Домашняя » как » Как включить гостевую точку доступа в вашей беспроводной сети

    Как включить гостевую точку доступа в вашей беспроводной сети

    Совместное использование Wi-Fi с гостями - это просто вежливое занятие, но это не значит, что вы хотите предоставить им широкий открытый доступ ко всей вашей локальной сети. Продолжайте читать, пока мы покажем вам, как настроить маршрутизатор для двойных SSID и создать отдельную (и защищенную) точку доступа для ваших гостей..

    Почему я хочу это сделать?

    Есть несколько очень практических причин для того, чтобы настроить домашнюю сеть на наличие точек двойного доступа (AP)..

    Причиной наиболее практичного применения для большинства людей является просто изоляция вашей домашней сети, чтобы гости не могли получить доступ к вещам, которые вы хотите оставить приватными. Конфигурация по умолчанию почти для каждой домашней точки доступа / маршрутизатора Wi-Fi - это использование одной беспроводной точки доступа, и любому, кто авторизован для доступа к этой точке доступа, предоставляется доступ к сети, как если бы он был подключен прямо к точке доступа через Ethernet..

    Другими словами, если вы даете своему другу, соседу, гостю дома или кто бы ни пароль для вашей точки доступа Wi-Fi, вы также дали им доступ к вашему сетевому принтеру, любым открытым ресурсам в вашей сети, незащищенным устройствам в вашей сети и т. д. Возможно, вы просто хотели позволить им проверить свою электронную почту или поиграть в онлайн-игру, но вы дали им возможность свободно перемещаться в любом месте вашей внутренней сети..

    Теперь, хотя у большинства из нас, конечно же, нет злонамеренных хакеров для друзей, это не значит, что нет смысла настраивать наши сети так, чтобы гости оставались на своих местах (на стороне бесплатного доступа в интернет) и не может идти туда, где нет (на стороне домашнего сервера / личных ресурсов).

    Другой практической причиной запуска AP с двумя SSID является возможность не только ограничивать, куда может пойти гостевая AP, но и когда. Например, если вы являетесь родителем, который хочет ограничить время, в течение которого ваш ребенок может не спать на компьютере, вы можете поместить его компьютер, планшет и т. Д. На дополнительную точку доступа и установить ограничения на доступ в Интернет для всей подгруппы. -SSID после, скажем, 9 вечера.

    Что мне нужно?

    Наше учебное пособие сегодня сфокусировано на использовании совместимого с DD-WRT маршрутизатора для достижения двойных идентификаторов SSID. Для этого вам понадобятся следующие вещи:

    • 1 DD-WRT-совместимый маршрутизатор с соответствующей версией аппаратного обеспечения (мы покажем вам, как это проверить)
    • 1 установленная копия DD-WRT на указанном маршрутизаторе

    Это не единственный способ настроить двойной SSID для вашей домашней сети. Мы собираемся запускать наши SSID с вездесущего беспроводного маршрутизатора Linksys серии WRT54G. Если вы не хотите проходить через перепрошивку кастомной прошивки на старом маршрутизаторе и выполнять дополнительные шаги по настройке, вы можете вместо этого:

    • Приобретите новый маршрутизатор с поддержкой двух идентификаторов SSID, например ASUS RT-N66U..
    • Купите второй беспроводной маршрутизатор и настройте его как отдельную точку доступа.

    Если у вас уже нет маршрутизатора, поддерживающего двойные идентификаторы SSID (в этом случае вы можете пропустить этот учебник и просто прочитать руководство для вашего устройства), оба эти варианта не идеальны, поскольку вам приходится тратить дополнительные деньги, а в случае второй вариант, выполнить кучу дополнительных настроек, включая настройку вторичной точки доступа, чтобы она не мешала и / или не перекрывала вашу основную точку доступа..

    В свете всего этого мы были более чем счастливы использовать уже имеющееся у нас оборудование (беспроводной маршрутизатор Linksys серии WRT54G) и пропустить расходы, связанные с наличными и дополнительной настройкой сети Wi-Fi..

    Как я знаю, что мой маршрутизатор совместим?

    Есть два критических элемента совместимости, которые вы должны проверить, чтобы добиться успеха в этом уроке. Первый и самый элементарный - проверить, поддерживает ли ваш конкретный маршрутизатор DD-WRT. Вы можете посетить базу данных маршрутизатора вики DD-WRT здесь, чтобы проверить.

    После того, как вы установили, что ваш маршрутизатор совместим с DD-WRT, нам нужно проверить номер ревизии чипа вашего маршрутизатора. Например, если у вас действительно старый маршрутизатор Linksys, это может быть любой другой маршрутизатор, который может быть исправным, но чип может не поддерживать двойные идентификаторы SSID (что делает его принципиально несовместимым с руководством)..

