Prečo to mám robiť?
Existuje niekoľko veľmi praktických dôvodov, prečo chcete nastaviť svoju domácu sieť tak, aby mala dvojité prístupové body (AP).
Dôvodom s najpraktickejšou aplikáciou pre väčšinu ľudí je jednoduchá izolácia domácej siete, aby hostia nemali prístup k veciam, ktoré chcete zostať súkromné. Predvolená konfigurácia pre takmer každý domovský prístupový bod / smerovač Wi-Fi má použiť jediný bezdrôtový prístupový bod a každý, kto má oprávnenie na prístup k tomuto AP, má prístup do siete, akoby bol pripojený priamo do AP prostredníctvom siete Ethernet.
Inými slovami, ak dáte svojmu priateľovi, susedom, hosťovi alebo ktokoľvek heslo k vášmu AP Wi-Fi, dali ste im tiež prístup k sieťovej tlačiarni, k akýmkoľvek otvoreným zdieľaným položkám v sieti, nezabezpečeným zariadeniam v sieti atď. Možno ste ich chceli len nechať skontrolovať e-mail alebo hrať online, ale dali ste im slobodu cestovať kamkoľvek chcú vo vašej internej sieti.
Teraz, zatiaľ čo väčšina z nás určite nemá priateľov škodlivých hackerov, to neznamená, že nie je rozumné nastaviť naše siete tak, aby ich hostia zostali tam, kde patria (na voľnej strane prístupu na internet) a nemôžu ísť tam, kde nemajú (na domácom serveri / osobné akcie strane plotu).
Ďalším praktickým dôvodom pre spustenie AP s dvoma SSID je schopnosť nielen obmedziť to, kam hosť AP môže ísť, ale kedy. Ak ste napríklad rodič, ktorý chce obmedziť to, ako neskoro môže vaše dieťa zostať hore na počítači, môžete umiestniť svoj počítač, tablet atď. Na sekundárnom AP a nastaviť obmedzenia prístupu na internet pre celý sub -SSID po, povedzme, 9PM.
Čo potrebujem?
- 1 kompatibilný smerovač DD-WRT s príslušnou revíziou hardvéru (ukážeme vám, ako skontrolovať)
- 1 nainštalovanú kópiu DD-WRT na uvedenom smerovači
Nie je to jediný spôsob, ako nastaviť duálne SSID pre svoju domácu sieť. Budeme používať naše SSID zo všadeprítomného bezdrôtového smerovača série Linksys WRT54G. Ak nechcete prejsť problémom s blikajúcim vlastným firmvérom na starom smerovači a vykonaním ďalších krokov konfigurácie, môžete namiesto toho:
- Kúpte si novší smerovač, ktorý podporuje dvojité SSID, a to priamo z krabice, ako napríklad ASUS RT-N66U.
- Zakúpte druhý bezdrôtový smerovač a nakonfigurujte ho ako samostatný prístupový bod.
Ak už vlastníte smerovač, ktorý podporuje duálne identifikátory SSID (v takom prípade môžete preskočiť tento návod a len si prečítať príručku pre vaše zariadenie), obe tieto možnosti sú menej než ideálne, pretože musíte minúť ďalšie peniaze a v prípade druhá možnosť, urobte veľa extra konfigurácie vrátane nastavenia sekundárneho prístupového bodu tak, aby ste nezasahovali do primárneho prístupového bodu a / alebo sa neprekrývali.
Vzhľadom na to sme boli radi, že sme použili hardvér, ktorý sme už mali (bezdrôtový router série Linksys WRT54G) a preskočili výdavky na hotovosť a ďalšiu úpravu siete Wi-Fi.
Ako môžem vedieť, či je môj router kompatibilný?
Po zistení, že váš smerovač je kompatibilný s DD-WRT, musíme skontrolovať číslo revízie čipu smerovača. Ak máte naozaj starý router Linksys, môže to byť perfektne použiteľný router v každom smere, ale čip nemusí podporovať dvojité SSIDy (čo z toho zásadne nekompatibilné s tutoriálom).
