Wi-Fi koplietošana ar viesiem ir tikai pieklājīgs darījums, taču tas nenozīmē, ka vēlaties viņiem nodrošināt plašu piekļuvi visam lokālajam tīklam. Lasiet tālāk, jo mēs parādīsim, kā iestatīt maršrutētāju divējādiem SSID un izveidojiet atsevišķu (un drošu) piekļuves punktu saviem viesiem.
Pastāv vairāki ļoti praktiski iemesli, kas liek domāt, ka jūsu mājas tīkls ir aprīkots ar divējādiem piekļuves punktiem (AP).
Iemesls, kas ir vispraktiskākais pieteikums lielākajai daļai cilvēku, ir vienkārši izolēt jūsu mājas tīklu, lai viesi nevarētu piekļūt lietām, kuras vēlaties palikt privātām personām. Noklusējuma konfigurācija gandrīz katram mājas Wi-Fi piekļuves punktam / maršrutētājam ir izmantot vienu bezvadu piekļuves punktu, un ikvienam, kam ir pilnvaras piekļūt tam, tiek dota piekļuve tīklam tā, it kā tie būtu pieslēgti tieši AP caur Ethernet tīklu.
Citiem vārdiem sakot, ja jūs dodat savu draugu, kaimiņu, mājas viesu vai kurš kāds jūsu Wi-Fi AP paroles, jūs esat arī tiem piekļuvis tīkla printerim, visām jūsu tīkla atvērtajām daļām, neaizsargātajām ierīcēm tīklā un tā tālāk. Iespējams, ka jūs vienkārši vēlējāties, lai ļautu viņiem pārbaudīt viņu e-pastu vai spēlēt spēli tiešsaistē, taču jūs viņiem ir atļauts brīvi pārvietoties visur, kur viņi vēlas, jūsu iekšējā tīklā.
Tagad, kamēr lielākajai daļai no mums, protams, nav ļaunprātīgu hackers draugiem, tas nenozīmē, ka nav prātīgi izveidot mūsu tīklus, lai viesi paliktu tur, kur viņi pieder (uz brīvā interneta pieslēguma pusē) un nevaru iet tur, kur tie nav (mājas serverī / personiskajās daļās pie žoga).
Vēl viens praktisks iemesls AP darbībai ar diviem SSID ir iespēja ne tikai ierobežot to, kur viesa AP var iet, bet gan, kad. Piemēram, ja jūs esat vecāks, kurš vēlas ierobežot to, cik vēlu bērns var palikt uz augšu, lai dators varētu pieturēties pie datora, jūs varat ievietot savu datoru, planšetdatoru utt sekundārajā AP un noteikt ierobežojumus interneta piekļuvei visai apakšnodaļai -SSID pēc, teiksim, 9PM.
Mūsu apmācība šodien ir vērsta uz izmantojot DD-WRT saderīgu maršrutētāju, lai sasniegtu divējādus SSID. Tādā veidā jums būs nepieciešamas šādas lietas:
Tas nav vienīgais veids, kā iestatīt divu SSID savam mājas tīklam. Mēs izmantosim mūsu SSID no visuresošās Linksys WRT54G sērijas bezvadu maršrutētāja. Ja jūs nevēlaties iziet cauri problēmai, kas saistīta ar iepriekšējā maršrutētāja mirgojošo pielāgoto programmaparatūru un veicot papildu konfigurācijas pasākumus, varat:
Ja vien jums jau nav maršrutētāja, kas atbalsta dubultās SSID (tādā gadījumā jūs varat izlaist šo pamācību un vienkārši izlasīt ierīces rokasgrāmatu), abas šīs opcijas ir mazākas par ideālu, jo jums ir jāmaksā papildu nauda, un gadījumā, ja Otrā opcija, veiciet papildu konfigurācijas ķekars, tostarp iestatot sekundāro AP, lai netraucētu un / vai nepārklājas ar jūsu galveno AP.
Ņemot vērā visu, mums bija vairāk nekā priecīgi izmantot jau pieejamo aparatūru (Linksys WRT54G sērijas bezvadu maršrutētāju) un izlaist skaidrās naudas izmaksas un papildu Wi-Fi tīkla tweaking.
Ir divi kritiskie saderības elementi, kas jums jāpārbauda, lai panāktu veiksmi šajā apmācībā. Pirmais un visvienkāršākais ir pārbaudīt, vai jūsu maršrutētājam ir DD-WRT atbalsts. Jūs varat apmeklēt DD-WRT wiki router datu bāzi šeit, lai pārbaudītu.
