Kuidas lubada traadita võrgu külalispääsupunkti

2023 Autor: Geoffrey Carr | [email protected]. Viimati modifitseeritud: 2023-08-25 10:55

Wi-Fi jagamine külalistega on lihtsalt viisakas asi, mida teha, kuid see ei tähenda, et soovite anda neile laialdase juurdepääsu kogu teie LAN-ile. Loe edasi, kui näeme teile, kuidas seadistada oma ruuteri kahesuguste SSID-ide jaoks ja luua oma külaliseks eraldi (ja turvatud) pöörduspunkt.

Miks ma tahan seda teha?

Kaks võrgupunkti (AP) jaoks on teie koduvõrgu loomiseks vaja mitmeid praktilisi põhjuseid.

Enamiku inimeste jaoks kõige praktilisema rakenduse põhjus on lihtsalt oma koduvõrgu eraldamine, nii et külalised ei pääse juurde asjadele, mida soovite jääda privaatseks. Peaaegu iga kodus asuva WiFi-pöörduspunkti / ruuteri vaikeseadeks on kasutada üht traadita pöörduspunkti ja kõigile, kellel on juurdepääs sellele AP-le, antakse juurdepääs võrgule nii, nagu oleks see Etherneti kaudu otse AP-i kaudu ühendatud.

Teisisõnu, kui annate oma sõpradele, naaberriikidele, külalistele või külalistele kes iganes teie Wi-Fi AP-i parooli, olete andnud neile juurdepääsu teie võrguprinterile, kõik teie võrgu avatud osad, võrgu turvamata seadmed ja nii edasi. Võib-olla olete just tahtnud lasta neil oma e-postitusi kontrollida või mängida võrgus, kuid olete andnud neile vabaduse rända ükskõik, kus soovite oma sisevõrgus.

Nüüd, kui enamikul meist kindlasti pole sõprade jaoks pahatahtlikke häkkerid, ei tähenda see, et meie võrgustikke oleks mõistlik seada, et külalised jääksid seal, kus nad kuuluvad (aia tasuta internetiühenduse poolel) ja ei saa minna seal, kus nad seda ei tee (koduserveris või isiklikel sidevahenditel).

Veel üheks praktiliseks põhjuseks AP-i käitamiseks kahe SSID-iga on võime mitte ainult piirata seda, kus külaline AP võib minna, vaid millal. Näiteks kui olete näiteks vanem, kes soovib piirata, kui kaua laps võib arvutist minema, siis võite oma sekundaarses rakenduses oma arvutisse, tahvelarvutid jms panna ja seada internetiühenduse piiranguid kogu alamprogrammile -SSID pärast, ütleme, 9PM.

Mida ma vajan?

Meie juhendaja täna keskendub DD-WRT-i ühilduva ruuteri kasutamisele, et saavutada kahesugused SSID-id. Sellisel juhul vajate järgmisi asju:

1 DD-WRT-ga ühilduv marsruuter koos sobiva riistvara versiooniga (näitame teile, kuidas seda kontrollida)
1 paigaldatud DD-WRT-i koopia nimetatud ruuterile

See ei ole ainus viis oma koduvõrgu jaoks topelt SSID-ide seadistamiseks. Käivitame oma SSID-id välja üldlevinud Linksys WRT54G seeria traadita ruuteriga. Kui te ei soovi oma vana marsruuteri abil vältida probleemse püsivara vajutamist ja täiendavaid konfigureerimise samme, võite selle asemel:

Ostke uuem ruuter, mis toetab kahesuunalisi SSID-sid otse pakendist, näiteks ASUS RT-N66U.
Ostke teine traadita ruuter ja seadke see iseseisvaks pöörduspunktiks.

Kui teil pole juba ruuterit, mis toetab kahesuguseid SSID-sid (sellisel juhul võite selle juhendi vahele jätta ja lihtsalt lugeda oma seadme kasutusjuhendit), on mõlemad need võimalused ideaalsemad, kuna peate kulutama lisaraha ja juhul, kui teine variant, tee hulga täiendavaid seadistusi, sealhulgas sekundaarse AP-i seadistamine, et mitte segada ja / või kattuda teie esmase AP-ga.

Kõike seda silmas pidades võtsime rohkem kui õnnelikult kasutama juba kasutatavat riistvarat (Linksys WRT54G seeria raadiovõrgu marsruuterit) ja vaheta välja raha ja täiendavat Wi-Fi võrgu tutistamist.

Kuidas ma tean, et minu ruuter on ühilduv?

Selle juhendaja edu saavutamiseks on vaja kontrollida kahte kriitilist ühilduvuse elementi. Esimene ja kõige elementaarsem on kontrollida, kas teie konkreetsel ruuteril on DD-WRT-tugi. Siin saate vaadata DD-WRT wiki marsruuteri andmebaasi.

Kui olete kindlaks teinud, et teie ruuter sobib DD-WRT-iga, peame kontrollima ruuteri kiibi versiooni numbrit. Näiteks, kui teil on näiteks tõesti vana Linksysi ruuter, võib see olla igasugune täiuslik hooldatav marsruuter, kuid kiip ei pruugi toetada kahesuguseid SSID-sid (mis muudab selle põhimõtteliselt kokkusobimatu juhendajaga).

Ruuteri läbivaatamise numbri osas on kaks ühilduvust. Mõned ruuterid võivad teha mitu SSID-d, kuid nad ei saa jagada SSID-sid erinevatesse absoluutselt unikaalsetesse pöörduspunktidesse (nt iga SSID-i jaoks ainulaadne MAC-aadress). Mõnes olukorras võib see põhjustada mõningate Wi-Fi-seadmetega probleeme, sest nad võivad segamini ajada, millise SSID-i (kuna mõlemal on sama MAC-aadress), mida nad peaksid kasutama. Kahjuks ei ole võimalik ennustada, millised seadmed viga teie võrgust valesti, mistõttu me ei saa seda välja tõrjuda, soovitame vältida selles juhendis kirjeldatud tehnikat, kui leiate, et teil on seade, mis ei toeta diskreetseid SSID-e.

Saate vaadata paranduste numbrit, sooritades oma ruuteri konkreetse mudeli Google'i otsingu koos teabelehega trükitud versiooninumbri (tavaliselt leitud ruuteri altpoolt), kuid oleme leidnud selle meetodi ebausaldusväärseks (sildid võib valesti kohaldada, veebis avaldatud teave mudeli ja valmistamiskuupäeva kohta võib olla ebatäpne jne)

Kõige usaldusväärsem viis kontrollida marsruuteri kiibi versiooni numbrit on faktiliselt uurida ruuterit. Selleks peate tegema järgmised toimingud.Avage Telneti klient (kas mitmeotstarbeline programm, nagu PuTTY või põhiline Windows Telneti käsk) ja telneti oma ruuteri IP-aadressile (nt 192.168.1.1). Sisselogimine ruuterisse, kasutades administraatori sisselogimist ja parooli (pidage meeles, et mõne ruuteri jaoks, isegi kui sisestate ruuteris veebipõhise halduse portaali sisselülitamiseks "admin" ja "mypassword", peate võib-olla sisestama root "Ja" mypassword ", et logida telneti kaudu sisse logida).

Kui oled sisse loginud ruuterisse, tippige järgmine käsk viirusel:


nvram show|grep corerev

See tagastab teie ruuteri kiibi (de) põhiversiooni numbri järgmises vormingus:


wl0_corerev=9 wl_corerev=

Mida ülalnimetatud väljund tähendab, et meie ruuteril on üks raadio (wl0, pole wl1) ja selle raadio kiibi põhiline versioon on 9. Kuidas tõlgendab väljundit? Redigeerimisnumber seos meie juhendiga tähendab järgmist:

0-4 Ruuter ei toeta mitu SSID-d (koos unikaalsete identifikaatoritega või muul viisil)
5-8 Ruuter toetab mitut SSID-d (kuid mitte kordumatuid tunnuseid)
9+ Ruuter toetab mitut SSID-d (koos unikaalsete identifikaatoritega)

Nagu näete ülaltoodud käsu väljundist, võtsime lucked out. Meie ruuteri kiip on madalaim versioon, mis toetab kordumatuid tunnuseid mitmete SSID-idega.