Existujú dva stupne kompatibility vzhľadom na číslo revízie smerovača. Niektoré smerovače môžu robiť viacero identifikátorov SSID, ale nemôžu rozdeliť identifikátory SSID na odlišné úplne unikátne prístupové body (napríklad jedinečnú MAC adresu pre každý identifikátor SSID). V niektorých situáciách to môže spôsobiť problémy s niektorými zariadeniami Wi-Fi, pretože sa zamieňajú, čo SSID (pretože obe majú rovnakú adresu MAC), ktoré by mali používať. Bohužiaľ neexistuje žiadny spôsob, ako predpovedať, ktoré zariadenia sa budú vo vašej sieti správať nesprávne, takže nemôžeme jednoznačne odporúčať vyhnúť sa technike uvedenej v tejto príručke, ak zistíte, že máte zariadenie, ktoré nepodporuje diskrétne identifikátory SSID.
Číslo revízie môžete skontrolovať tak, že vykonáte vyhľadávanie Google pre konkrétny model vášho smerovača spolu s číslom verzie vytlačenou na informačnom štítku (zvyčajne sa nachádza na spodnej strane smerovača), ale našli sme túto metódu nespoľahlivú (štítky môže byť nesprávne použitá, môžu byť nesprávne uverejnené informácie týkajúce sa modelu a dátumu výroby atď.),
Najspoľahlivejšou cestou, ako skontrolovať číslo revízie čipu vo vašom smerovači, je skutočne zistiť smerovač. Aby ste tak urobili, musíte vykonať nasledujúce kroky.Otvorte klienta telnet (buď viacúčelový program ako PuTTY alebo základný príkaz Windows Telnet) a telnet na adresu IP smerovača (napr. 192.168.1.1). Prihláste sa do smerovača pomocou prihlasovacieho mena a hesla administrátora (upozorňujeme, že pre niektoré smerovače, aj keď zadávate "admin" a "mypassword" na prihlásenie sa na portál webového riadenia na smerovači, možno budete musieť zadať "root" "A" mypassword "na prihlásenie cez telnet).
nvram show|grep corerev
Týmto sa vráti základné číslo revízie čipu (ov) vo vašom smerovači v tomto formáte:
wl0_corerev=9 wl_corerev=
Vyššie uvedený výstup znamená, že náš smerovač má jedno rádio (wl0, neexistuje wl1) a že základná revízia tohto rádiového čipu je 9. Ako interpretujete výstup? Číslo revízie vo vzťahu k nášmu sprievodcovi znamená:
- 0-4 Smerovač nepodporuje viacero identifikátorov SSID (s jedinečnými identifikátormi alebo inak)
- 5-8 Router podporuje viacero identifikátorov SSID (ale nie s jedinečnými identifikátormi)
- 9+ Smerovač podporuje viacero identifikátorov SSID (s jedinečnými identifikátormi)
Ako môžete vidieť z nášho príkazového výstupu vyššie, sme sa šťastli. Čip nášho smerovača je najnižšia verzia, ktorá podporuje viacero identifikátorov SSID s jedinečnými identifikátormi.
Keď určíte, že váš smerovač môže podporovať viaceré identifikátory SSID, budete musieť nainštalovať DD-WRT. Ak je váš smerovač dodávaný s DD-WRT alebo ste ho už nainštalovali, je to fantastické. Ak ste ho ešte nenainštalovali, odporúčame vám prevziať príslušnú verziu z webovej lokality DD-WRT spolu s naším tutoriálom: Prepnite svoj domovský smerovač do super-Powered Router s DD-WRT.
Okrem nášho tutoriálu nemôžeme zdôrazniť hodnotu rozsiahlej a výborne udržiavanej wiki DD-WRT. Prečítajte si informácie o vašom konkrétnom smerovači a najlepších postupoch pre blikanie nového firmvéru tam.
