Како омогућити приступну тачку за госте на вашој бежичној мрежи
Дељење Ви-Фи-ја са гостима је само пристојна ствар, али то не значи да желите да им омогућите широк приступ читавој ЛАН мрежи. Читајте даље док вам показујемо како да подесите свој рутер за двоструке ССИД-ове и да направите засебну (и безбедну) приступну тачку за своје госте.
Зашто желим ово да урадим?
Постоји неколико веома практичних разлога због којих желите да ваша кућна мрежа има двоструке приступне тачке (АП).
Разлог за најпрактичнију апликацију за највећи број људи је једноставно изоловање ваше кућне мреже тако да гости не могу да приступе стварима које желите да останете приватне. Подразумевана конфигурација за скоро сваку кућну Ви-Фи приступну тачку / рутер је да се користи једна бежична приступна тачка и свако ко је овлашћен да приступи АП-у добија приступ мрежи као да је прикључен директно на АП путем Етхернета..
Другим речима, ако дате свог пријатеља, комшију, госта, или ма ко лозинку за вашу Ви-Фи приступну тачку, такође сте им дали приступ мрежном штампачу, било које отворене делове на вашој мрежи, неосигуране уређаје на мрежи и тако даље. Можда сте само хтели да им дозволите да провере своју е-пошту или да играју игру на мрежи, али сте им дали слободу да се крећу где год желе на вашој интерној мрежи.
Сада док већина нас сигурно нема злонамјерних хакера за пријатеље, то не значи да није паметно поставити наше мреже тако да гости остају тамо гдје им је мјесто (на бесплатној страни приступа интернету) не могу ићи тамо гдје их немају (на страни кућног сервера / особне стране ограде).
Још један практични разлог за покретање АП-а са два ССИД-а је могућност да не ограничите само где гост АП може да иде, већ када. Ако сте, на пример, родитељ који жели да ограничи колико ће ваше дете моћи да остане горе на рачунару, можете да ставите њихов рачунар, таблет, итд. На секундарну АП и поставите ограничења за приступ интернету за целу подстаницу. -СИДИД после, рецимо, у 9 поподне.
Шта ми је потребно?
Наш водич је данас фокусиран на коришћење ДД-ВРТ компатибилног рутера за постизање двоструких ССИД-ова. Као такви требат ће вам сљедеће ствари:
- 1 ДД-ВРТ компатибилан рутер са одговарајућом ревизијом хардвера (показат ћемо вам како провјерити)
- 1 инсталирана копија ДД-ВРТ-а на наведеном рутеру
Ово није једини начин да подесите двоструке ССИД-ове за вашу кућну мрежу. Покрећемо наше ССИД-ове са свеприсутног бежичног рутера Линксис ВРТ54Г серије. Ако не желите да прођете кроз гњаважу трептања корисничког фирмвера на старом рутеру и извршите додатне кораке конфигурације, могли бисте:
- Купите новији рутер који подржава двоструке ССИД-е одмах из кутије, као што је АСУС РТ-Н66У.
- Купите други бежични рутер и конфигурирајте га као самосталну приступну тачку.
Осим ако већ поседујете рутер који подржава двоструке ССИД-ове (у том случају можете прескочити овај водич и прочитати приручник за ваш уређај) обје ове опције су мање од идеалног у смислу да морате потрошити додатни новац и, у случају другу опцију, направите гомилу додатних конфигурација, укључујући постављање секундарне АП да не омета и / или преклапа са примарном АП.
У светлу свега тога, били смо више него срећни да користимо хардвер који смо већ имали (Линксис ВРТ54Г бежични рутер) и прескочимо трошкове готовине и додатног подешавања Ви-Фи мреже.
Како да знам да је мој рутер компатибилан?
Постоје два кључна елемента компатибилности које морате проверити да бисте постигли успех са овим упутством. Први и најједноставнији је да проверите да ли ваш рутер има ДД-ВРТ подршку. Овде можете да посетите ДД-ВРТ вики базу података рутера да бисте проверили.
Када установите да је ваш рутер компатибилан са ДД-ВРТ, морамо проверити број ревизије чипа вашег рутера. Ако имате заиста стари Линксис рутер, на пример, он може бити савршен услужни рутер на сваки начин, али чип можда не подржава дуал ССИД (што га чини фундаментално некомпатибилним са упутством).
Постоје два степена компатибилности у односу на број ревизије рутера. Неки рутери могу да раде више ССИД-ова, али не могу поделити ССИД-ове у различите апсолутно јединствене приступне тачке (нпр. Јединствену МАЦ адресу за сваки ССИД). У неким ситуацијама то може проузроковати проблеме са неким Ви-Фи уређајима јер се они збуњују о томе који ССИД (пошто оба имају исту МАЦ адресу) треба да користе. Нажалост, не постоји начин да се предвиди који ће се уређаји понашати лоше на вашој мрежи, тако да се не можемо препустити препоруци да избјегавате технику описану у овом водичу ако откријете да имате уређај који не подржава дискретне ССИД-ове.
Број ревизије можете да проверите тако што ћете извршити Гоогле претрагу за одређени модел вашег рутера заједно са бројем верзије штампаном на налепници са информацијама (обично се налази на доњој страни рутера), али сматрамо да је ова техника непоуздана (ознаке могу бити погрешно примењене, информације објављене на мрежи у вези модела и датума производње могу бити нетачне, итд.)
Најпоузданији начин да проверите број ревизије чипа унутар вашег рутера јесте да у ствари анкетирате рутер да бисте сазнали. Да бисте то урадили потребно је да извршите следеће кораке. Отворите телнет клијент (вишенаменски програм као што је ПуТТИ или основна Виндовс Телнет наредба) и телнет на ИП адресу вашег рутера (нпр. 192.168.1.1). Пријавите се на рутер користећи корисничко име и лозинку администратора (имајте на уму да за неке рутере чак и ако упишете „админ“ и „мипассворд“ да бисте се пријавили на веб-базирани портал за управљање на рутеру, можда ћете морати да откуцате „роот“ И “мипассворд” за пријаву преко телнета).
Када се пријавите на рутер, откуцајте следећу команду у одзивнику:
нврам схов | греп цоререв
Ово ће вратити основни ревизиони број чипова у вашем рутеру у следећем формату:
вл0_цоререв = 9
вл_цоререв =
Шта значи горњи излаз да наш рутер има један радио (вл0, нема вл1) и да је основна ревизија тог радио чипа 9. Како тумачите излаз? Број ревизије, у односу на наш водич, значи сљедеће:
- 0-4 Рутер не подржава више ССИД-ова (са јединственим идентификаторима или на други начин)
- 5-8 Рутер подржава више ССИД-ова (али не са јединственим идентификаторима)
- