Совместное использование Wi-Fi с гостями – это просто вежливое занятие, но это не значит, что вы хотите предоставить им широкий открытый доступ ко всей вашей локальной сети. Продолжайте читать, пока мы покажем вам, как настроить маршрутизатор для двойных SSID и создать отдельную (и защищенную) точку доступа для ваших гостей.
Почему я хочу это сделать?
Есть несколько очень практических причин для того, чтобы настроить домашнюю сеть на наличие точек двойного доступа (AP).
Причиной наиболее практичного применения для большинства людей является просто изоляция вашей домашней сети, чтобы гости не могли получить доступ к вещам, которые вы хотите оставить приватными. Конфигурация по умолчанию почти для каждой домашней точки доступа/маршрутизатора Wi-Fi состоит в том, чтобы использовать одну беспроводную точку доступа, и любому, кто авторизован для доступа к этой точке доступа, предоставляется доступ к сети, как если бы он был подключен прямо к точке доступа через Ethernet.
Другими словами, если вы дадите своему другу, соседу, гостю дома или кому бы то ни было пароль для своей точки доступа Wi-Fi, вы также предоставите им доступ к вашему сетевому принтеру, любым открытым ресурсам в вашей сети. незащищенные устройства в вашей сети и т. д. Возможно, вы просто хотели, чтобы они проверили свою электронную почту или поиграли в онлайн-игру, но вы дали им возможность свободно перемещаться в любом месте вашей внутренней сети.
Теперь, хотя у большинства из нас, конечно же, нет злонамеренных хакеров для друзей, это не значит, что нет смысла настраивать наши сети так, чтобы гости оставались на своих местах (на стороне бесплатного доступа в интернет) и не может идти туда, куда они не ходят (на стороне домашнего сервера/личных ресурсов).
Другая практическая причина для запуска AP с двумя SSID – это возможность не только ограничивать, куда может пойти гостевая AP, но и когда. Например, если вы являетесь родителем, который хочет ограничить время, в течение которого ваш ребенок может не спать на компьютере, вы можете поместить его компьютер, планшет и т. Д. На дополнительную точку доступа и установить ограничения на доступ в Интернет для всей подгруппы. SSID после, скажем, 9 вечера.
Что мне нужно?
Наше учебное пособие сегодня сфокусировано на использовании совместимого с DD-WRT маршрутизатора для достижения двойных идентификаторов SSID. Для этого вам понадобятся следующие вещи:
- 1 DD-WRT-совместимый маршрутизатор с соответствующей версией аппаратного обеспечения (мы покажем, как это проверить)
- 1 установленная копия DD-WRT на указанном маршрутизаторе
Это не единственный способ настроить двойной SSID для вашей домашней сети. Мы собираемся запустить наши SSID на вездесущем беспроводном маршрутизаторе Linksys серии WRT54G. Если вы не хотите проходить через перепрошивку кастомной прошивки на старом маршрутизаторе и выполнять дополнительные шаги по настройке, вы можете вместо этого:
- Приобретите новый маршрутизатор с поддержкой двух идентификаторов SSID, например ASUS RT-N66U.
- Купите второй беспроводной маршрутизатор и настройте его как отдельную точку доступа.
Если у вас уже нет маршрутизатора, поддерживающего двойные идентификаторы SSID (в этом случае вы можете пропустить этот учебник и просто прочитать руководство для вашего устройства), оба эти варианта не идеальны, поскольку вам приходится тратить дополнительные деньги, а в случае второй вариант – выполнить кучу дополнительных настроек, включая настройку вторичной точки доступа, чтобы она не мешала и/или не перекрывала вашу основную точку доступа.
В свете всего этого мы были более чем счастливы использовать уже имеющееся у нас оборудование (беспроводной маршрутизатор Linksys серии WRT54G) и пропустить расходы, связанные с наличными деньгами и дополнительной настройкой сети Wi-Fi.
Как я узнаю, что мой маршрутизатор совместим?
Есть два критических элемента совместимости, которые вы должны проверить, чтобы добиться успеха в этом уроке. Первый и самый элементарный – проверить, поддерживает ли ваш конкретный маршрутизатор DD-WRT. Вы можете проверить базу данных маршрутизатора вики-сайта DD-WRT здесь.
После того, как вы установили, что ваш маршрутизатор совместим с DD-WRT, нам нужно проверить номер версии чипа вашего маршрутизатора. Например, если у вас действительно старый маршрутизатор Linksys, он может быть любым исправным маршрутизатором во всех отношениях, но микросхема может не поддерживать двойные идентификаторы SSID (что делает его принципиально несовместимым с руководством).
