Почему я хочу это делать?
Существует несколько очень практических причин для того, чтобы настроить домашнюю сеть на наличие двойных точек доступа (AP).
Причиной наиболее практичного применения для большинства людей является просто изолирование вашей домашней сети, чтобы гости не могли получить доступ к вещам, которые вы хотите оставаться закрытыми. Конфигурация по умолчанию для почти каждой домашней точки доступа / маршрутизатора Wi-Fi предназначена для использования одной точки беспроводного доступа, и всем, кому разрешен доступ к этой точке доступа, предоставляется доступ к сети, как если бы они были подключены прямо к AP через Ethernet.
Другими словами, если вы дадите своего друга, соседа, гостя или кто бы ни пароль для вашего Wi-Fi AP, вы также предоставили им доступ к вашему сетевому принтеру, любым открытым ресурсам в вашей сети, незащищенным устройствам в вашей сети и т. д. Возможно, вы просто хотели, чтобы они проверяли электронную почту или играли в онлайн-игры, но вы предоставили им свободу передвигаться по любой точке своей внутренней сети.
Теперь, когда у большинства из нас, конечно же, нет злобных хакеров для друзей, это не значит, что не разумно настраивать наши сети, чтобы гости оставались там, где они есть (на стороне бесплатного доступа в Интернет забора) и не могут идти туда, где они этого не делают (на домашнем сервере / личной стороне акций забора).
Еще одна практическая причина для запуска AP с двумя SSID - это способность не только ограничивать, где гостевой AP может идти, но когда. Если вы являетесь родителем, например, который хочет ограничить, как поздно ваш ребенок может не спать на компьютере, вы можете поместить свой компьютер, планшет и т. Д. На вторичную точку доступа и установить ограничения на доступ в Интернет для всего суб -SSID после, скажем, 9 вечера.
Что мне нужно?
- 1 совместимый с DD-WRT маршрутизатор с соответствующей версией оборудования (мы покажем вам, как проверить)
- 1 установлена копия DD-WRT на указанном маршрутизаторе
Это не единственный способ настроить двойные SSID для вашей домашней сети. Мы собираемся запустить наши SSID с вездесущего беспроводного маршрутизатора Linksys WRT54G. Если вы не хотите перегружать пользовательскую прошивку на своем старом маршрутизаторе и выполнять дополнительные шаги настройки, вы можете вместо этого:
- Приобретите новый маршрутизатор, который поддерживает двойные SSID прямо из коробки, такие как ASUS RT-N66U.
- Купите второй беспроводной маршрутизатор и настройте его как отдельную точку доступа.
Если вы уже не являетесь владельцем маршрутизатора, который поддерживает двойные SSID (в этом случае вы можете пропустить это руководство и просто прочитать руководство для своего устройства), оба этих варианта менее идеальны в том, что вам нужно тратить дополнительные деньги, а в случае второй вариант, выполните кучу дополнительной настройки, включая настройку вторичной точки доступа, чтобы не мешать и / или перекрываться с вашей основной точкой доступа.
В свете всего этого мы были более чем счастливы использовать оборудование, которое у нас уже было (беспроводной маршрутизатор Linksys WRT54G), и пропустить расходы на наличные деньги и дополнительную настройку сети Wi-Fi.
Как я могу знать, мой маршрутизатор совместим?
После того, как вы установили, что ваш маршрутизатор совместим с DD-WRT, нам нужно проверить номер версии вашего чипа вашего маршрутизатора. Например, если у вас действительно старый маршрутизатор Linksys, он может быть идеальным доступным маршрутизатором во всех отношениях, но чип может не поддерживать двойные SSID (что делает его принципиально несовместимым с учебником).
Существует две степени совместимости в отношении номера версии маршрутизатора. Некоторые маршрутизаторы могут выполнять несколько SSID, но они не могут разделить SSID на совершенно уникальные точки доступа (например, уникальный MAC-адрес для каждого SSID). В некоторых ситуациях это может вызвать проблемы с некоторыми устройствами Wi-Fi, поскольку они запутываются в отношении того, какой SSID (поскольку оба они имеют одинаковый MAC-адрес), которые они должны использовать. К сожалению, нет никакого способа предсказать, какие устройства будут плохо себя вести в вашей сети, поэтому мы не сможем решить проблему, описанную в этом руководстве, если вы обнаружите, что у вас есть устройство, которое не поддерживает дискретные SSID.
Вы можете проверить номер версии, выполнив поиск Google для конкретной модели вашего маршрутизатора вместе с номером версии, напечатанным на информационной этикетке (обычно на нижней стороне маршрутизатора), но мы обнаружили, что этот метод является ненадежным (метки могут быть неправильно использованы, информация, размещенная в Интернете относительно модели и даты изготовления, может быть неточной и т. д.)
