כיצד לאפשר נקודת גישה אורח על הרשת האלחוטית שלך
שיתוף Wi-Fi עם האורחים הוא רק דבר מנומס לעשות, אבל זה לא אומר שאתה רוצה לתת להם גישה פתוחה לכל LAN שלך. המשך לקרוא כפי שאנו מראים לך כיצד להגדיר את הנתב עבור SSIDs כפול וליצור נקודת גישה נפרדת (ומאובטחת) עבור האורחים שלך.
למה אני רוצה לעשות את זה?
ישנן מספר סיבות מעשיות מאוד לרצות להקים את הרשת הביתית שלך יש נקודות גישה כפולה (AP).
הסיבה עם היישום המעשי ביותר עבור מספר האנשים הרב ביותר הוא פשוט לבודד את הרשת הביתית שלך, כך שהאורחים לא יכולים לגשת דברים שאתה רוצה להישאר פרטית. תצורת ברירת המחדל עבור כמעט כל נקודת גישה / נתב Wi-Fi ביתית היא להשתמש בנקודת גישה אלחוטית אחת וכל מי שהוסמך לגשת אליו מקבל גישה לרשת כאילו היו חוטיים ישירות לתוך ה- AP באמצעות Ethernet.
במילים אחרות, אם אתה נותן לחבר שלך, שכן, אורח בבית, או מי את הסיסמה ל- Wi-Fi AP שלך, אתה גם נתת להם גישה למדפסת הרשת שלך, כל המניות הפתוחות ברשת, מכשירים לא מאובטחים ברשת שלך, וכן הלאה. ייתכן רק רציתי לתת להם לבדוק את הדוא"ל שלהם או לשחק משחק מקוון, אבל נתת להם את החופש לשוטט בכל מקום שהם רוצים ברשת הפנימית שלך.
עכשיו, בעוד שרובנו בהחלט אין האקרים זדוניים עבור חברים, זה לא אומר שזה לא נבון להקים את הרשתות שלנו, כך שהאורחים להישאר במקום שהם שייכים (בצד גישה לאינטרנט חינם של הגדר) ו לא יכול ללכת לאן הם לא (על השרת הביתה / צד המניות הפרטיות של הגדר).
סיבה מעשית אחרת להפעלת AP עם שני SSIDs היא היכולת לא רק להגביל לאן AP יכול ללכת, אבל מתי. אם אתה הורה, למשל, שרוצה להגביל את האיחור באיחור של ילדך, יכול לשים את המחשב, את הטאבלט וכו 'ב- AP המשני ולהגדיר הגבלות על גישה לאינטרנט עבור כל תת -SSID לאחר, למשל, 09:00.
מה אני צריך?
הדרכה שלנו היום מתמקדת באמצעות נתב תואם DD-WRT להשיג SSIDs כפול. ככזה אתה צריך את הדברים הבאים:
- 1 נתב תואם DD-WRT עם תיקון חומרה מתאים (נראה לך איך לבדוק)
- 1 עותק מותקן של DD-WRT על הנתב אמר
זוהי לא הדרך היחידה להגדיר SSID כפול עבור הרשת הביתית שלך. אנחנו הולכים להפעיל את SSIDs שלנו בכל מקום Linksys WRT54G סדרת נתב אלחוטי. אם אתה לא רוצה לעבור את הטרחה של קושחה מותאמת אישית מהבהבים על הנתב הישן שלך ולעשות את השלבים תצורה נוספת, אתה יכול במקום זאת:
- רכישת נתב חדש התומך SSIDs כפולה מימין מתוך תיבת כגון ASUS RT-N66U.
- לרכוש נתב אלחוטי השני ולהגדיר אותו כנקודת גישה עצמאית.
אלא אם כן אתה כבר בעל נתב התומך SSIDs כפול (ובמקרה זה אתה יכול לדלג על הדרכה זו רק לקרוא את המדריך עבור המכשיר שלך) הן של אפשרויות אלה הם פחות אידיאלי כי אתה צריך להוציא כסף נוסף, במקרה של האפשרות השנייה, לעשות חבורה של תצורה נוספת כולל הגדרת AP משני לא להפריע ו / או חפיפה עם AP הראשי שלך.
לאור כל זאת, היינו יותר שמחים להשתמש בחומרה שכבר הייתה לנו (סדרת Linksys WRT54G), ולדלג על ההוצאה הכספית ועל תוספת Wi-Fi.