Существует две степени совместимости в отношении номера версии маршрутизатора. Некоторые маршрутизаторы могут делать несколько идентификаторов SSID, но они не могут разбивать идентификаторы SSID на отдельные абсолютно уникальные точки доступа (например, уникальный MAC-адрес для каждого SSID). В некоторых ситуациях это может вызвать проблемы с некоторыми устройствами Wi-Fi, поскольку они не могут понять, какой SSID (так как у них обоих одинаковый MAC-адрес) они должны использовать.К сожалению, нет никакого способа предсказать, какие устройства будут работать некорректно в вашей сети, поэтому мы не можем рекомендовать вам избегать метода, описанного в этом руководстве, если вы обнаружите, что у вас есть устройство, которое не поддерживает дискретные идентификаторы SSID.
Вы можете проверить номер ревизии, выполнив поиск в Google для конкретной модели вашего роутера вместе с номером версии, напечатанным на информационной этикетке (обычно находится на нижней стороне роутера), но мы сочли этот метод ненадежным (метки может быть неверно применена, информация, опубликованная в сети относительно модели и даты изготовления, может быть неточной и т. д.)
Самый надежный способ проверить номер ревизии чипа в вашем маршрутизаторе – это опросить его. Для этого вам необходимо выполнить следующие шаги. Откройте клиент telnet (многоцелевую программу, такую как PuTTY или базовую команду Windows Telnet) и подключите telnet к IP-адресу вашего маршрутизатора (например, 192.168.1.1). Войдите в маршрутизатор, используя логин и пароль администратора (имейте в виду, что для некоторых маршрутизаторов, даже если вы вводите «admin» и «mypassword» для входа на веб-портал управления на маршрутизаторе, вам может потребоваться ввести «root»). »И« mypassword »для входа через telnet).
После входа в маршрутизатор введите в командной строке следующую команду:
nvram show | греп коререв
Это вернет номер версии ядра чипа (ов) в вашем маршрутизаторе в следующем формате:
wl0_corerev = 9
wl_corerev =
Что означает вышеприведенный вывод, так это то, что у нашего маршрутизатора есть одна радиостанция (wl0, нет wl1) и что основной версией этого радиочипа является 9. Как вы интерпретируете вывод? Номер редакции по отношению к нашему руководству означает следующее:
- 0-4 Маршрутизатор не поддерживает несколько SSID (с уникальными идентификаторами или иным образом)
- 5-8 Маршрутизатор поддерживает несколько SSID (но не с уникальными идентификаторами)
- 9+ Маршрутизатор поддерживает несколько SSID (с уникальными идентификаторами)
Как вы можете видеть из вывода нашей команды выше, нам повезло. Чип нашего маршрутизатора является самой низкой версией, которая поддерживает несколько SSID с уникальными идентификаторами.
После того, как вы определили, что ваш маршрутизатор может поддерживать несколько SSID, вам нужно будет установить DD-WRT. Если ваш маршрутизатор поставляется с DD-WRT или вы уже установили его, это просто фантастика. Если вы еще не установили его, мы рекомендуем загрузить соответствующую версию с веб-сайта DD-WRT и следовать вместе с нашим учебным пособием: Превратите ваш домашний маршрутизатор в супер-управляемый маршрутизатор с DD-WRT.
В дополнение к нашему уроку, мы не можем подчеркнуть ценность обширной и превосходно поддерживаемой вики DD-WRT. Ознакомьтесь с вашим конкретным маршрутизатором и с рекомендациями по прошивке на него новой прошивки.
Настройка DD-WRT для нескольких SSID
У вас есть совместимый маршрутизатор, вы установили на него DD-WRT, теперь пришло время приступить к настройке второго SSID. Точно так же, как вы всегда должны прошивать новую прошивку через проводное соединение, мы настоятельно рекомендуем работать над настройкой беспроводной сети через проводное соединение, чтобы изменения не заставили ваш беспроводной компьютер отключиться от сети.
Откройте веб-браузер на компьютере, подключенном к маршрутизатору через Ethernet. Перейдите к IP-адресу маршрутизатора по умолчанию (обычно 198.168.1.1). В интерфейсе DD-WRT перейдите к Wireless -> Basic Settings (как видно на скриншоте выше). Вы можете видеть, что наша существующая точка доступа Wi-Fi имеет SSID «HTG_Office».
В нижней части страницы, в разделе «Виртуальные интерфейсы», нажмите кнопку «Добавить». Ранее пустой раздел «Виртуальные интерфейсы» будет расширен с помощью этой предварительно заполненной записи: 
Этот виртуальный интерфейс встроен в существующий радиочип (обратите внимание на wl0.1 в заголовке новой записи). Даже сокращение в SSID указывало на это, «vap» в конце SSID по умолчанию обозначает виртуальную точку доступа. Давайте разберем остальные записи в новом виртуальном интерфейсе.