Kui olete kindlaks teinud, et ruuter võib toetada mitu SSID-d, peate installima DD-WRT. Kui teie ruuter on saadetud DD-WRT-ga või kui see juba installitud, on see fantastiline. Kui te pole seda veel installinud, soovitame laadida alla sobiva versiooni DD-WRT veebisaidilt ja järgida meie juhendamist: Pöörake oma koduvõrguadapterit DD-WRT-ga Super-Powered ruuterisse.

Lisaks meie juhendamisele ei saa me rõhutada ulatusliku ja suurepäraselt säilitatava DD-WRT wiki väärtust. Loe üles oma konkreetsel ruuteril ja parimad tavad selle nimel, et uut püsivara värskendada.

DD-WRT konfigureerimine mitu SSID-d

Teil on ühilduv ruuter, olete tahtnud DD-WRT-i, nüüd on aeg alustada teise SSID-i seadistamist. Sarnaselt peaksite alati uut püsivara üle traadiga ühenduse uuesti ühendama, soovitame tungivalt töötada traadita seadistusega traadiga ühenduse kaudu, nii et muudatused ei muuda teie traadita arvutit võrgust välja.

Avage veebibrauser ruuteri kaudu ühendatud arvuti kaudu Etherneti kaudu. Liikuge vaikimisi ruuteri IP-le (tavaliselt 198.168.1.1). DD-WRT liideses navigeerige juhtpaneeli Wireless -> Basic Settings (nagu on näha ülaltoodud pildil). Näete, et meie olemasoleval Wi-Fi-seadmel on SSID "HTG_Office".

Lehe alaosas klõpsake jaotises "Virtuaalsed liidesed" nuppu Lisa. Eelnevalt tühi jaotis "Virtuaalsed liidesed" laieneb selle eelkirjeldatud sisuga:

See virtuaalne liides on teie olemasoleva raadio kiibiga ühendatud (märkige uue kirje pealkirjas wl0.1). Seda tähistab ka SSID-i stenogramm, siis vaikimisi SSID-i lõpus olev vap tähendab Virtual Access Point. Lagundame ülejäänud sissekanded uue virtuaalse liidese all.

Saate SSID-i ümber nimetada iganes sa vajad. Vastavalt meie olemasolevale nimetamiskonventsioonile (ja meie külalistele elukvaliteedi lihtsustamiseks) muudame SSID vaikeväärtusest "HTG_Guest" - meenutagem, et meie peamine Wi-Fi AP on "HTG_Office".

Jätke raadiovõrgu SSID-võrguühendus aktiivseks. Paljude vanemate arvutite ja WiFi-seadmetega ei mängi mitte ainult väga salajasi SSID-e, vaid varjatud külalisvõrgustik ei ole väga innukas / kasulik külalisvõrgustik.

AP isolatsioon on turvalisuse seade, mille me jätame oma äranägemise järgi lubama või keelata. Kui lülitate rakenduse AP Isolation sisse, on teie külalisest Wi-Fi-võrgus olev klient täielikult üksteisest eraldatud. Turvalisuse seisukohalt on see suurepärane, kuna see hoiab pahatahtlikus kasutajatel teiste kasutajate klientidelt kummarduda. Kuid see on pigem mure ettevõtete võrkude ja avalike levialade pärast. Pea meeles, et see tähendab ka seda, et kui teie vennatütar ja vennapäis on lõppenud ja nad tahavad mängida Nintendo DS-seadmetes WiFi-lingitud mängu, ei saa nende DS-üksused üksteist näha. Enamikes kodus ja väikestes bürooderakendustes pole vähimatki põhjust rakendusüksuste eraldamiseks.

Võrgukonfiguratsiooniga seotud lühendatud / sillatud seade viitab sellele, kas Wi-Fi AP on ühendatud füüsilise võrguga või mitte. Nagu see on vastandlik, peate selle valima, et see on Bridged. Selle asemel, et lasta ruuteri püsivara käepidemel (üsna kohmakalt) lahtivõetavaks protsessiks, eemaldame me käsitsi kõik endast puhta ja stabiilse tulemusega.

