Homepage » hogyan kell » Egy vendég hozzáférési pont engedélyezése a vezeték nélküli hálózaton

    Egy vendég hozzáférési pont engedélyezése a vezeték nélküli hálózaton

    A Wi-Fi megosztása a vendégekkel csak az udvarias dolog, de ez nem jelenti azt, hogy széles körű hozzáférést szeretne adni a teljes LAN-hoz. Olvassa el, ahogy megmutatjuk, hogyan állíthatja be az útválasztót kettős SSID-k számára, és hozzon létre külön (és biztonságos) hozzáférési pontot a vendégek számára.

    Miért akarom ezt tenni?

    Számos nagyon praktikus oka van annak, hogy az otthoni hálózatot kettős hozzáférési pontok (AP).

    A legtöbb ember számára a legpraktikusabb alkalmazás az oka, hogy egyszerűen elkülöníti az otthoni hálózatot, hogy a vendégek ne férhessenek hozzá olyan dolgokhoz, amelyeket magánszemélyek maradnak. Az alapértelmezett konfiguráció szinte minden otthoni Wi-Fi hozzáférési ponthoz / útválasztóhoz egyetlen vezeték nélküli hozzáférési pont és bárki, aki jogosult hozzáférni ahhoz az AP-hez, hozzáférést biztosít a hálózathoz, mintha Ethernet-en keresztül vezetnének az AP-hez..

    Más szóval, ha adod a barátodnak, szomszédodnak, ház vendégének, vagy bárki a Wi-Fi AP jelszavát, azt is megadta nekik, hogy hozzáférjenek a hálózati nyomtatóhoz, a hálózaton lévő nyitott részvényekhez, a nem biztonságos eszközökhöz a hálózaton, és így tovább. Lehet, hogy éppen most el akarta engedni, hogy ellenőrizze e-mailjeiket, vagy online játsszon játékban, de megadta nekik a szabadságot, hogy bárhová bárhová vigyázzon a belső hálózaton.

    Most, míg a legtöbbünknek nincsenek rosszindulatú hackerek barátainak, ez nem jelenti azt, hogy nem célszerű hálózatunkat felállítani, hogy a vendégek ott maradjanak (a kerítés ingyenes internet-hozzáférési oldalán) és nem mehet oda, ahol nem (az otthoni szerver / személyes részvények oldalán).

    A másik SSID-vel rendelkező AP futtatásának másik gyakorlati oka, hogy nem csak korlátozza a vendég AP-jét, de mikor. Ha például szülő vagy, azt szeretné, hogy korlátozza, milyen későn maradhat gyermeke a számítógépen, a számítógépet, táblagépet stb. -SSID után, mondjuk, 9PM.

    Mire van szükségem?

    A ma bemutatott bemutatón a DD-WRT kompatibilis router használata a kettős SSID-k elérésére irányul. Mint ilyen, szüksége lesz a következő dolgokra:

    • 1 DD-WRT kompatibilis router, megfelelő hardveres verziót használva (megmutatjuk, hogyan kell ellenőrizni)
    • 1 telepítette a DD-WRT másolatát az említett útválasztón

    Ez nem az egyetlen módja az otthoni hálózathoz tartozó kettős SSID-ek beállításának. Az SSID-ket futtatjuk le a mindenütt jelen lévő Linksys WRT54G sorozatú vezeték nélküli routerről. Ha nem szeretné, hogy a régi útválasztón egyéni firmware-t villogjon, és az extra konfigurációs lépéseket tegye, akkor helyette:

    • Vásároljon egy újabb útválasztót, amely támogatja a kettős SSID-eket a dobozból, például az ASUS RT-N66U.
    • Vásároljon egy második vezeték nélküli útválasztót, és állítsa be önálló hozzáférési pontként.

    Hacsak már nem rendelkezik egy kettős SSID-t támogató útválasztóval (ebben az esetben kihagyhatja ezt a bemutatót, és csak olvassa el a készülék használati útmutatóját), mindkét opció kevésbé ideális, mert több pénzt kell költenie, és a második lehetőség, végezzen egy csomó extra konfigurációt, beleértve a másodlagos AP beállítását, hogy ne zavarja és / vagy átfedje az elsődleges AP-t.

    Mindezek fényében több mint boldog voltunk a már meglévő hardver használatával (a Linksys WRT54G sorozatú vezeték nélküli útválasztóval), és kihagyjuk a készpénz és az extra Wi-Fi hálózat csípését.

