_corerev = 9
wl_corerev =
Tai, ką reiškia pirmiau minėta išvestis, yra tai, kad mūsų maršrutizatorius turi vieną radiją (wl0, nėra wl1) ir kad pagrindinė to radijo lusto peržiūra yra 9. Kaip interpretuojate išėjimą? Peržiūros numeris, susijęs su mūsų vadovu, reiškia:
- 0-4 Maršrutizatorius nepalaiko kelių SSID (su unikaliais identifikatoriais arba kitaip)
- 5-8 Maršrutizatorius palaiko kelis SSID (bet ne su unikaliais identifikatoriais)
- 9+ Maršrutizatorius palaiko kelis SSID (su unikaliais identifikatoriais)
Kaip matote iš mūsų komandų išvedimo, mes pasisekėme. Mūsų maršrutizatoriaus lustas yra mažiausia versija, kuri palaiko kelis SSID su unikaliais identifikatoriais.
Nustačius, kad jūsų maršrutizatorius gali palaikyti kelis SSID, turėsite įdiegti DD-WRT. Jei jūsų maršrutizatorius yra pristatytas su DD-WRT arba jį jau įdiegėte, fantastinis. Jei to dar nepadarėte, rekomenduojame atsisiųsti atitinkamą versiją iš DD-WRT interneto svetainės ir sekti kartu su mūsų pamoka: paverskite savo maršrutizatorių į „Super-Powered Router“ su DD-WRT.
Be mūsų pamokos, negalime pabrėžti didelių ir puikiai prižiūrimų DD-WRT wiki vertybių. Perskaitykite savo konkretų maršrutizatorių ir gerąją praktiką, kaip joje mirksėti nauja programinė įranga.
DD-WRT konfigūravimas keliems SSID
Turite suderinamą maršrutizatorių, su juo nuskaitėte DD-WRT, dabar atėjo laikas pradėti nustatyti antrąjį SSID. Lygiai taip pat, kaip visada turėtumėte įjungti naują programinę įrangą per laidinį ryšį, primygtinai rekomenduojame dirbti su belaidžiu ryšiu per laidinį ryšį, kad pakeitimai nepriverstų jūsų belaidžio kompiuterio išjungti tinkle.
Atidarykite savo interneto naršyklę kompiuteryje, prijungtame prie maršrutizatoriaus per Ethernet. Eikite į numatytąjį maršrutizatoriaus IP (paprastai 198.168.1.1). DD-WRT sąsajoje pereikite prie Wireless -> Basic Settings (kaip parodyta aukščiau esančiame paveikslėlyje). Galite matyti, kad mūsų esamas „Wi-Fi“ AP turi SSID „HTG_Office“.
Puslapio apačioje, skyriuje „Virtualios sąsajos“, spustelėkite mygtuką Pridėti. Ankstesnis tuščias „Virtualiosios sąsajos“ skyrius bus išplėstas su šiuo iš anksto įrašytu įrašu:
Ši virtuali sąsaja yra nukreipta į esamą radijo mikroschemą (įrašykite wl0.1 naujojo įrašo pavadinime). Netgi SSID nurodytame scenarijuje tai nurodoma, o „vap“ numatytojo SSID pabaigoje reiškia „Virtual Access Point“. Suskirstykite likusius įrašus pagal naują „Virtual Interface“.
Jūs galite pervadinti SSID į norimą vietą. Atsižvelgdami į esamą pavadinimo konvenciją (ir palengvindami mūsų svečių gyvenimą), mes pakeisime SSID iš numatytojo į „HTG_Guest“ - atminkite, kad pagrindinis „Wi-Fi“ AP yra „HTG_Office“.
Išjunkite belaidį SSID transliavimą. Daugelis senesnių kompiuterių ir „Wi-Fi“ įgalintų įrenginių ne tik labai gražiai žaidžiami su slaptais SSID, bet paslėptas svečių tinklas nėra labai kviečiantis / naudingas svečių tinklas.
AP atskyrimas yra saugumo nustatymas, kurį paliekame jūsų nuožiūra, kad įgalintumėte arba išjungtumėte. Jei įgalinsite AP izoliaciją, kiekvienas jūsų svečių Wi-Fi tinklo klientas bus visiškai izoliuotas vienas nuo kito. Saugumo požiūriu tai puiku, nes jis apsaugo kenkėjišką naudotoją nuo kitų vartotojų klientų. Tačiau tai yra daugiau įmonių tinklų ir viešųjų taškų. Praktiškai kalbant, tai taip pat reiškia, kad jūsų dukterėčia ir sūnėnas baigėsi ir jie nori žaisti „Wi-Fi“ žaidimą savo „Nintendo DS“ įrenginiuose, jų DS vienetai negalės matyti vienas kito. Daugelyje namų ir mažų biurų programų yra mažai priežasčių atskirti AP.