Kui olete SSIDi muutnud ja seaded läbi vaadanud, klõpsake nuppu Salvesta.

Järgmine navigeerige Wireless -> Wireless Security:

Vaikimisi pole teise AP-i turvalisus. Võite jätta selle katsetamise eesmärgil ajutiselt (me jätsime end avatud kuni lõpuni), et päästa ennast testimisseadmete paroolist sisestades. Kuid me ei soovita jätta seda püsivalt avatuks. Olenemata sellest, kas soovite sellel hetkel selle avada või mitte, peate klõpsama nupul Salvesta ja seejärel rakenduste seadeid muudatusteks, mida tegime mõlemas eelmises jaotises, ja see, mis jõustuks. Ole kannatlik, muudatuste jõustumiseks võib kuluda kuni 2 minutit.

Nüüd on suurepärane aeg kinnitada, et läheduses olevad WiFi-seadmed näevad nii esmaseid kui ka teiseseid rakendusi. WiFi-liidese avamine nutitelefonis on suurepärane viis kiireks kontrollimiseks. Siit leiate meie Android-telefoni WiFi-konfiguratsioonilehe vaate:

Me ei saa veel sekundaarsele AP-le ühendust võtta, kuna meil on tarvis routerisse teha veel mõned muudatused, kuid alati on mõnus näha neid mõlemas loendis.

Järgmine samm on alustada võrgu SSID-de eraldamise protsessi, määrates külalise WiFi-seadmetele unikaalse hulga IP-aadresse.

Navigeerige häälestusse -> võrgundus. Jaotises "Sildamine" klõpsake nupul Lisa.

Esmalt muutke esialgne pesa väärtuseks "br1", jätke ülejäänud väärtused samad. Te ei näe allpool olevat IP / alamvõrgu kirjeid. Klõpsake "Rakenda seadeid". Uus sild asub Sidumisosas, kus on saadaval IP ja alamvõrgu sektsioonid. Määrake oma IP-aadressi tavalisele võrgu IP-le üks väärtus (nt teie põhivõrk on 192.168.1.1, seega tehke see väärtus 192.168.2.1). Määrake alamvõrgu mask väärtuseks 255.255.255.0. Klikkige uuesti lehe alaosas nupul "Rakenda seadeid".

Viige külastajate võrgustik sillaks

Märkus. Tänu lugejale Joelile selle osa tutvustamiseks ja juhiste lisamiseks õpetajale.

Jaotises "Määra sillale" klõpsake "Lisa". Valige esimesest rippmenüüst uus sild, mille olete loonud ja paar seda liidesega wl0.1.

Nüüd klõpsake nuppu "Salvesta" ja "Rakenda seadeid".

Pärast muudatuste rakendamist liikuge lehe alaosale veel kord DHCPD jaotisele. Klõpsake nuppu "Lisa". Lülitage esimene pesa sisse "br1". Jäta ülejäänud seaded samale tasemele (nagu allpool oleval pildil).

Klõpsake nuppu "Rakenda seadeid" veel kord. Kui olete seadistamise -> Networking lehe kõik ülesanded lõpetanud, peaksite olema ühenduvuse ja DHCP-i loomisel hea.

Märkus. Kui Wi-Fi AP, mille konfigureerite kahesuguste SSID-ide jaoks, on teise seadme rämpspost (nt teie kodus või kontoris on kaks Wi-Fi ruuterit, et laiendada teie leviala ja seda, mille külastad SSID-d on ketas # 2), peate seadistama DHCPi jaotises Teenused. Kui see tundub nii nagu teie seadistus, on aeg minna teenusesse Teenused -> Teenused.