Самый надежный способ проверить номер версии чипа внутри вашего маршрутизатора - фактически опросить маршрутизатор, чтобы узнать. Для этого вам необходимо выполнить следующие шаги.Откройте telnet-клиент (либо многоцелевую программу, такую как PuTTY, либо базовую команду Windows Telnet) и telnet на IP-адрес вашего маршрутизатора (например, 192.168.1.1). Войдите в маршрутизатор, используя свой логин и пароль администратора (помните, что для некоторых маршрутизаторов, даже если вы вводите «admin» и «mypassword» для входа на веб-портал управления на маршрутизаторе, вам может потребоваться ввести «root» »И« mypassword »для входа в систему через telnet).
nvram show|grep corerev
Это вернет номер версии основного чипа (ов) вашего маршрутизатора в следующем формате:
wl0_corerev=9 wl_corerev=
Что означает вышеописанный вывод, так это то, что у нашего маршрутизатора есть одно радио (wl0, wl1 нет), и основная ревизия этого радиочипа - 9. Как вы интерпретируете вывод? Номер пересмотра в соответствии с нашим руководством означает следующее:
- 0-4. Маршрутизатор не поддерживает несколько SSID (с уникальными идентификаторами или иным образом)
- 5-8. Маршрутизатор поддерживает несколько SSID (но не с уникальными идентификаторами)
- 9+ Маршрутизатор поддерживает несколько SSID (с уникальными идентификаторами)
Как вы можете видеть из нашего вывода команды выше, нам повезло. Чип нашего маршрутизатора - самая низкая версия, которая поддерживает несколько SSID с уникальными идентификаторами.
Как только вы определите, что ваш маршрутизатор может поддерживать несколько SSID, вам необходимо установить DD-WRT. Если ваш маршрутизатор поставляется с DD-WRT или вы уже установили его, фантастический. Если вы еще не установили его, мы рекомендуем загрузить соответствующую версию с веб-сайта DD-WRT и следовать вместе с нашим руководством. Поверните домашний маршрутизатор в супермощный маршрутизатор с DD-WRT.
В дополнение к нашему учебнику мы не можем подчеркнуть ценность обширной и превосходно поддерживаемой вики DD-WRT. Прочитайте на своем конкретном маршрутизаторе и рекомендации по прошивке новой прошивки там.
Настройка DD-WRT для нескольких SSID
Откройте веб-браузер на компьютере, подключенном к маршрутизатору через Ethernet. Перейдите к IP-адресу маршрутизатора по умолчанию (обычно 198.168.1.1). В интерфейсе DD-WRT перейдите к Wireless -> Basic Settings (как показано на скриншоте выше). Вы можете видеть, что наш существующий Wi-Fi AP имеет SSID «HTG_Office».
В нижней части страницы в разделе «Виртуальные интерфейсы» нажмите кнопку «Добавить». Ранее пустой раздел «Виртуальные интерфейсы» будет расширяться с помощью этой предварительно заполненной записи:
Вы можете переименовать SSID в любое место. В соответствии с нашим существующим соглашением об именах (и облегчить жизнь нашим гостям) мы собираемся изменить SSID с по умолчанию на «HTG_Guest» - помните, что наш главный Wi-Fi AP - это «HTG_Office».
Оставьте беспроводную широковещательную передачу SSID включенной. Мало того, что многие старые компьютеры и устройства с поддержкой Wi-Fi не очень хорошо играют с секретными SSID, но скрытая гостевая сеть не очень привлекательная / полезная гостевая сеть.
Изоляция AP - это параметр безопасности, который мы оставляем на ваше усмотрение для включения или отключения. Если вы включите изоляцию AP, каждый клиент в гостевой сети Wi-Fi будет полностью изолирован друг от друга. С точки зрения безопасности это здорово, так как он держит злонамеренного пользователя от того, что он ковыряется на клиентах других пользователей. Однако это больше беспокоит корпоративные сети и общественные горячие точки. Практически говоря, это также означает, что если ваша племянница и племянник закончили, и они хотят играть в Wi-Fi-игру в своих подразделениях Nintendo DS, их подразделения DS не смогут увидеть друг друга. В большинстве домашних и небольших офисных приложений нет причин для изоляции точек доступа.
Параметр Unbridged / Bridged в Network Configuration указывает на то, будет ли Wi-Fi AP соединен с мостом или нет в физической сети. Как это неинтересно, вам нужно оставить его установленным на Bridged. Вместо того, чтобы позволить прошивке маршрутизатора (довольно неуклюже) обрабатывать незакрепляющий процесс, мы собираемся вручную развязать все сами с более чистым и более стабильным результатом.