איך אני יודע הנתב שלי תואם?
ישנם שני רכיבי תאימות קריטית אתה צריך לבדוק כדי להצליח עם הדרכה זו. הראשון, ואת היסודי ביותר, היא לבדוק את הנתב הספציפי שלך יש תמיכה DD-WRT. אתה יכול לבקר באתר DD-WRT ויקי של הנתב כאן כדי לבדוק.
לאחר שנקבע כי הנתב שלך תואם DD-WRT, אנחנו צריכים לבדוק את מספר הגרסה של שבב הנתב שלך. אם יש לך נתב Linksys הישן, למשל, זה יכול להיות נתב שמיש מושלמת בכל דרך אבל השבב עשוי לא לתמוך SSIDs כפול (מה שהופך אותו ביסודו לא תואם את ערכת הלימוד).
ישנן שתי דרגות של תאימות ביחס למספר התיקון של הנתב. נתבים מסוימים יכולים לבצע SSID מרובים אך הם אינם יכולים לפצל את ה- SSID לנקודות גישה ייחודיות לחלוטין (למשל כתובת MAC ייחודית עבור כל SSID). במצבים מסוימים זה יכול לגרום לבעיות עם כמה התקני Wi-Fi כפי שהם להתבלבל לגבי איזה SSID (שכן שניהם יש את אותה כתובת MAC) הם צריכים להשתמש. לצערנו, אין דרך לחזות אילו מכשירים יפעלו בצורה לא נכונה ברשת שלך, כך שלא נוכל לצאת החוצה, מומלץ להימנע מהטכניקה המתוארת במדריך זה אם אתה מוצא שיש לך התקן שאינו תומך ב- SSID נפרדים.
תוכל לבדוק את מספר הגרסה על ידי ביצוע חיפוש Google עבור הדגם הספציפי של הנתב, יחד עם מספר הגירסה המודפס על תווית המידע (בדרך כלל נמצא בחלק התחתון של הנתב), אך מצאנו כי טכניקה זו אינה ניתנת לאימות (תוויות יכול להיות מיושם, מידע שפורסם באינטרנט לגבי המודל ותאריך הייצור יכול להיות מדויק, וכו ')
הדרך המהימנה ביותר לבדוק את מספר הגרסה של השבב בתוך הנתב שלך היא למעשה לסקור את הנתב כדי לברר. כדי לעשות זאת עליך לבצע את השלבים הבאים. פתח לקוח Telnet (תוכנית רב-תכליתי כמו PuTTY או פקודת Windows Telnet הבסיסית) ו- telnet לכתובת ה- IP של הנתב שלך (למשל 192.168.1.1). התחבר לנתב באמצעות סיסמת מנהל המערכת והסיסמה שלך (שים לב לכך שכמה מהנתבים גם אם אתה מקליד "admin" ו- "mypassword" כדי להתחבר לפורטל הניהול מבוסס האינטרנט בנתב, ייתכן שיהיה עליך להקליד את השורש "ו" mypassword "להתחבר באמצעות Telnet).
לאחר שתתחבר לנתב, הקלד את הפקודה הבאה בשורת הפקודה:
תצוגה - -
זה יחזיר את מספר הגרעין הליבה של שבב (ים) בנתב שלך בפורמט הבא:
wl0_corerev = 9
wl_corerev =
מה הפלט לעיל פירושו כי הנתב שלנו יש רדיו אחד (wl0, אין wl1) וכי הגרעין הליבה של שבב רדיו זה 9. איך אתה מפרש את הפלט? מספר התיקונים, ביחס למדריך שלנו, פירושו:
- 0-4 הנתב אינו תומך במספר SSID (עם מזהים ייחודיים או בכל דרך אחרת)
- 5-8 הנתב תומך במספר SSID (אך לא במזהים ייחודיים)
- 9 + הנתב תומך במספר SSID (עם מזהים ייחודיים)
כפי שניתן לראות מפלט הפקודה שלנו לעיל, אנחנו lucked החוצה. שבב הנתב שלנו הוא הגרסה הנמוכה ביותר התומכת במספר רב של SSID עם מזהים ייחודיים.
לאחר שתחליט שהנתב שלך יכול לתמוך במספר SSID, יהיה עליך להתקין את DD-WRT. אם הנתב שלך נשלח עם DD-WRT או שכבר התקנת את זה, פנטסטי. אם עדיין לא התקנת את זה אנו ממליצים להוריד את הגירסה המתאימה מאתר האינטרנט DD-WRT ו הבא יחד עם הדרכה שלנו: הפעל את הנתב הבית לתוך נתב סופר מופעל עם DD-WRT.
בנוסף הדרכה שלנו, אנחנו לא יכולים להדגיש את הערך של WD ו WRT WIT נרחב נרחב מתוחזק היטב. קרא על הנתב הספציפי שלך ואת שיטות העבודה המומלצות עבור מהבהבים קושחה חדשה לשם.
קביעת תצורה של DD-WRT עבור SSID מרובים
יש לך נתב תואם, אתה הבזיק DD-WRT אליו, עכשיו זה הזמן להתחיל להגדיר את זה SSID השני. בדיוק כמו שאתה תמיד צריך פלאש קושחה חדשה על חיבור קווית, אנו ממליצים בחום לעבוד על ההתקנה האלחוטית שלך על חיבור חוטית כך השינויים לא כוח המחשב האלחוטי שלך מחוץ לרשת.
פתח את דפדפן האינטרנט במחשב המחובר לנתב באמצעות Ethernet. נווט אל כתובת IP הנתב המשמשת כברירת מחדל (בדרך כלל 198.168.1.1). בממשק DD-WRT, נווט אל Wireless -> Basic Settings (כפי שניתן לראות בצילום המסך לעיל). אתה יכול לראות כי ה- Wi-Fi הקיים שלנו יש את SSID "HTG_Office".
בחלק התחתון של הדף, בקטע "ממשקים וירטואליים", לחץ על הלחצן הוסף. החלק הקודם של הממשק הווירטואלי "ריק" יתרחב עם ערך זה מראש:
זה ממשק וירטואלי הוא piggybacked על שבב הרדיו הקיים שלך (שים לב wl0.1 בכותרת של הערך החדש). אפילו הקיצור ב SSID הצביע על כך, "vap" בסוף SSID ברירת המחדל מייצג נקודת גישה וירטואלית. בואו לשבור את שאר הערכים תחת ממשק וירטואלי חדש.
ניתן לשנות את שם ה- SSID לכל מה שתרצה. בהתאם האמנה הנוכחית שלנו למתן שמות (וכדי להפוך את החיים קלים על האורחים שלנו) אנחנו הולכים לשנות את SSID מברירת המחדל ל "HTG_Guest", זוכר את ה- Wi-Fi הראשי שלנו הוא "HTG_Office".
השאר את שידור SSID אלחוטי מופעל. לא רק מחשבים ישנים רבים ו- Wi-Fi מופעל התקנים לא לשחק נחמד מאוד עם SSID סוד אבל רשת אורח מוסתרים הוא לא מאוד מזמין / רשת אורח שימושי.
בידוד AP הוא הגדרת אבטחה שנשאיר לפי שיקול דעתך להפעלה או השבתה. אם תפעיל את ה- AP בידוד, כל לקוח ברשת ה- Wi-Fi האורחת שלך יהיה מבודד לחלוטין זה מזה. מנקודת מבט ביטחונית זה נהדר, כפי שהוא שומר על משתמש זדוני מלהסתובב על לקוחות של משתמשים אחרים. זה יותר דאגה עבור רשתות חברתיות נקודות חמות ציבוריות, עם זאת. למעשה, זה אומר גם אם האחיינית שלך והאחיין הם מעל והם רוצים לשחק משחק מקושר Wi-Fi על יחידות נינטנדו DS שלהם, יחידות DS שלהם לא יוכלו לראות אחד את השני. ברוב יישומי בית ומשרד קטן יש סיבה קטנה לבודד את APs.
האפשרות Unbridged / Bridged בתצורת הרשת מתייחסת לשאלה אם ה- Wi-Fi AP לא יוגש או לא לרשת הפיזית. כמו counterintuitive כמו זה, אתה צריך להשאיר אותו מוגדר Bridged. במקום לתת את הקושחה נתב ידית (די מגושם) את תהליך הקישור, אנחנו הולכים unbridge הכל באופן ידני את עצמנו עם תוצאה נקייה ויציבה יותר.
לאחר שתשנה את ה- SSID שלך וסקרת את ההגדרות, לחץ על שמור.