Вы можете переименовать SSID по своему усмотрению. В соответствии с нашим существующим соглашением об именах (и для облегчения жизни наших гостей) мы собираемся изменить SSID со значения по умолчанию на «HTG_Guest» – помните, что нашей основной точкой доступа Wi-Fi является «HTG_Office».
Оставьте Wireless SSID Broadcast включенным. Мало того, что многие старые компьютеры и устройства с поддержкой Wi-Fi не очень хорошо работают с секретными идентификаторами SSID, но скрытая гостевая сеть не очень привлекательная и полезная гостевая сеть.
AP Isolation – это параметр безопасности, который мы оставим на ваше усмотрение, чтобы включить или отключить. Если вы включите AP Isolation, каждый клиент в вашей гостевой сети Wi-Fi будет полностью изолирован друг от друга. С точки зрения безопасности это здорово, так как он не позволяет злоумышленнику копаться в клиентах других пользователей.Однако это больше касается корпоративных сетей и общественных точек доступа. С практической точки зрения это также означает, что если ваши племянница и племянник закончили и хотят играть в Wi-Fi-игру на своих устройствах Nintendo DS, их подразделения DS не смогут видеть друг друга. В большинстве приложений для дома и небольшого офиса нет особых причин изолировать точки доступа.
Опция Unbridged/Bridged в конфигурации сети указывает, будет ли AP Wi-Fi подключен или нет к физической сети. Как бы нелогично это ни было, вам нужно оставить для него значение Bridged. Вместо того, чтобы позволить микропрограммному обеспечению маршрутизатора обрабатывать (довольно неуклюже) процесс разрыва связи, мы собираемся вручную убрать все вместе с более чистого и более стабильного результата.
После того, как вы измените свой SSID и просмотрите настройки, нажмите Сохранить.
Далее перейдите к Wireless -> Wireless Security:
По умолчанию нет безопасности на втором AP. Вы можете временно оставить его как таковой для целей тестирования (мы оставляли наши открытыми до самого конца), чтобы уберечь себя от ввода пароля на ваших тестовых устройствах. Однако мы не рекомендуем оставлять его открытым постоянно. Независимо от того, решили вы оставить его открытым или нет, вам нужно нажать Сохранить, а затем Применить настройки, чтобы изменения, которые мы внесли как в предыдущем разделе, так и в этот, вступили в силу. Будьте терпеливы, чтобы изменения вступили в силу, может пройти до 2 минут.
Сейчас самое время подтвердить, что близлежащие устройства Wi-Fi могут видеть как первичные, так и вторичные точки доступа. Открытие интерфейса Wi-Fi на смартфоне – отличный способ быстро проверить. Вот вид со страницы конфигурации Wi-Fi нашего телефона Android:
Мы пока не можем подключиться к вторичной точке доступа, поскольку нам нужно внести еще несколько изменений в маршрутизатор, но всегда приятно видеть их обоих в списке.
Следующий шаг – начать процесс разделения SSID в сети, назначив уникальный диапазон IP-адресов для гостевых устройств Wi-Fi.
Перейдите в «Настройка» -> «Сеть». В разделе «Мост» нажмите кнопку «Добавить».
Сначала измените начальный слот на «br1», оставьте остальные значения такими же. Вы еще не сможете увидеть запись IP/подсети, показанную выше. Нажмите «Применить настройки». Новый мост будет в разделе Bridging с доступными разделами IP и Subnet. Установите IP-адрес равным одному значению от IP-адреса вашей обычной сети (например, ваша основная сеть – 192.168.1.1, поэтому установите это значение 192.168.2.1). Установите маску подсети на 255.255.255.0. Снова нажмите «Применить настройки» внизу страницы.
Назначьте гостевую сеть мосту
Примечание: спасибо читателю Джоэлу за то, что он указал на эту часть и дал нам инструкции по добавлению в учебник.
В разделе «Назначить мосту» нажмите «Добавить». Выберите новый мост, который вы создали, из первого раскрывающегося списка и соедините его с интерфейсом «wl0.1».
Теперь нажмите «Сохранить» и «Применить настройки».
После внесения изменений еще раз прокрутите страницу вниз до раздела DHCPD. Нажмите «Добавить». Переключите первый слот на «br1». Оставьте остальные настройки такими же (как показано на скриншоте ниже).
Нажмите «Применить настройки» еще раз. После того, как вы выполнили все задачи на странице «Настройка» -> «Сеть», вы должны быть готовы к подключению и назначению DHCP.