Konfigurácia DD-WRT pre viaceré identifikátory SSID
Otvorte webový prehliadač v počítači pripojenom k smerovaču cez sieť Ethernet. Prejdite na predvolenú IP smerovača (typicky 198.168.1.1). V rozhraní DD-WRT prejdite na položku Bezdrôtové -> Základné nastavenia (ako je vidieť na snímke obrazovky vyššie). Môžete vidieť, že náš existujúci prístupový bod Wi-Fi má SSID "HTG_Office".
V spodnej časti stránky v sekcii "Virtuálne rozhrania" kliknite na tlačidlo Pridať. Predtým prázdna sekcia "Virtuálne rozhrania" sa rozbalí s touto predpopulovanou položkou:
SSID môžete premenovať na čokoľvek, čo chcete. V súlade s našou existujúcou konvenciou pomenovania (a aby sme uľahčili život našim hosťom) zmeníme SSID z predvolenej hodnoty na "HTG_Guest" - poznamenať, že náš hlavný Wi-Fi AP je "HTG_Office".
Povoľte bezdrôtové vysielanie SSID. Nielen, že veľa starších počítačov a zariadení s podporou Wi-Fi nehrá veľmi pekné s tajnými identifikátormi SSID, ale skrytá hosťovská sieť nie je veľmi príjemná / užitočná hosťovská sieť.
AP Izolácia je bezpečnostné nastavenie, ktoré nechávame podľa vlastného uváženia na zapnutie alebo vypnutie. Ak povolíte AP Izolácia, každý klient vašej hosťujúcej Wi-Fi siete bude navzájom úplne izolovaný. Z bezpečnostného hľadiska je to skvelé, pretože zabraňuje tomu, aby sa zlomyseľný používateľ pokúšal o klientov iných používateľov. To však viac znepokojuje podnikové siete a verejné hotspoty. Prakticky povedané, to tiež znamená, že ak vaša neter a synovec skončia a chcú hrať Wi-Fi pripojenú hru na svojich zariadeniach Nintendo DS, ich jednotky DS sa nebudú môcť navzájom vidieť. Vo väčšine domácich a malých kancelárskych aplikácií nie je dôvod izolovať AP.
Voľba Nekompatibilná / premostená v Konfigurácii siete odkazuje na to, či bude Wi-Fi AP premostený alebo nie do fyzickej siete. Pretože je to protichodné, musíte ho nechať nastavené na premostenie. Namiesto toho, aby firmvér smerovača zvládol (skôr nemotorne) proces prepájania, budeme ručne zbaviť všetko sami s čistejším a stabilnejším výsledkom.
Po zmene SSID a kontrole nastavení kliknite na tlačidlo Uložiť.
Ďalej prejdite na položku Bezdrôtové pripojenie -> Bezdrôtové zabezpečenie:
Teraz je skvelý čas potvrdiť, že v blízkosti zariadenia Wi-Fi sa môžu zobraziť primárne aj sekundárne AP. Otvorenie rozhrania Wi-Fi na smartphone je skvelý spôsob, ako rýchlo skontrolovať. Tu je náhľad z našej stránky konfigurácie siete Wi-Fi na telefóne Android:
Ďalším krokom je začať proces oddeľovania identifikátorov SSID v sieti priradením jedinečného rozsahu adries IP hostiteľským zariadeniam Wi-Fi.
Prejdite do časti Nastavenie -> Sieť. V časti Prepojenie kliknite na tlačidlo Pridať.
Priradenie hosťovanej siete k mostu
Poznámka: vďaka čitateľovi Joelovi za poukázanie na túto časť a poskytnutie návodu na pridanie do tutoriálu.
V časti "Priradiť k Bridge" kliknite na "Pridať". Vyberte nový most, ktorý ste vytvorili z prvého rozbaľovacieho zoznamu a spárujte ho s rozhraním "wl0.1".
Teraz kliknite na tlačidlo "Uložiť" a "Použiť nastavenia".
Poznámka: Ak konfigurujete prístupový bod Wi-Fi, ktorý ste nastavili pre duálne identifikátory SSID, pracuje na inom zariadení (napríklad máte vo svojom dome alebo v kancelárii dva smerovače Wi-Fi, aby ste rozšírili pokrytie a ten, ktorý nastavujete SSID hosťa on je # 2 v reťazci), budete musieť nastaviť DHCP v sekcii Služby. Ak to znie ako vaše nastavenie, je čas prejsť na sekciu Služby -> Služby.