    Hogyan tudom, hogy az útválasztó kompatibilis?

    Két kritikus kompatibilitási elem szükséges annak ellenőrzéséhez, hogy sikerül-e ez a bemutató. Az első és az elemi, hogy ellenőrizze, hogy az adott router rendelkezik-e DD-WRT támogatással. Itt ellenőrizheti a DD-WRT wiki Router adatbázisát.

    Miután megállapította, hogy az útválasztó kompatibilis a DD-WRT-vel, ellenőrizni kell a router chipének verziószámát. Ha van egy igazán régi Linksys útválasztója, akkor lehet, hogy tökéletesen használható, könnyen használható router, de a chip nem támogatja a kettős SSID-ket (ami alapvetően összeegyeztethetetlen a bemutatóval).

    Az útválasztó felülvizsgálati számának két fokú kompatibilitása van. Egyes útválasztók több SSID-t is használhatnak, de nem oszthatják meg az SSID-ket különálló, teljesen egyedi hozzáférési pontokhoz (pl. Minden egyes SSID egyedi MAC-címéhez). Bizonyos helyzetekben ez bizonyos Wi-Fi eszközökkel problémákat okozhat, mivel összezavarodnak, hogy melyik SSID (mivel mindkettőnek ugyanaz a MAC-címe van) használnia kell. Sajnos nincs mód arra, hogy megjósolja, hogy mely eszközök fognak hibásan működni a hálózaton, így nem tudjuk kiegyenlíteni, javasoljuk, hogy kerülje el az ebben a bemutatóban ismertetett technikát, ha olyan eszközt talál, amely nem támogatja a különálló SSID-ket.

    Ellenőrizheti a verziószámot úgy, hogy egy Google-keresést végez az útválasztó konkrét modelljéhez, valamint az információs címkére nyomtatott verziószámot (általában az útválasztó alján található), de ezt a technikát megbízhatatlannak találtuk (címkék tévesen alkalmazhatók, a modell és a gyártási dátum tekintetében online közzétett információk pontatlanok lehetnek stb.)

    A legmegbízhatóbb módja annak, hogy az útválasztón belül ellenőrizze a chip verziószámát, hogy ténylegesen megkérdezze a routert, hogy megtudja. Ehhez a következő lépéseket kell végrehajtania. Nyisson meg egy telnet klienst (vagy többcélú programot, mint a PuTTY vagy az alapvető Windows Telnet parancsot) és a telnetet az útválasztó IP-címéhez (pl. 192.168.1.1). Jelentkezzen be az útválasztóba a rendszergazdai bejelentkezési név és jelszó használatával (vegye figyelembe, hogy néhány útválasztó esetében még akkor is, ha beírja az „admin” és „mypassword” -et, hogy bejelentkezzen az útválasztó web-alapú kezelési portáljára, esetleg „root "És" mypassword "a telneten keresztül történő bejelentkezéshez.

    Miután bejelentkezett az útválasztóba, írja be a következő parancsot:

    nvram show | grep corerev

    Ez a következő formátumban fogja visszaadni a routerben lévő chip (ek) alapvető verziószámát:

    wl0_corerev = 9
    wl_corerev =

    A fenti kimenet azt jelenti, hogy az útválasztónknak van egy rádiója (wl0, nincs wl1), és hogy a rádió chip alapverziója 9. Hogyan értelmezi a kimenetet? A felülvizsgálati szám az útmutatónkhoz képest az alábbiakat jelenti:

    • 0-4 Az útválasztó nem támogatja több SSID-t (egyedi azonosítókkal vagy más módon)
    • 5-8 Az útválasztó több SSID-t támogat (de nem egyedi azonosítókkal)
    • 9+ Az útválasztó több SSID-t támogat (egyedi azonosítókkal)

    Ahogy a fenti parancsunkból is látható, kiesett. Az útválasztó chipje a legalacsonyabb verzió, amely egyedi azonosítókkal több SSID-t támogat.

    Miután megállapította, hogy az útválasztó több SSID-t támogat, telepítenie kell a DD-WRT-t. Ha az útválasztó DD-WRT-vel szállított vagy fantasztikusan telepítette. Ha még nem telepítette, javasoljuk, hogy töltse le a megfelelő verziót a DD-WRT webhelyéről, és kövesse a bemutatóval együtt: Kapcsolja be otthoni útválasztóját egy nagy teljesítményű útválasztóba DD-WRT-vel.

    A bemutatón kívül nem tudjuk hangsúlyozni a kiterjedt és kiválóan karbantartott DD-WRT wiki értékét. Olvassa el a saját útválasztóját és a legjobb gyakorlatokat az új firmware villogására.

    A DD-WRT konfigurálása több SSID számára

    Kompatibilis útválasztó van, DD-WRT-t villantott hozzá, most itt az ideje, hogy elkezdjük a második SSID beállítását. Csakúgy, mintha mindig új firmware-t kellene vezetnie vezetékes kapcsolaton keresztül, javasoljuk, hogy a vezeték nélküli kapcsolaton keresztül dolgozzon vezeték nélküli kapcsolaton, így a módosítások nem kényszerítik a vezeték nélküli számítógépet a hálózatra.

    Nyissa meg webböngészőjét az Etherneten keresztül az útválasztóhoz csatlakoztatott számítógépen. Lépjen az alapértelmezett útválasztó IP-re (jellemzően 198.168.1.1). A DD-WRT interfészen belül navigáljon a Wireless -> Basic Settings (Vezeték nélküli) -> Basic Settings (Alapbeállítások) pontra (lásd a fenti képen). Láthatjuk, hogy a meglévő Wi-Fi AP-je SSID „HTG_Office”.

    Az oldal alján, a „Virtuális interfészek” részben kattintson a Hozzáadás gombra. A korábban üres „Virtuális interfészek” szakasz ezzel az előre beírt bejegyzéssel bővül:

    Ez a virtuális interfész a meglévő rádiós chipre van visszacsatolva (vegye figyelembe a wl0.1-et az új bejegyzés címében). Még az SSID rövidítése is ezt jelezte, az alapértelmezett SSID végén lévő „vap” a virtuális hozzáférési pontot jelenti. Lássuk le a többi bejegyzést az új virtuális interfész alatt.

    Átnevezheti az SSID-t, amit akar. Meglévő elnevezési konvenciónknak megfelelően (és az életünk egyszerűvé tétele a vendégeink számára) az SSID-t az alapértelmezetttől a „HTG_Guest” -ig változtatjuk - a fő Wi-Fi AP „HTG_Office”.

    Hagyja engedélyezve a vezeték nélküli SSID-adást. Nemcsak sok régebbi számítógép és Wi-Fi-kompatibilis eszköz nem játszik nagyon szép titkos SSID-kkel, de egy rejtett vendéghálózat nem nagyon hívó / hasznos vendéghálózat.

    Az AP elkülönítés olyan biztonsági beállítás, amelyet az Ön belátása szerint hagyunk engedélyezni vagy letiltani. Ha engedélyezi az AP Isolation funkciót, a vendég Wi-Fi hálózatán minden ügyfél teljesen elkülönül. Biztonsági szempontból ez nagyszerű, mivel a rosszindulatú felhasználót a többi felhasználó ügyfelei köré fojtja. Ez azonban inkább a vállalati hálózatokra és a nyilvános hotspotokra vonatkozik. Gyakorlatilag ez azt is jelenti, hogy az unokahúga és unokaöccse vége, és egy Wi-Fi-hez kapcsolódó játékot akarnak játszani a Nintendo DS-egységeiken, DS-egységeik nem fogják látni egymást. A legtöbb otthoni és kis irodai alkalmazásban kevés ok van az AP-k elkülönítésére.

    A Hálózati konfiguráció Unbridged / Bridged opciója azt jelenti, hogy a Wi-Fi AP áthidalásra kerül-e vagy sem a fizikai hálózatra. Mint ellenintézkedés, úgy kell hagynia, hogy Bridged legyen. Ahelyett, hogy az útválasztó firmware-je kezelné (inkább ügyetlenül) az összekapcsolási folyamatot, manuálisan megtisztítunk mindent egy tisztább és stabilabb kimenettel.

    Miután megváltoztatta az SSID-t és áttekintette a beállításokat, kattintson a Mentés gombra.

    Ezután navigáljon a Wireless -> Wireless Security szolgáltatásra:

    Alapértelmezés szerint nincs biztonság a második AP-n. Ezt ideiglenesen tesztelési célokra hagyhatja (mi a végéig nyitva maradtunk), hogy mentse magát a jelszó beírásától a teszteszközökön. Nem javasoljuk azonban, hogy maradjon nyitva. Akár ebben a pillanatban nyitva marad, akár nem, meg kell kattintania a Mentés gombra, majd az Alkalmazások alkalmazása lehetőségre az előző részben és a hatálybalépéshez végrehajtott módosításokhoz. Legyen türelmes, akár 2 percig is eltarthat, amíg a módosítások hatályba lépnek.

    Nagyszerű alkalom, hogy megerősítsük, hogy a közeli Wi-Fi eszközök láthatják mind az elsődleges, mind a másodlagos AP-ket. A Wi-Fi interfész megnyitása egy okostelefonon nagyszerű módja a gyors ellenőrzésnek. Íme az Android telefon Wi-Fi konfigurációs oldalának nézete:

    Még csak nem tudunk csatlakozni a másodlagos AP-hez, mivel még néhány változtatást kell tennünk a routerben, de mindig jó, ha mindkettőt látjuk a listában.

    A következő lépés az, hogy elkezdjük az SSID-k hálózaton belüli elválasztásának folyamatát azáltal, hogy egyedi IP-címek sorát rendeljük a vendég Wi-Fi eszközökhöz.

    Keresse meg a Beállítás -> Hálózat lehetőséget. A „Híd” részben kattintson a Hozzáadás gombra.

    Először változtassa meg a kezdeti rést „br1” -re, és hagyja a többi értéket ugyanazt. A fenti IP / Subnet bejegyzés még nem látható. Kattintson a „Beállítások alkalmazása” gombra. Az új híd az áthidaló szakaszban lesz, a rendelkezésre álló IP- és alhálózati szekciókkal. Állítsa be az IP-címet a szokásos hálózat IP-jének egyik értékére (például az elsődleges hálózat 192.168.1.1, így ezt az értéket 192.168.2.1). Állítsa az alhálózati maszkot 255.255.255.0-ra. Kattintson az oldal alján található „Beállítások alkalmazása” gombra.

    Vendéghálózat hozzárendelése a hídhoz

    Megjegyzés: köszönhetően Joel olvasónak, hogy rámutatott erre a részre, és megadta nekünk az utasításokat a bemutatóhoz.

    A „Híd hozzárendelése” alatt kattintson a „Hozzáadás” gombra. Jelölje ki az első legördülő menüből létrehozott új hídot, és párosítsa azt a „wl0.1” interfésszel.

    Most kattintson a „Mentés” és a „Beállítások alkalmazása” gombra.

    A módosítások végrehajtása után lapozzon az oldal aljára ismét a DHCPD részhez. Kattintson a „Hozzáadás” gombra. Kapcsolja az első nyílást „br1” -re. Hagyja ugyanazt a többi beállítást (az alábbi képen látható).

    Kattintson még egyszer a „Beállítások alkalmazása” gombra. Miután befejezte az összes beállítást a Beállítások -> Hálózat oldalon, jónak kell lennie a kapcsolathoz és a DHCP hozzárendeléshez.

    Megjegyzés: Ha a kettős SSID-re konfigurált Wi-Fi AP malacka támasz egy másik eszközön (pl. Két Wi-Fi útválasztó van az otthonában vagy irodájában, hogy kiterjessze a lefedettséget, és azt, amit beállít a vendég SSID-jére on # 2 a láncban) be kell állítania a DHCP-t a Szolgáltatások részben. Ha ez úgy hangzik, mintha beállítaná, itt az ideje, hogy navigáljon a Szolgáltatások -> Szolgáltatások részben.

    A szolgáltatási szakaszban hozzá kell adnunk egy kis kódot a DNSMasq szakaszhoz, hogy az útválasztó megfelelően hozzárendelje a dinamikus IP-címeket a vendéghálózathoz csatlakozó eszközökhöz. Görgessen le a DNSMasq részben. A „További DNSMasq beállítások” mezőbe illessze be a következő kódot (kivéve az egyes sorok funkcióját magyarázó megjegyzéseket):

    # Engedélyezi a DHCP-t a br1-en
    interface = BR1
    # Állítsa be a br1-ügyfelek alapértelmezett átjáróját
    dhcp-option = br1,3,192.168.2.1
    # Állítsa be a DHCP tartományt és az alapértelmezett 24 órás lízingidőt a br1 ügyfelek számára
    DHCP-tartomány = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h

    Kattintson az oldal alján található „Beállítások alkalmazása” gombra.