נווט אל Wireless -> Wireless Security:
כברירת מחדל אין אבטחה על AP השני. אתה יכול להשאיר את זה ככזה באופן זמני למטרות בדיקה (השארנו שלנו פתוח עד סוף מאוד) כדי לשמור על עצמך מפני מפתוח את הסיסמה על התקנים הבדיקה שלך. עם זאת, אנו לא ממליצים להשאיר אותו פתוח לצמיתות. בין אם אתה מעדיף להשאיר אותו פתוח או לא בשלב זה, עליך ללחוץ על שמור ולאחר מכן על 'הגדרות' על השינויים שביצענו הן בקטע הקודם והן בסעיף הבא. הייה סבלני, ייתכן שיחלוף עד 2 דקות עד שהשינויים ייכנסו לתוקף.
עכשיו זה זמן נהדר כדי לאשר כי התקני Wi-Fi הסמוך יכול לראות גם את APs הראשי והמשני. פתיחת ממשק ה- Wi-Fi בטלפון חכם היא דרך מצוינת לבדוק במהירות. הנה התצוגה המפורטת בדף תצורת ה- Wi-Fi של טלפון Android:
אנחנו לא יכולים להתחבר AP משנית רק עדיין כמו שאנחנו צריכים לעשות עוד כמה שינויים בנתב, אבל זה תמיד נחמד לראות את שניהם ברשימה.
השלב הבא הוא להתחיל בתהליך של הפרדת ה- SSID ברשת על-ידי הקצאת טווח ייחודי של כתובות IP למכשירי ה- Wi-Fi של האורחים.
נווט אל הגדרות -> רשת. בקטע "גישור", לחץ על הלחצן הוסף.
ראשית, לשנות את החריץ הראשוני ל "br1", להשאיר את שאר הערכים זהה. לא תוכל לראות את ערך ה- IP / Subnet שנמצא למעלה. לחץ על "החל הגדרות". הגשר החדש יהיה בסעיף גישור עם קטעי IP ו- Subnet זמין. הגדר את כתובת ה- IP לערך אחד מהכתובת ה- IP הרגילה של הרשת (לדוגמה, הרשת הראשית שלך היא 192.168.1.1, לכן בצע ערך זה 192.168.2.1). הגדר את מסיכת רשת המשנה ל - 255.255.255.0. לחץ על "החל הגדרות" בתחתית הדף.
להקצות רשת אורח לגשר
הערה: תודה לקורא יואל על הצבעה על חלק זה ונותנת לנו את ההוראות להוסיף הדרכה.
תחת "הקצה לגשר" לחץ על "הוסף". בחר את הגשר החדש שיצרת מהתפריט הנפתח הראשון, וצמד אותו לממשק "wl0.1".
עכשיו לחץ על "שמור" ו "החל הגדרות".
לאחר החלת השינויים, גלול שוב לחלק התחתון של הדף אל הקטע DHCPD. לחץ על "הוסף". העבר את החריץ הראשון ל "br1". השאר את שאר ההגדרות זהות (כפי שמוצג בתמונה למטה).
לחץ על "החל הגדרות" פעם נוספת. לאחר שתסיים את כל המשימות בדף הגדרות -> רשת אתה צריך להיות טוב ללכת על קישוריות הקצאת DHCP.
הערה: אם ה- Wi-Fi AP שאתה מגדיר עבור SSID כפול הוא גיבוי חזיר על התקן אחר (לדוגמה, יש לך שני נתבי Wi-Fi בבית או במשרד שלך כדי להרחיב את הכיסוי שלך ואת אחד אתה הגדרת SSID אורח על # מס '2 בשרשרת) יהיה עליך להגדיר את DHCP במקטע שירותים. אם זה נשמע כמו ההגדרה שלך זה הזמן לנווט אל השירותים -> סעיף שירותים.
בסעיף השירותים עלינו להוסיף מעט קוד לקטע DNSMasq כך שהנתב יקצה כראוי כתובות IP דינמיות למכשירים המחוברים לרשת האורחת. גלול מטה את הקטע DNSMasq. בתיבה "אפשרויות DNSMasq נוספות", הדבק את הקוד הבא (פחות # הערות המסבירות את הפונקציונליות של כל שורה):
# מאפשר DHCP על br1
ממשק = br
# הגדר את שער ברירת המחדל עבור לקוחות br1
dhcp-option = br1,3,192.168.2.1
# הגדר את טווח DHCP ואת זמן החכירה ברירת המחדל של 24 שעות עבור לקוחות br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
לחץ על "החל הגדרות" בחלק התחתון של הדף.