    Существует две степени совместимости в отношении номера версии маршрутизатора. Некоторые маршрутизаторы могут делать несколько SSID, но они не могут разбивать SSID на отдельные абсолютно уникальные точки доступа (например, уникальный MAC-адрес для каждого SSID). В некоторых ситуациях это может вызвать проблемы с некоторыми устройствами Wi-Fi, поскольку они не могут понять, какой SSID (так как у них обоих одинаковый MAC-адрес) они должны использовать. К сожалению, нет никакого способа предсказать, какие устройства будут работать некорректно в вашей сети, поэтому мы не можем рекомендовать вам избегать метода, описанного в этом руководстве, если вы обнаружите, что у вас есть устройство, которое не поддерживает дискретные идентификаторы SSID.

    Вы можете проверить номер ревизии, выполнив поиск в Google для конкретной модели вашего роутера вместе с номером версии, напечатанным на информационной этикетке (обычно находится на нижней стороне роутера), но мы сочли этот метод ненадежным (метки может быть неверно применена, информация, опубликованная в сети относительно модели и даты изготовления, может быть неточной и т. д.)

    Самый надежный способ проверить номер ревизии чипа в вашем маршрутизаторе - это опросить маршрутизатор, чтобы выяснить это. Для этого вам необходимо выполнить следующие шаги. Откройте клиент telnet (либо многоцелевую программу, например PuTTY, либо базовую команду Windows Telnet) и подключите telnet к IP-адресу вашего маршрутизатора (например, 192.168.1.1). Войдите в маршрутизатор, используя логин и пароль администратора (имейте в виду, что для некоторых маршрутизаторов, даже если вы вводите «admin» и «mypassword» для входа на веб-портал управления на маршрутизаторе, вам может потребоваться ввести «root»). »И« mypassword »для входа через telnet).

    После входа в маршрутизатор введите в командной строке следующую команду:

    nvram show | греп коререв

    Это вернет номер версии ядра чипа (ов) в вашем маршрутизаторе в следующем формате:

    wl0_corerev = 9
    wl_corerev =

    Что означает вышеприведенный вывод, так это то, что у нашего маршрутизатора есть одна радиостанция (wl0, нет wl1) и что основной версией этого радиочипа является 9. Как вы интерпретируете вывод? Номер редакции по отношению к нашему руководству означает следующее:

    • 0-4 Маршрутизатор не поддерживает несколько SSID (с уникальными идентификаторами или иным образом)
    • 5-8 Маршрутизатор поддерживает несколько SSID (но не с уникальными идентификаторами)
    • 9+ Маршрутизатор поддерживает несколько SSID (с уникальными идентификаторами)

    Как вы можете видеть из результатов нашей команды выше, нам повезло. Чип нашего маршрутизатора является самой низкой версией, которая поддерживает несколько SSID с уникальными идентификаторами.

    После того, как вы определили, что ваш маршрутизатор может поддерживать несколько SSID, вам нужно установить DD-WRT. Если ваш маршрутизатор поставляется с DD-WRT или вы уже установили его, это просто фантастика. Если вы еще не установили его, мы рекомендуем загрузить соответствующую версию с веб-сайта DD-WRT и следовать вместе с нашим учебным пособием: Превратите ваш домашний маршрутизатор в супер-управляемый маршрутизатор с DD-WRT.

    В дополнение к нашему уроку, мы не можем подчеркнуть ценность обширной и превосходно поддерживаемой вики DD-WRT. Ознакомьтесь с вашим конкретным маршрутизатором и с рекомендациями по прошивке на него новой прошивки.

    Настройка DD-WRT для нескольких SSID

    У вас есть совместимый маршрутизатор, вы установили на него DD-WRT, теперь пришло время приступить к настройке второго SSID. Так же, как вы всегда должны прошивать новую прошивку через проводное соединение, мы настоятельно рекомендуем работать над настройкой беспроводной сети через проводное соединение, чтобы изменения не вынудили ваш беспроводной компьютер отключиться от сети.

    Откройте веб-браузер на компьютере, подключенном к маршрутизатору через Ethernet. Перейдите к IP-адресу маршрутизатора по умолчанию (обычно 198.168.1.1). В интерфейсе DD-WRT перейдите к Wireless -> Basic Settings (как видно на скриншоте выше). Вы можете видеть, что наша существующая точка доступа Wi-Fi имеет SSID «HTG_Office».

    В нижней части страницы, в разделе «Виртуальные интерфейсы», нажмите кнопку «Добавить». Ранее пустой раздел «Виртуальные интерфейсы» будет расширен с помощью этой предварительно заполненной записи:

    Этот виртуальный интерфейс встроен в существующий радиочип (обратите внимание на wl0.1 в заголовке новой записи). Даже сокращение в SSID указывало на это, «vap» в конце SSID по умолчанию обозначает виртуальную точку доступа. Давайте разберем остальные записи в новом виртуальном интерфейсе.

    Вы можете переименовать SSID по своему усмотрению. В соответствии с нашим существующим соглашением об именах (и для облегчения жизни наших гостей) мы собираемся изменить SSID со значения по умолчанию на «HTG_Guest» - помните, что наша основная точка доступа Wi-Fi - «HTG_Office».

    Оставьте Wireless SSID Broadcast включенным. Мало того, что многие старые компьютеры и устройства с поддержкой Wi-Fi не очень хорошо играют с секретными идентификаторами SSID, но скрытая гостевая сеть не очень привлекательная и полезная гостевая сеть..

    AP Isolation - это параметр безопасности, который мы оставим на ваше усмотрение, чтобы включить или отключить. Если вы включите AP Isolation, каждый клиент в вашей гостевой сети Wi-Fi будет полностью изолирован друг от друга. С точки зрения безопасности это здорово, так как он не позволяет злоумышленнику копаться в клиентах других пользователей. Однако это больше касается корпоративных сетей и общественных точек доступа. С практической точки зрения это также означает, что если ваши племянница и племянник закончили, и они хотят играть в игру, связанную с Wi-Fi, на своих устройствах Nintendo DS, их подразделения DS не смогут видеть друг друга. В большинстве приложений для дома и небольшого офиса нет особых причин изолировать точки доступа..

    Опция Unbridged / Bridged в конфигурации сети указывает, будет ли AP Wi-Fi подключен или нет к физической сети. Как бы нелогично это ни было, вам нужно оставить для него значение Bridged. Вместо того, чтобы позволить микропрограммному обеспечению маршрутизатора обрабатывать (довольно неуклюже) процесс разрыва связи, мы собираемся вручную разомкнуть все сами с более чистым и более стабильным результатом..

    После того, как вы измените свой SSID и просмотрите настройки, нажмите Сохранить.

    Далее перейдите к Wireless -> Wireless Security:

    По умолчанию нет безопасности на втором AP. Вы можете временно оставить его как таковой для целей тестирования (мы оставляли наши открытыми до самого конца), чтобы уберечь себя от ввода пароля на ваших тестовых устройствах. Однако мы не рекомендуем оставлять его открытым постоянно. Независимо от того, решили вы оставить его открытым или нет, вам нужно нажать кнопку «Сохранить», а затем «Применить настройки», чтобы изменения, которые мы внесли как в предыдущем разделе, так и в этот, вступили в силу. Будьте терпеливы, чтобы изменения вступили в силу, может потребоваться до 2 минут.

    Сейчас самое время подтвердить, что близлежащие устройства Wi-Fi могут видеть как первичные, так и вторичные точки доступа. Открытие интерфейса Wi-Fi на смартфоне - отличный способ быстро проверить. Вот вид со страницы конфигурации Wi-Fi нашего Android-телефона:

    Мы пока не можем подключиться к вторичной точке доступа, поскольку нам нужно внести еще несколько изменений в маршрутизатор, но всегда приятно видеть их обоих в списке.

    Следующий шаг - начать процесс разделения SSID в сети, назначив уникальный диапазон IP-адресов для гостевых устройств Wi-Fi..

    Перейдите в «Настройка» -> «Сеть». В разделе «Мост» нажмите кнопку «Добавить»..

    Сначала измените начальный слот на «br1», оставьте остальные значения такими же. Вы еще не сможете увидеть запись IP / подсети, показанную выше. Нажмите «Применить настройки». Новый мост будет в разделе Bridging с доступными разделами IP и Subnet. Установите IP-адрес равным одному значению от IP-адреса вашей обычной сети (например, ваша основная сеть - 192.168.1.1, поэтому установите это значение 192.168.2.1). Установите маску подсети 255.255.255.0. Снова нажмите «Применить настройки» внизу страницы..

    Назначить гостевую сеть мосту

    Примечание: спасибо читателю Джоэлу за то, что он указал на эту часть и дал нам инструкции, чтобы добавить к учебнику.

    Под «Назначить мосту» нажмите «Добавить». Выберите новый мост, который вы создали, из первого раскрывающегося списка и соедините его с интерфейсом «wl0.1»..

    Теперь нажмите «Сохранить» и «Применить настройки».

    После внесения изменений еще раз прокрутите страницу вниз до раздела DHCPD. Нажмите «Добавить». Переключите первый слот на «br1». Оставьте остальные настройки такими же (как показано на скриншоте ниже).

    Нажмите «Применить настройки» еще раз. После того, как вы выполнили все задачи на странице «Настройка» -> «Сеть», вы должны хорошо подключиться и назначить DHCP..