    Akár egy, akár kettő technikát használt, várjon néhány percet, hogy csatlakozzon az új vendég SSID-hez. Amikor csatlakozik a vendég SSID-hez, ellenőrizze az IP-címet. Egy IP-nek kell lennie a megadott tartományon belül. Ismét hasznos az okostelefonod használatának ellenőrzése:

    Minden jól néz ki. A másodlagos AP dinamikus IP-t rendel hozzá egy megfelelő tartományban, az internetre juthatunk - itt jegyezzük meg, hatalmas siker.

    Az egyetlen probléma azonban az, hogy a másodlagos AP-nek még mindig van hozzáférése az elsődleges hálózat erőforrásaihoz. Ez azt jelenti, hogy az összes hálózati nyomtatók, hálózati megosztások és ezek még mindig láthatóak (most tesztelheti, próbálja meg megtalálni a hálózati megosztást az elsődleges hálózatról a másodlagos AP-n).

    Ha te akar a másodlagos AP vendégei hozzáférhetnek ezekhez a dolgokhoz (és követik a bemutatót, így más dual-SSID feladatokat is végezhetnek, mint például a vendég sávszélességének korlátozása vagy az internet használatát lehetővé tevő idő). oktatói.

    Képzeljük el, hogy a legtöbbet szeretné megtartani vendégeit a hálózat körül, és óvatosan állítaná őket a Facebookhoz és az e-mailhez való ragaszkodáshoz. Ebben az esetben befejezzük a folyamatot a másodlagos AP lekapcsolásával a fizikai hálózatról.

    Keresse meg az Adminisztráció -> Parancsokat. Látni fogja a "Command Shell" feliratot. Illessze be a következő parancsokat, sans a # megjegyzéssorokat a szerkeszthető területre:

    #A fizikai hálózathoz való hozzáférést eltávolítja
    iptables -I FORWARD -i br1 -o br0 -m állapot - NEW-j DROP
    iptables -I FORWARD -i br0 -o br1 -m állapot - állami NEW-j DROP
    #Kivonja a vendég hozzáférését az útválasztó konfigurációs GUI / portjaihoz
    iptables -I INPUT -i br1-pppppd-telport -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --port ssh -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp -dport www -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --port https -j REJECT --reject-with tcp-reset

    Kattintson a „Tűzfal mentése” gombra, és indítsa újra az útválasztót.

    Ezek a további tűzfalszabályok egyszerűen leállítanak mindent a két hídon (a magánhálózaton és a nyilvános / vendéghálózaton), hogy beszéljenek, valamint elutasítsák az ügyfelek közötti kapcsolatot a vendéghálózat és a telnet, SSH vagy webszerver portok között a útválasztó (ezáltal korlátozva őket az útválasztó konfigurációs fájljainak elérésére irányuló kísérletektől).

    Egy szó a parancsfájl és az indítási, leállítás és tűzfal parancsfájlok használatáról. Először az IPTABLES parancsokat feldolgozzuk. Az egyének sorainak megváltoztatása jelentősen megváltoztathatja az eredményt. Másodszor, a DD-WRT által támogatott tucatnyi útválasztó több tucatnyi, és az adott útválasztótól és konfigurációjától függően előfordulhat, hogy a fenti IPTABLES parancsokat meg kell csípni. A parancsfájl az útválasztó számára dolgozott, és a legszélesebb és legegyszerűbb parancsokat használja a feladat elvégzéséhez, így a legtöbb útválasztónak működnie kell. Ha nem, határozottan sürgetnénk, hogy keresse meg az adott útválasztó modelljét a DD-WRT vitafórumokon, és nézze meg, hogy más felhasználók ugyanazokat a problémákat tapasztalták-e.


    Ezen a ponton végeztél a konfigurációval, és készen állsz a kettős SSID-k és az azok használatával járó előnyök megszerzésére. Könnyedén megadhatja vendég jelszavát (és megváltoztathatja azt), beállíthatja a vendéghálózatra vonatkozó QoS szabályokat, és egyébként módosíthatja és korlátozhatja a vendéghálózatot olyan módon, amely a legkevésbé nem befolyásolja az elsődleges hálózatot.