Teenuseosas peame DNSMasqi jaotisele natuke koodi lisama, nii et ruuter määrab õigesti dünaamilised IP-aadressid külalisvõrku ühendavatele seadmetele. Kerige DNSMasq jaotisest alla. Kast "Täiendavad DNSMasqi valikud" kleepige järgmine kood (miinus # märkused, mis selgitavad iga rea funktsionaalsust):


# Enables DHCP on br1 interface=br1 # Set the default gateway for br1 clients dhcp-option=br1,3,192.168.2.1 # Set the DHCP range and default lease time of 24 hours for br1 clients dhcp-range=br1,192.168.2.100,192.168.2.150,255.255.255.0,24h

Klõpsake lehe alaosas nupul Rakenda sätted.

Ükskõik kas te kasutasite ühte või kahte tehnikat, oodake mõne minutiga uue külalise SSID-ga ühenduse loomiseks. Kui külastate SSID-ga ühendust, kontrollige oma IP-aadressi. Teil peaks olema IP eespool nimetatud ulatuses. Jällegi on teie nutitelefoni kasutamine kontrollimiseks kasulik.

Kõik tundub hea. Sekundaarne AP määrab dünaamilised IP-d sobivas vahemikus, võime Internetti jõudmiseks - siin teeme märkuse, suurt edu.

Ainus probleem on siiski see, et sekundaararveldussüsteemil on endiselt juurdepääs põhivõrgu ressurssidele. See tähendab, et kõik võrgupõhised printerid, võrgudokumendid ja need on ikka veel nähtavad (saate seda kohe proovida, proovige leida teises võrguporteris põhivõrgu jaoks võrguolekut).

Kui sa tahad sekundaarsel rakendusel olevatel külalistel on juurdepääs neile asjadele (ja nad järgivad koos juhendajaga, et saaksite teha ka teisi SSID-ülesandeid, näiteks piirata külaline ribalaiust või ajad, mille jooksul neil on lubatud Interneti kasutamine), siis saate tõhusalt teha juhendaja.

Kujutleme, et enamik inimesi sooviks hoida oma külalisi oma võrgust ümber lüüa ja õrnalt kiskuda neid Facebooki ja e-posti juurde. Sellisel juhul peame protsessi lõpetama, eemaldades teisese AP-i füüsilisest võrgust.

Liikuge administreerimisele -> käsud. Näete nimega "Command Shell" märgitud ala. Kleepige järgmised käsklused, välja arvatud # kommentaari read, redigeeritavasse piirkonda:


#Removes guest access to physical network iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP #Removes guest access to the router's config GUI/ports iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset

Klõpsake nuppu "Salvesta tulemüür" ja taaskäivitage oma ruuter.

Need täiendavad tulemüüri reeglid lihtsustavad kõigist kahe silda (privaatvõrgu ja avaliku / külalisvõrgu) vahelist kõne lõpetamist, samuti keelavad kliendid külastatava võrgu ja telneti, SSHi või veebiserveri portide vahel kontaktid marsruuterit (seega piirab see lihtsalt juurdepääsu ruuteri konfiguratsioonifailidele).

Sõna käskluse shelli käivitamise, sulgemise ja tulemüüri skriptide kasutamise kohta. Esiteks, IPTABLES käske töödeldakse järjekorras. Üksikute ridade järjekorda muutmine võib tulemust oluliselt muuta. Teiseks on kümneid DD-WRT-i toetatud ruutereid ja sõltuvalt teie konkreetsest ruuterist ja konfiguratsioonist võib vaja minna IPTABLES-i käske ülakirjeldatult. Skript töötas meie ruuteril ja see kasutab kõige laiemat ja lihtsamat käsklust, et ülesanne täita, nii et see peaks enamikele ruuteritele töötama. Kui see ei õnnestu, soovitame teil tungivalt teie DD-WRT-i arutelufoorumitel otsida teie konkreetset ruuteri mudelit ja vaadata, kas teised kasutajad on teiega samu probleeme.

Sel hetkel olete valmis konfiguratsiooniga ja valmis nautima kahesuguseid SSID-sid ja kõiki eeliseid, mida nad kasutavad. Saate hõlpsalt välja anda külalise parooli (ja seda soovi korral muuta), seadistada külalistevõrgu QoS-reegleid ja muul moel muuta ja piirata külalistevõrku viisil, mis kõige vähem ei mõjuta teie põhivõrku.