Kad esat noskaidrojuši, ka maršrutētājs ir saderīgs ar DD-WRT, mums jāpārbauda maršrutētāja mikroshēmas pārskatīšanas numurs. Piemēram, ja jums ir patiešām vecs Linksys maršrutētājs, tas visādā ziņā var būt pilnvērtīgs un derīgs maršrutētājs, taču mikroshēma var neatbalstīt divējādus SSID (kas to padara pamatā nesaderīgu ar pamācību).
Attiecībā uz maršrutētāja pārskatīšanas numuru ir divi saderības pakāpi. Daži maršrutētāji var veikt vairākus SSID, taču tos nevar sadalīt SSID atšķirīgos absolūti unikālos piekļuves punktos (piemēram, katram SSID ir unikāla MAC adrese). Dažās situācijās tas var radīt problēmas ar dažām Wi-Fi ierīcēm, jo tās sajaucas par to, kurš SSID (jo abiem ir viena un tā pati MAC adrese), kas tām jāizmanto. Diemžēl nav paredzams, kādas ierīces tīklā kļūdaini izmantos, tādēļ mēs nevaram izvairīties no ieteikumiem izvairīties no šajā apmācībā izklāstītās metodes, ja konstatēsit, ka ierīce neatbalsta diskrētos SSID.
Jūs varat pārbaudīt pārskatīšanas numuru, veicot Google meklēšanu konkrētam maršrutētāja modelim, kā arī versijas numuru, kas uzdrukāts uz informācijas marķējuma (parasti atrodams maršrutētāja apakšā), taču mēs esam konstatējuši, ka šī metode nav ticama (etiķetes var tikt nepareizi izmantots, informācija, kas ievietota tiešsaistē saistībā ar modeļa un izgatavošanas datumu, var būt neprecīza utt.)
Visrentablākais veids, kā pārbaudīt maršrutētāja pārskatīšanas numuru, ir faktiski apskatīt maršrutētāju, lai to uzzinātu. Lai to izdarītu, jums jāveic šādas darbības. Atveriet telnet klientu (vai nu daudznozaru programmu, piemēram, PuTTY vai pamata Windows Telnet komandu), un telnet uz maršrutētāja IP adresi (piemēram, 192.168.1.1). Pierakstieties maršrutētājā, izmantojot administratora pieteikuminformāciju un paroli (ņemiet vērā, ka dažiem maršrutētājiem, pat ja jūs ievadāt "admin" un "mypassword", lai ieietu maršrutēšanas tīmekļa pārvaldes portālā, jums, iespējams, būs jāievada "root" "Un" mypassword ", lai pieteiktos caur telnet).
Kad esat pieteicies maršrutētājā, uzvednē ierakstiet šādu komandu:
nvram show | grep corerev
Tas atgriezīs maršruta mikroshēmas galveno pārskatīšanas numuru šādā formātā:
wl0_corerev = 9
wl_corerev =
Kāda iepriekšējā izeja nozīmē, ka mūsu maršrutētājam ir viens radio (wl0, nav wl1) un ka šīs radio mikroshēmas pamatkonfigurācija ir 9. Kā jūs interpretējat izvadi? Pārskatīšanas numurs saistībā ar mūsu ceļvedi nozīmē:
Kā jūs varat redzēt no mūsu komandu produkciju iepriekš, mēs lucked out. Mūsu maršrutētāja mikroshēma ir viszemākā versija, kas atbalsta vairākus SSID ar unikāliem identifikatoriem.
Kad esat pārliecinājies, ka maršrutētājs var atbalstīt vairākus SSID, jums jāinstalē DD-WRT. Ja jūsu maršrutētājs ir nosūtīts ar DD-WRT vai arī tas jau ir instalēts, tas ir fantastisks. Ja vēl neesat to instalējis, ieteicams lejupielādēt atbilstošu versiju no DD-WRT tīmekļa vietnes un sekot līdzi mūsu apmācībai: pagrieziet mājas maršrutētāju uz Super-Powered maršrutētāju ar DD-WRT.
Papildus mūsu apmācībai mēs nevaram uzsvērt plašas un izcilas DD-WRT wiki vērtības. Izlasiet informāciju par savu konkrēto maršrutētāju un labāko praksi, kā to tur nokļūt jaunā programmaparatūrā.