Примечание. Если точка доступа Wi-Fi, которую вы настраиваете для двойных идентификаторов SSID, поддерживает резервное копирование на другом устройстве (например, у вас есть два маршрутизатора Wi-Fi в вашем доме или офисе для расширения зоны обслуживания и тот, на котором вы устанавливаете гостевой SSID) на # 2 в цепочке) вам нужно настроить DHCP в разделе Services. Если это похоже на ваши настройки, пришло время перейти к разделу «Сервисы -> Сервисы».
В разделе служб нам нужно добавить немного кода в раздел DNSMasq, чтобы маршрутизатор правильно назначал динамические IP-адреса устройствам, подключенным к гостевой сети. Прокрутите вниз раздел DNSMasq. В поле «Дополнительные параметры DNSMasq» вставьте следующий код (минус # комментариев, объясняющих функциональность каждой строки):
# Включает DHCP на br1
Интерфейс = BR1
# Установить шлюз по умолчанию для клиентов br1
DHCP-опция = br1,3,192.168.2.1
# Установите диапазон DHCP и время аренды по умолчанию 24 часа для клиентов br1
Диапазон-DHCP = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Нажмите «Применить настройки» внизу страницы.
Использовали ли вы метод один или два, подождите несколько минут, чтобы подключиться к новому гостевому SSID. Когда вы подключаетесь к гостевому SSID, проверьте свой IP-адрес. У вас должен быть IP в пределах диапазона, который мы указали выше.Опять же, удобно использовать ваш смартфон для проверки:
Все выглядит хорошо. Вторичная точка доступа назначает динамические IP-адреса в соответствующем диапазоне, мы можем войти в Интернет – мы делаем заметку, огромный успех.
Однако единственная проблема заключается в том, что вторичная точка доступа все еще имеет доступ к ресурсам первичной сети. Это означает, что все сетевые принтеры, сетевые ресурсы и т. Д. Все еще видны (вы можете проверить это сейчас, попробуйте найти сетевой ресурс из вашей первичной сети на вторичной точке доступа).
Если вы хотите, чтобы гости на вторичной точке доступа имели доступ к этим вещам (и следуете вместе с учебным руководством, чтобы вы могли выполнять другие задачи с двумя SSID, такие как ограничение гостевой пропускной способности или время, в которое им разрешено использовать Интернет), то вы фактически закончили с учебником.
Мы полагаем, что большинство из вас хотели бы, чтобы ваши гости не ковырялись в вашей сети, и осторожно толкали их на то, чтобы они обращались к Facebook и электронной почте. В этом случае нам нужно завершить процесс, отсоединив вторичную точку доступа от физической сети.
Перейдите в Администрирование -> Команды. Вы увидите область с надписью «Командная оболочка». Вставьте следующие команды без строк комментария в редактируемую область:
# Удаляет гостевой доступ к физической сети
iptables -I FORWARD -i br1 -o br0 -m состояние - состояние NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m состояние --state NEW -j DROP
# Удаляет гостевой доступ к графическому интерфейсу/портам конфигурации маршрутизатора
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j ОТКАЗАТЬ --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j ОТКАЗАТЬ --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Нажмите «Сохранить брандмауэр» и перезагрузите маршрутизатор.
Эти дополнительные правила брандмауэра просто запрещают говорить обо всем на двух мостах (частной сети и общедоступной/гостевой сети), а также отклоняют любой контакт между клиентом в гостевой сети и портами telnet, SSH или веб-сервера на маршрутизатор (таким образом, ограничивая их попытки доступа к файлам конфигурации маршрутизатора вообще).
Слово об использовании командной оболочки и сценариев запуска, выключения и брандмауэра. Сначала команды IPTABLES обрабатываются по порядку. Изменение порядка линий лиц может существенно изменить результат. Во-вторых, существуют десятки и десятки маршрутизаторов, поддерживаемых DD-WRT, и в зависимости от вашего конкретного маршрутизатора и его конфигурации вам может потребоваться настроить команды IPTABLES выше. Сценарий работал для нашего маршрутизатора и использует самые широкие и простые команды для выполнения задачи, поэтому он должен работать для большинства маршрутизаторов. Если этого не произойдет, мы настоятельно рекомендуем вам найти конкретную модель маршрутизатора на дискуссионных форумах DD-WRT и выяснить, не сталкивались ли другие пользователи с такими же проблемами, как и вы.
На этом этапе вы закончили с настройкой и готовы пользоваться двумя SSID и всеми преимуществами их использования. Вы можете легко выдать гостевой пароль (и изменить его по своему усмотрению), настроить правила QoS для гостевой сети и иным образом изменить и ограничить гостевую сеть так, чтобы это никак не повлияло на вашу основную сеть.