אם השתמשת בטכניקה אחת או שתיים, המתן מספר דקות כדי להתחבר אל ה- SSID החדש שלך. כאשר אתה מתחבר אל SSID אורח, בדוק את כתובת ה- IP שלך. אתה צריך להיות IP בטווח שציינו עם האמור לעיל. שוב, זה שימושי כדי להשתמש בטלפון החכם שלך לבדוק:
הכל נראה טוב. AP המשני הוא הקצאת כתובות IP דינמיות בטווח המתאים, אנחנו יכולים להגיע לאינטרנט, אנחנו עושים פתק כאן, הצלחה ענקית.
הבעיה היחידה, עם זאת, היא כי AP משנית עדיין יש גישה למשאבים של הרשת העיקרית. פירוש הדבר שכל המדפסות ברשת, מניות הרשת וכדומה עדיין גלויים (תוכל לבדוק זאת כעת, לנסות למצוא נתח רשת מהרשת הראשית שלך ב- AP המשני).
אם אתה רוצה האורחים על AP משנית יש גישה לדברים האלה (והם הבאים יחד עם הדרכה אז אתה יכול לעשות משימות אחרות SSID כפול כמו להגביל את רוחב הפס של האורחים או פעמים מותר להם להשתמש באינטרנט) אז אתה עושה ביעילות עם הדרכה.
אנו מדמיינים שרובכם היו רוצים לשמור על האורחים שלכם מפני דפיקה ברשת שלכם בעדינות בעדר אותם לדבוק בפייסבוק ובדוא"ל. במקרה זה אנחנו צריכים לסיים את התהליך על ידי ביטול הקישור AP משניים מן הרשת הפיזית.
נווט אל ניהול -> פקודות. תראה אזור שכותרתו "Command Shell". הדבק את הפקודות הבאות, ללא שורות # ההערה, לאזור הניתן לעריכה:
# הסרת גישה לאורחים לרשת פיזית
iptables -I FORWARD -I br1-br0 -m המדינה - חדש NEW-DROP
iptables -I FORWARD-br0-br1 -m המדינה - חדש NEW-J DROP
# הסרת גישה לאורחים אל GUI / יציאות התצורה של הנתב
iptables -I INPUT -I br1 -p tcp - dport telnet -JJ REJECT - דחה-עם tcp-reset
iptables -I INPUT -i br1 -p tcp - dsp ssh-jj reject - דחה-עם tcp-reset
iptables -I INPUT -i br1 -p tcp - dport www -j REJJECT - דחה-עם איפוס tcp
iptables -אני INPUT -i BR1 -p TCP --dport https ושינוי דחיית --reject-עם TCP-reset
לחץ על "שמור את חומת האש" ואתחל את הנתב.
כללים נוספים אלה של חומת אש פשוטים עוצרים את הכל על שני הגשרים (הרשת הפרטית והרשת הציבורית / אורח) משיחה וגם דוחים כל מגע בין לקוח ברשת האורחת לבין יציאות ה- Telnet, SSH או שרת האינטרנט הנתב (ובכך להגביל אותם מנסה לגשת לקבצי התצורה של הנתב בכלל).
מילה על שימוש פגז הפקודה ואת ההפעלה, כיבוי, סקריפטים חומת האש. ראשית, פקודות IPTABLES מעובדות בסדר. שינוי סדר שורות הפרט יכול לשנות באופן משמעותי את התוצאה. שנית, ישנם עשרות על עשרות נתבים נתמך על ידי DD-WRT ו בהתאם הנתב הספציפי שלך ואת תצורה ייתכן שיהיה עליך לצבוט את פקודות IPTABLES לעיל. התסריט עבד עבור הנתב שלנו והוא משתמש בפקודות האפשריות הפשוטות והפשוטות ביותר כדי לבצע את המשימה כך שזה צריך לעבוד עבור רוב הנתבים. אם לא, אנו ממליצים לך מאוד לחפש את מודל הנתב הספציפי שלך בפורומי הדיון של DD-WRT ולראות אם משתמשים אחרים חוו את אותן הבעיות שיש לך.
בשלב זה אתה עושה עם תצורה מוכן ליהנות SSIDs כפול את כל היתרונות שמגיעים עם הפעלת אותם. אתה יכול בקלות לתת את סיסמת האורח (ולשנות אותו כרצונו), להגדיר את כללי QoS עבור רשת אורח, אחרת לשנות ולהגביל את רשת האורח בדרכים שלא ישפיע על הרשת העיקרית שלך לפחות.