Tinklo konfigūravimo parinktyje Neregistruota / perjungta nurodoma, ar „Wi-Fi“ AP bus sujungtas į fizinį tinklą, ar ne. Kaip priešinga, jums reikia palikti jį įjungtą. Vietoj to, kad maršrutizatoriaus programinės aparatinės įrangos rankena (o ne pernelyg sudėtinga) atsijungimo procesas, mes nuvažiuosime viską savaime švaresniu ir stabilesniu rezultatu.
Pakeitus SSID ir peržiūrėjote nustatymus, spustelėkite Išsaugoti.
Toliau pereikite prie belaidžio ryšio -> bevielis saugumas:
Pagal nutylėjimą antrojo AP nėra saugumo. Galite laikinai jį palikti testavimo tikslais (mes palikome savo darbą iki pat galo), kad išsaugotume save nuo slaptažodžio įvedimo į jūsų bandymo įrenginius. Tačiau mes nerekomenduojame palikti visam laikui. Nesvarbu, ar pasirinksite palikti jį atidarytą, ar ne, reikia spustelėti „Išsaugoti“ ir tada taikyti „Nustatymai“, kad pakeitimai, kuriuos mes atlikome ir ankstesniame skyriuje, ir šis įsigalios. Būkite kantrūs, kad pakeitimai įsigaliotų iki 2 minučių.
Dabar yra puikus laikas patvirtinti, kad netoliese esantys „Wi-Fi“ įrenginiai gali matyti tiek pirminius, tiek antrinius AP. „Wi-Fi“ sąsajos atidarymas išmaniajame telefone yra puikus būdas greitai patikrinti. Štai rodinys iš „Android“ telefono „Wi-Fi“ konfigūracijos puslapio:
Mes dar negalime prisijungti prie antrinės AP, nes mums reikia padaryti dar kelis pakeitimus maršrutizatoriuje, tačiau visada malonu juos matyti sąraše.
Kitas žingsnis yra pradėti SSID atskyrimo tinkle procesą, skiriant unikalų IP adresų asortimentą svečių „Wi-Fi“ įrenginiams.
Eikite į „Setup“ -> Networking. Skiltyje „Tiltavimas“ spustelėkite mygtuką Pridėti.
Pirma, pakeiskite pradinį lizdą į „br1“, palikite likusias vertes. Jūs dar negalėsite matyti pirmiau pateikto IP / Subnet įrašo. Spustelėkite „Taikyti nustatymus“. Naujasis tiltas bus „Bridging“ skyriuje, kuriame bus prieinami IP ir Subnet skyriai. Nustatykite IP adresą į vieną įprastą tinklo IP vertę (pvz., Jūsų pagrindinis tinklas yra 192.168.1.1, todėl atlikite šią vertę 192.168.2.1). Nustatykite potinklio kaukę iki 255.255.255.0. Dar kartą spustelėkite „Apply Settings“ (Taikyti nustatymus).
Priskirti svečių tinklą prie tilto
Pastaba: dėka skaitytojo Joel už tai, kad nurodė šią dalį ir suteikė mums instrukcijas, kaip pridėti prie pamokos.
Skiltyje „Priskirti prie tilto“ spustelėkite „Pridėti“. Pasirinkite naują tiltą, kurį sukūrėte iš pirmojo išskleidžiamojo meniu, ir suporuokite jį su „wl0.1“ sąsaja.
Dabar spustelėkite „Išsaugoti“ ir „Taikyti nustatymus“.
Po pakeitimų dar kartą pereikite prie puslapio apačios į DHCPD skyrių. Spustelėkite „Pridėti“. Pirmąjį lizdą perjunkite į „br1“. Likusius nustatymus palikite tuos pačius (kaip matyti žemiau esančiame paveikslėlyje).
Dar kartą spustelėkite „Taikyti nustatymus“. Baigę visas užduotis, esančias puslapyje „Nustatymas - tinklas“, jums turėtų būti gerai prisijungti ir priskirti DHCP.
Pastaba: jei „Wi-Fi“ AP, kurį sukonfigūravote dvigubiems SSID, yra piggy parama kitame prietaise (pvz., Turite du „Wi-Fi“ maršrutizatorius jūsų namuose ar biure, kad išplėstumėte savo aprėptį ir nustatytumėte svečio SSID grandinėje yra # 2, kurį turėsite nustatyti skyriuje „Paslaugos“. Jei tai skamba kaip jūsų sąranka, laikas pereiti į skyrių „Paslaugos -> Paslaugos“.