V sekcii služieb je potrebné do sekcie DNSMasq pridať trochu kódu, aby smerovač správne priradil dynamické adresy IP zariadeniam, ktoré sa pripájajú k hostiteľskej sieti. Posuňte nadol sekciu DNSMasq. V poli "Ďalšie nastavenia DNSMasq" prilepte nasledujúci kód (mínus # komentáre vysvetľujúce funkcie jednotlivých riadkov):
# Enables DHCP on br1 interface=br1 # Set the default gateway for br1 clients dhcp-option=br1,3,192.168.2.1 # Set the DHCP range and default lease time of 24 hours for br1 clients dhcp-range=br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Kliknite na položku Použiť nastavenia v dolnej časti stránky.
Či už ste použili techniku jeden alebo dva, počkajte niekoľko minút, kým sa pripojíte k svojmu novému SSID hosťa. Keď sa pripojíte k SSID hosťa, skontrolujte svoju IP adresu. Mali by ste mať IP v rozsahu, ktorý sme špecifikovali vyššie. Znova je užitočné používať váš smartphone na kontrolu:
Jediným problémom však je, že sekundárny AP stále má prístup k zdrojom primárnej siete. To znamená, že všetky sieťové tlačiarne, sieťové zdieľania a také sú stále viditeľné (môžete to vyskúšať teraz, pokúste sa nájsť sieťový podiel z primárnej siete na sekundárnom AP).
Ak ty chcieť hostia na sekundárnom AP majú prístup k týmto veciam (a sledujú spolu s tutoriálom, aby ste mohli vykonávať iné úlohy s dvojitým SSID, ako je obmedzenie šírky pásma hosťa alebo časy, kedy je povolené používať internet). tutorial.
Predstavujeme si, že väčšina z vás by chcela, aby sa vaši hostia snažili prekonávať vašu sieť a jemne ju stíhať, aby sa držali Facebooku a e-mailu. V takomto prípade musíme dokončiť proces odpojením sekundárnej AP z fyzickej siete.
#Removes guest access to physical network iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP #Removes guest access to the router's config GUI/ports iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Kliknite na položku "Uložiť bránu firewall" a reštartujte smerovač.
Tieto dodatočné pravidlá brány firewall jednoducho zastavia všetko na dvoch mostoch (súkromnej sieti a verejnej / hosťovanej sieti) a budú odmietať akýkoľvek kontakt medzi klientom v hosťovskej sieti a portami telnet, SSH alebo webového servera na smerovač (čím ich obmedzuje, aby sa pokúsili o prístup k konfiguračným súborom smerovača vôbec).
Slovo o používaní príkazového shellu a spúšťacích, vypínacích a firewallových skriptoch. Po prvé, príkazy IPTABLES sa spracúvajú v poradí. Zmena poradia jednotlivcov môže značne zmeniť výsledok. Po druhé, DD-WRT podporuje desiatky z desiatok smerovačov a v závislosti od konkrétneho smerovača a konfigurácie budete musieť vylepšiť vyššie uvedené príkazy IPTABLES. Skript pracoval pre náš smerovač a používa najširšie a najjednoduchšie možné príkazy na splnenie úlohy, takže by mal fungovať pre väčšinu smerovačov. Ak tomu tak nie je, dôrazne vás vyzývame, aby ste vyhľadali konkrétny model smerovača v diskusných fórach DD-WRT a zistite, či ostatní používatelia majú rovnaké problémy, aké máte.
V tomto momente ste skončili s konfiguráciou a ste pripravení užívať si dvojité SSID a všetky výhody, ktoré im prináša bežiace. Môžete jednoducho dať heslo hosťa (a zmeniť ho podľa vlastného uváženia), nastaviť pravidlá QoS pre hosťovskú sieť a inak upraviť a obmedziť hosťovskú sieť takým spôsobom, ktorý neovplyvní prinajmenšom vašu primárnu sieť.