    Примечание. Если точка доступа Wi-Fi, которую вы настраиваете для двойных идентификаторов SSID, поддерживает резервное копирование на другом устройстве (например, у вас есть два маршрутизатора Wi-Fi в вашем доме или офисе для расширения зоны обслуживания и тот, на котором вы устанавливаете гостевой SSID) на # 2 в цепочке) вам нужно настроить DHCP в разделе Services. Если это похоже на ваши настройки, пришло время перейти к разделу Сервисы -> Сервисы.

    В разделе служб нам нужно добавить немного кода в раздел DNSMasq, чтобы маршрутизатор правильно назначал динамические IP-адреса устройствам, подключенным к гостевой сети. Прокрутите вниз раздел DNSMasq. В поле «Дополнительные параметры DNSMasq» вставьте следующий код (минус # комментариев, объясняющих функциональность каждой строки):

    # Включает DHCP на br1
    Интерфейс = BR1
    # Установить шлюз по умолчанию для клиентов br1
    DHCP-опция = br1,3,192.168.2.1
    # Установите диапазон DHCP и время аренды по умолчанию 24 часа для клиентов br1
    Диапазон-DHCP = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h

    Нажмите «Применить настройки» внизу страницы..

    Использовали ли вы метод один или два, подождите несколько минут, чтобы подключиться к новому гостевому SSID. Когда вы подключаетесь к гостевому SSID, проверьте свой IP-адрес. У вас должен быть IP в пределах диапазона, который мы указали выше. Опять же, удобно использовать ваш смартфон для проверки:

    Все выглядит хорошо. Вторичный AP назначает динамические IP-адреса в соответствующем диапазоне, мы можем получить в Интернете - мы делаем заметку, огромный успех.

    Однако единственная проблема заключается в том, что вторичная точка доступа все еще имеет доступ к ресурсам первичной сети. Это означает, что все сетевые принтеры, сетевые ресурсы и т. Д. Все еще видны (вы можете проверить это сейчас, попробуйте найти сетевой ресурс из вашей первичной сети на вторичной точке доступа).

    если ты хочу гости на вторичной точке доступа имеют доступ к этим вещам (и следуют вместе с учебным руководством, чтобы вы могли выполнять другие задачи с двумя SSID, такие как ограничение пропускной способности гостевой системы или время, когда им разрешено пользоваться Интернетом), после чего вы фактически закончили с руководство.

    Мы представляем, что большинство из вас хотели бы, чтобы ваши гости не ковырялись в вашей сети, и осторожно толкали их на то, чтобы они обращались к Facebook и электронной почте. В этом случае нам нужно завершить процесс, отсоединив вторичную точку доступа от физической сети..

    Перейдите в Администрирование -> Команды. Вы увидите область с надписью «Командная оболочка». Вставьте следующие команды без строк комментария в редактируемую область:

    # Удаляет гостевой доступ к физической сети
    iptables -I FORWARD -i br1 -o br0 -m состояние --state NEW -j DROP
    iptables -I FORWARD -i br0 -o br1 -m состояние --state NEW -j DROP
    # Удаляет гостевой доступ к графическому интерфейсу / портам конфигурации маршрутизатора
    iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport www -j ОТКАЗАТЬ --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset

    Нажмите «Сохранить брандмауэр» и перезагрузите маршрутизатор.

    Эти дополнительные правила брандмауэра просто запрещают говорить обо всем на двух мостах (частной сети и общедоступной / гостевой сети), а также отклоняют любой контакт между клиентом в гостевой сети и портами telnet, SSH или веб-сервера на маршрутизатор (что ограничивает их попытки доступа к файлам конфигурации маршрутизатора вообще).

    Слово об использовании командной оболочки и сценариев запуска, завершения работы и брандмауэра. Сначала команды IPTABLES обрабатываются по порядку. Изменение порядка линий лиц может существенно изменить результат. Во-вторых, DD-WRT поддерживает десятки и десятки маршрутизаторов, и в зависимости от вашего конкретного маршрутизатора и его конфигурации вам может понадобиться настроить команды IPTABLES, приведенные выше. Сценарий работал для нашего маршрутизатора и использует самые широкие и простые команды для выполнения задачи, поэтому он должен работать для большинства маршрутизаторов. Если этого не произойдет, мы настоятельно рекомендуем вам найти конкретную модель маршрутизатора на дискуссионных форумах DD-WRT и выяснить, не сталкивались ли другие пользователи с такими же проблемами, как у вас..


    На этом этапе вы закончили с настройкой и готовы пользоваться двумя SSID и всеми преимуществами их использования. Вы можете легко выдать гостевой пароль (и изменить его по своему усмотрению), настроить правила QoS для гостевой сети и иным образом изменить и ограничить гостевую сеть таким образом, чтобы это никоим образом не влияло на вашу основную сеть..