Paslaugų skyriuje turime pridėti šiek tiek kodo į DNSMasq skyrių, kad maršrutizatorius tinkamai priskirtų dinaminius IP adresus įrenginiams, prisijungiantiems prie svečių tinklo. Slinkite žemyn DNSMasq skyriumi. Lauke „Papildomos DNSMasq parinktys“ įklijuokite šį kodą (atėmus # komentarus, paaiškinančius kiekvienos eilutės funkcionalumą):
# Įgalina DHCP į br1
sąsaja = br1
# Nustatykite numatytąjį „br1“ kliento šliuzą
dhcp-option = br1,3,192.168.2.1
# Nustatykite DHCP diapazoną ir numatytąjį 24 valandų nuomos laiką br1 klientams
dhcp intervalas = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Puslapio apačioje spustelėkite „Taikyti nustatymus“.
Nesvarbu, ar naudojote vieną ar dvi technikas, palaukite kelias minutes, kad prisijungtumėte prie naujo svečių SSID. Prisijungdami prie svečio SSID, patikrinkite savo IP adresą. Turėtumėte turėti IP, esantį intervale, kurį nurodėme aukščiau. Vėlgi, naudinga patikrinti savo išmanųjį telefoną:
Viskas atrodo gerai. Antrinis AP priskiria dinaminius IP tinkamu diapazonu, mes galime gauti internete - mes čia padarome pastabą, didžiulę sėkmę.
Tačiau vienintelė problema yra ta, kad antrinis AP vis dar turi prieigą prie pirminio tinklo išteklių. Tai reiškia, kad visi tinklo spausdintuvai, tinklo akcijos ir kiti vis dar matomi (dabar galite išbandyti, bandyti rasti tinklo dalį iš pagrindinio tinklo antrinėje AP).
Jei tu nori antrinės AP svečiai gali pasiekti šiuos dalykus (ir seka kartu su pamoka, kad galėtumėte atlikti kitas dvigubo SSID užduotis, pvz., apriboti svečių dažnių juostos plotį arba laiką, kuriuo leidžiama naudotis internetu), tada jūs veiksmingai dirbate su pamoka.
Mes įsivaizduojame, kad dauguma iš jūsų norėtų, kad jūsų svečiai nepatektų į jūsų tinklą ir švelniai bandytų juos prilipti prie „Facebook“ ir el. Tokiu atveju procesą reikia užbaigti atjungiant antrinį AP nuo fizinio tinklo.
Eikite į Administravimas -> Komandos. Pamatysite sritį, pavadintą „Command Shell“. Į redaguojamą sritį įklijuokite šias komandas, sans # komentarų eilutes:
#Atimama svečio prieiga prie fizinio tinklo
iptables -I FORWARD -i br1 -o br0 -m būsena - būsena NEW-j DROP
iptables -I FORWARD -i br0 -o br1 -m būsenos - State NEW -J DROP
#Pašalina svečių prieigą prie maršrutizatoriaus konfigūracijos GUI / prievadų
iptables -I INPUT -i br1-pppppdpd-telport -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --portas ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp - www www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --portas https -j REJECT --reject-with tcp-reset
Spustelėkite „Išsaugoti užkardą“ ir paleiskite maršrutizatorių.
Šios papildomos ugniasienės taisyklės paprasčiausiai sustabdo viską, kad abu tiltai (privatus tinklas ir viešasis / svečias tinklas) nekalbėtų, taip pat atmeta bet kokį kontaktą tarp kliento svečių tinkle ir telneto, SSH ar žiniatinklio serverio prievadų maršrutizatorius (taip apribojant juos bandant pasiekti maršrutizatoriaus konfigūracijos failus).
Žodis naudojant komandų apvalkalą ir paleidimo, išjungimo ir užkardos scenarijus. Pirma, IPTABLES komandos tvarkomos tvarkingai. Asmenų linijų eilės keitimas gali žymiai pakeisti rezultatą. Antra, ten yra dešimtys maršrutizatorių, kuriuos palaiko DD-WRT, ir priklausomai nuo jūsų konkretaus maršrutizatoriaus ir konfigūracijos, gali tekti keisti aukščiau nurodytas IPTABLES komandas. Scenarijus dirbo mūsų maršrutizatoriuje ir naudoja plačiausias ir paprasčiausias komandas, kad atliktų užduotį, todėl jis turėtų veikti daugeliui maršrutizatorių. Jei ne, mes primygtinai raginame ieškoti jūsų konkretaus maršrutizatoriaus modelio DD-WRT diskusijų forumuose ir pažiūrėti, ar kiti naudotojai patyrė tuos pačius klausimus.
Šiuo metu jūs baigsite konfigūraciją ir esate pasiruošę mėgautis dvigubais SSID ir visais privalumais, kurie atsiranda naudojant juos. Jūs galite lengvai suteikti svečio slaptažodį (ir pakeisti jį norėdami), nustatyti svečių tinklo „QoS“ taisykles ir kitaip modifikuoti ir apriboti svečių tinklą tokiais būdais, kurie neturės įtakos jūsų pagrindiniam tinklui mažiausiai.