Jums ir saderīgs maršrutētājs, jūs esat mirgojies ar DD-WRT, tagad ir pienācis laiks sākt šī otrā SSID iestatīšanu. Tāpat kā jums vienmēr vajadzētu uzlādēt jaunu programmaparatūru, izmantojot vadu savienojumu, mēs ļoti iesakām strādāt ar bezvadu iestatīšanu pa vadu savienojumu, lai izmaiņas netiktu piespiestas bezvadu datoru izslēgt no tīkla.
Atveriet savu tīmekļa pārlūkprogrammu datorā, kas savienots ar maršrutētāju, izmantojot Ethernet tīklu. Pārejiet uz noklusējuma maršrutētāja IP (parasti ir 198.168.1.1). DD-WRT saskarnes ietvaros pārejiet uz sadaļu Wireless -> Basic Settings (kā redzams iepriekš attēlā redzamajā ekrānuzņēmumā). Jūs varat redzēt, ka mūsu esošajam Wi-Fi AP ir SSID "HTG_Office".
Lapas apakšdaļā sadaļā "Virtuālās saskarnes" noklikšķiniet uz pogas Pievienot. Iepriekš iztīrīta sadaļa "Virtuālās saskarnes" paplašināsies ar šo priekšpopulēto ierakstu:
Šis virtuālais saskarnis tiek ielādēts jūsu esošajā radio mikroshēmā (atzīmējiet wl0.1 jaunā ieraksta nosaukumā). Šajā gadījumā norādīts arī SSID stenogrāfija, noklusējuma SSID beigās "vap" nozīmē virtuālo piekļuves punktu. Atdalīsim pārējos ierakstus jaunajā virtuālajā saskarnē.
Jūs varat pārdēvēt SSID neatkarīgi no tā, kuru vēlaties. Saskaņā ar mūsu esošo nosaukumu konvenciju (un mūsu viesiem ir vieglāk izdarīt dzīvi), mēs mainīsim SSID no noklusējuma uz "HTG_Guest" - ņemiet vērā, ka mūsu galvenais Wi-Fi AP ir "HTG_Office".
Atstājiet iespējotu bezvadu SSID apraidi. Daudzi vecāki datori un Wi-Fi iespējotās ierīces ne tikai neizskatās ļoti jauki ar slepeniem SSID, bet slēptais viesa tīkls nav ļoti pievilcīgs / noderīgs viesu tīkls.
AP izolācija ir drošības iestatījums, ko mēs pēc jūsu ieskatiem atstāsim, lai iespējotu vai atspējotu. Ja jūs ieslēdzat AP izolāciju, katrs jūsu viesa Wi-Fi tīkla klients būs pilnīgi izolēts viens no otra. No drošības viedokļa tas ir lieliski, jo ļaunprātīgais lietotājs attur noķerties uz citu lietotāju klientiem. Tomēr tas vairāk attiecas uz korporatīvajiem tīkliem un publiskajiem tīklājiem. Praktiski runājot, tas nozīmē arī to, ka, ja jūsu dēlu un brāļadēls ir beidzies un viņi vēlas spēlēt ar Wi-Fi saistītu spēli savās Nintendo DS vienībās, to DS vienības nevarēs redzēt viens otru. Lielākajā daļā mājas un mazo biroju lietojumprogrammu nav iemesla izolēt AP.
Tīkla konfigurācijas opcija Nonbridged / Bridged attiecas uz to, vai Wi-Fi AP tiks vai nav savienots ar fizisko tīklu. Tā kā tas ir pretintuitīvs, jums jāpaliek tā, lai iestatītu uz Bridged. Tā vietā, lai maršrutētāja programmaparatūra rokturētu (diezgan apnikīgi) noņemšanas procesu, mēs gatavojamies manuāli atdalīt visu no sevis ar tīrāku un stabilāku rezultātu.
Kad esat mainījis SSID un pārskatījis iestatījumus, noklikšķiniet uz Saglabāt.
Tālāk pārejiet uz bezvadu -> bezvadu drošību:
Pēc noklusējuma otrā AP nav drošuma. Jūs varat atstāt to kā tādu uz laiku testēšanas nolūkos (mēs atstājām atvērtus līdz pašam beigām), lai saglabātu sevi no testa ierīču paroles ievadīšanas. Tomēr mēs nevēlamies atstāt to neatgriezeniski atvērt. Neatkarīgi no tā, vai jūs šobrīd izvēlaties atstāt to atvērtu, jums ir jānoklikšķina uz Saglabāt un pēc tam uz Lietot iestatījumus, lai veiktu izmaiņas, kuras mēs izdarījām gan iepriekšējā sadaļā, gan arī, lai tas stātos spēkā. Esiet pacietīgi, lai izmaiņas stātos spēkā, var paiet pat 2 minūtes.