После того, как вы измените свой SSID и просмотрите настройки, нажмите «Сохранить».
Затем перейдите к Wireless -> Wireless Security:
Сейчас самое время подтвердить, что поблизости Wi-Fi устройства могут видеть как первичные, так и вторичные точки доступа. Открытие интерфейса Wi-Fi на смартфоне - отличный способ быстро проверить. Вот вид с экрана конфигурации Wi-Fi на Android:
Следующим шагом является начало процесса разделения SSID в сети путем назначения уникального диапазона IP-адресов гостевым устройствам Wi-Fi.
Перейдите в меню «Настройка» -> «Сеть». В разделе «Мосты» нажмите кнопку «Добавить».
Назначить гостевую сеть мосту
Примечание: спасибо читателю Джоэлю за то, что он указал на эту часть и дал нам инструкции для добавления в учебник.
В разделе «Присвоить мосту» нажмите «Добавить». Выберите новый мост, который вы создали из первого раскрывающегося списка, и соедините его с интерфейсом «wl0.1».
Теперь нажмите «Сохранить» и «Применить настройки».
Примечание. Если Wi-Fi AP, настроенный для двойных SSID, поддерживает копирование на другом устройстве (например, у вас есть два маршрутизатора Wi-Fi в вашем доме или офисе, чтобы расширить зону покрытия и тот, который вы устанавливаете гостевой SSID вверх on - № 2 в цепочке), вам нужно настроить DHCP в разделе «Службы». Если это похоже на вашу настройку, пришло время перейти к разделу Services -> Services.
# Enables DHCP on br1 interface=br1 # Set the default gateway for br1 clients dhcp-option=br1,3,192.168.2.1 # Set the DHCP range and default lease time of 24 hours for br1 clients dhcp-range=br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Нажмите «Применить настройки» в нижней части страницы.
Используете ли вы технику один или два, подождите несколько минут, чтобы подключиться к новому гостевому SSID. Когда вы подключаетесь к гостевому SSID, проверьте свой IP-адрес. Вы должны иметь IP-адрес в диапазоне, указанном выше. Опять же, удобно использовать ваш смартфон для проверки:
Единственная проблема, однако, в том, что вторичная AP все еще имеет доступ к ресурсам первичной сети. Это означает, что все сетевые принтеры, сетевые ресурсы и т. Д. Все еще видны (вы можете протестировать его сейчас, попробуйте найти сетевой ресурс из вашей основной сети на вторичной AP).
если ты хочу гости на вторичной точке доступа имеют доступ к этим вещам (и следуют вместе с учебником, чтобы вы могли выполнять другие задачи с двойным SSID, такие как ограничение пропускной способности гостевой сети или время, когда им разрешено использовать Интернет), тогда вы эффективно выполняете руководство.
Мы полагаем, что большинство из вас хотели бы, чтобы ваши гости сотрясались вокруг вашей сети и нежно ставили их в сторону Facebook и электронной почты. В этом случае нам нужно завершить процесс, отключив вторичную точку доступа от физической сети.
#Removes guest access to physical network iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP #Removes guest access to the router's config GUI/ports iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Нажмите «Сохранить брандмауэр» и перезагрузите маршрутизатор.
Эти дополнительные правила брандмауэра просто останавливают все на двух мостах (частная сеть и общедоступная / гостевая сеть) от разговоров, а также отклоняют любой контакт между клиентом в гостевой сети и портами telnet, SSH или веб-сервера на маршрутизатора (тем самым ограничивая их попытками доступа к файлам конфигурации маршрутизатора).
Слово об использовании командной оболочки и сценарии запуска, завершения работы и брандмауэра. Во-первых, команды IPTABLES обрабатываются по порядку. Изменение порядка линий индивидуумов может значительно изменить результат. Во-вторых, на десятках маршрутизаторов, поддерживаемых DD-WRT, есть десятки десятков маршрутизаторов, и в зависимости от вашего конкретного маршрутизатора и конфигурации вам может понадобиться настроить команды IPTABLES выше. Скрипт работал для нашего маршрутизатора, и он использует самые широкие и самые простые команды для выполнения задачи, поэтому он должен работать для большинства маршрутизаторов. Если это не так, мы настоятельно рекомендуем вам искать конкретную модель маршрутизатора на дискуссионных форумах DD-WRT и посмотреть, есть ли у других пользователей те же проблемы, которые у вас есть.
На этом этапе вы закончили настройку и готовы наслаждаться двойными SSID и всеми преимуществами, которые приходят с ними. Вы можете легко выдавать гостевой пароль (и изменять его по своему усмотрению), настраивать правила QoS для гостевой сети и в противном случае изменять и ограничивать гостевую сеть способами, которые не будут влиять на вашу основную сеть.