Tagad ir lielisks laiks, lai apstiprinātu, ka tuvumā esošās Wi-Fi ierīces var redzēt gan primārās, gan sekundārās AP. Wi-Fi saskarnes atvēršana viedtālrunī ir lielisks veids, kā ātri pārbaudīt. Tālāk ir redzams mūsu Android tālruņa Wi-Fi konfigurācijas lapa:
Vēl nevaram izveidot savienojumu ar sekundāro AP, jo maršrutētājam ir jāveic vēl dažas izmaiņas, taču vienmēr ir patīkami redzēt tos abos sarakstā.
Nākamais solis ir uzsākt SSID atdalīšanu tīklā, piešķirot viesa Wi-Fi ierīcēm unikālu IP adreses diapazonu.
Pārejiet uz Iestatīšana -> Tīklošana. Sadaļā "Pāreja" noklikšķiniet uz pogas Pievienot.
Vispirms mainiet sākotnējo slotu uz "br1", atstāj pārējās vērtības vienādas. Jūs nevarēsit redzēt iepriekš redzamo IP / apakštīkla ierakstu.Noklikšķiniet uz "Apply Settings" (Lietot iestatījumus). Jaunais tilts tiks izveidots sadaļā "Bridging", kur pieejami IP un apakštīkla punkti. Iestatiet IP adresi uz vienu vērtību no jūsu parastā tīkla IP (piemēram, jūsu primārais tīkls ir 192.168.1.1, tāpēc veiciet šo vērtību 192.168.2.1). Iestatiet apakštīkla masku 255.255.255.0. Noklikšķiniet uz "Lietot iestatījumus" lapas apakšdaļā vēlreiz.
Piešķirt viesa tīklam tiltu
Piezīme: pateicoties lasītājam Joelam, norādot šo daļu un dodot mums norādījumus, kā to pievienot apmācībai.
Sadaļā "Piešķirt tiltam" noklikšķiniet uz "Pievienot". Pirmajā nolaižamajā izvēlnē atlasiet jauno tiltu, kuru izveidojāt, un pārisiet to ar interfeisu wl0.1.
Tagad noklikšķiniet uz "Saglabāt" un "Lietot iestatījumus".
Pēc izmaiņu veikšanas vēlreiz atrodiet lapas apakšdaļu uz DHCPD sadaļu. Noklikšķiniet uz "Pievienot". Ieslēdziet pirmo slotu līdz "br1". Atstājiet pārējos iestatījumus tādus pašus (kā redzams zemāk esošajā ekrānuzņēmumā).
Noklikšķiniet uz "Lietot iestatījumus" vēl vienu reizi. Kad esat pabeidzis visus uzdevumus sadaļā Setup -> Networking, jums vajadzētu būt noderīgam savienojamības un DHCP piešķiršanai.
Piezīme. Ja Wi-Fi AP, kuru konfigurējat divējādiem SSID, ir cieši saistīts ar citu ierīci (piem., Jūsu mājās vai birojā ir divi Wi-Fi maršrutētāji, lai paplašinātu jūsu pārklājumu un iestatītu viesa SSID ir # 2 ķēdē), jums būs nepieciešams iestatīt DHCP sadaļā Pakalpojumi. Ja tas izklausās kā jūsu iestatīšana, ir pienācis laiks pāriet uz sadaļu Pakalpojumi - Pakalpojumi.
Pakalpojumu sadaļā mums ir jāpievieno nedaudz koda DNSMasq sadaļā, lai maršrutētājs pareizi piešķirtu dinamiskās IP adreses ierīcēm, kas savieno viesa tīklu. Ritiniet uz leju DNSMasq sadaļu. Lodziņā "Papildu DNSMasq opcijas" ielīmējiet šādu kodu (atskaitot # komentārus, kas izskaidro katras rindiņas funkcionalitāti):
# Aktivizē DHCP par br1
saskarne = br1
# Iestatiet noklusējuma vārteju br1 klientiem
dhcp-option = br1,3,192.168.2.1
# Nosaka DHCP diapazonu un noklusējuma līzinga laiku 24 stundas br1 klientiem
dhcp-diapazons = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Noklikšķiniet uz "Apply Settings" (Lietot iestatījumus) lapas apakšdaļā.
Neatkarīgi no tā, vai izmantojāt tehniku vienu vai divas, pagaidiet dažas minūtes, lai izveidotu savienojumu ar jauno viesa SSID. Kad pieslēdzat viesa SSID, pārbaudiet savu IP adresi. Jums vajadzētu būt IP tādā diapazonā, kādu norādījām iepriekš. Atkal ir lietderīgi izmantot viedtālruni, lai pārbaudītu:
Viss izskatās labi. Sekundārais AP piešķir dinamiskus IP atbilstošā diapazonā, mēs varam nokļūt internetā - šeit mēs pievēršam uzmanību, milzīgs panākums.
Tomēr vienīgā problēma ir tā, ka sekundārajai AP joprojām ir piekļuve primārā tīkla resursiem. Tas nozīmē, ka visi tīklotie printeri, tīkla daļas un tās joprojām ir redzamas (to varat pārbaudīt tūlīt, mēģiniet atrast tīkla daļu no sava primārā tīkla sekundārajā AP).
Ja tu gribu viesiem sekundārajā AP ir pieeja šīm lietām (un viņi seko līdzi apmācībai, lai jūs varētu veikt citus divējāda SSID uzdevumus, piemēram, ierobežot viesa joslas platumu vai reizes, kad viņiem ir atļauts izmantot internetu), tad jūs faktiski tiek darīts ar apmācība.
Mēs iedomājamies, ka lielākā daļa no jums gribētu, lai jūsu viesi nepakļūst apkārt savam tīklam un tos viegli noturētu, lai piesaistītu Facebook un e-pastu. Tādā gadījumā mums ir jāpabeidz process, atsaistot sekundāro AP no fiziskā tīkla.
Pārejiet uz administrāciju -> Komandas. Jūs redzēsit apgabalu ar nosaukumu "Komandas čaula". Ielīmējiet šādas komandas, izņemot # comment rindas, rediģējamā apgabalā:
# Noņem viesa piekļuvi fiziskajam tīklam
iptables-I FORWARD -i br1 -o br0 -m valsts - valsts NEW -j DROP
iptables-I FORWARD -i br0 -o br1 -m valsts - valsts NEW -j DROP
# Noņem viesu piekļuvi maršrutētāja konfigurācijas GUI / portiem
iptables -I INPUT -i br1 -p tcp -dport telnet -j REJECT -reject-ar tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-ar tcp-reset
iptables -I INPUT -i br1 -p tcp -dport www -j REJECT --reject-ar tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-ar tcp-reset
Noklikšķiniet uz "Saglabāt ugunsmūri" un pārstartējiet maršrutētāju.
Šie papildu ugunsmūra noteikumi vienkārši pārtrauc visu, kas notiek abos tiltos (privātajā tīklā un publiskajā / viesa tīklā) no runāšanas, kā arī noraida jebkuru kontaktu starp klientu viesu tīklā un telnet, SSH vai tīmekļa servera portiem maršrutētāju (tādējādi ierobežojot tos no mēģinājuma piekļūt maršrutētāja konfigurācijas failiem).
Vārds par komandu apvalka izmantošanu un startēšanas, izslēgšanas un ugunsmūra skriptiem. Pirmkārt, IPTABLES komandas tiek apstrādātas kārtībā. Atsevišķu līniju pasūtījumu maiņa var būtiski mainīt rezultātu. Otrkārt, DD-WRT atbalsta desmitiem maršrutētāju, un atkarībā no jūsu īpašā maršrutētāja un konfigurācijas, iespējams, vajadzēs uzlabot IPTABLES komandas. Skripts strādāja pie mūsu maršrutētāja, un tas izmanto visplašākās un vienkāršākās iespējamās komandas, lai veiktu uzdevumu, tāpēc tam vajadzētu strādāt lielākajā daļā maršrutētāju. Ja tas nenotiek, mēs noteikti aicinām jūs meklēt konkrētu maršrutētāja modeli DD-WRT diskusiju forumos un noskaidrot, vai citiem lietotājiem ir tādi paši jautājumi, kādi jums ir.
Šajā brīdī jūs esat pabeidzis konfigurāciju un esat gatavs baudīt divējādus SSID un visus priekšrocības, kas rodas, tos darbinot.Jūs varat viegli izdalīt viesa paroli (un mainīt to pēc vēlēšanās), iestatīt viesa tīkla QoS noteikumus un citādi mainīt un ierobežot viesa tīklu tādā veidā, kas ne mazāk ietekmēs jūsu primāro tīklu.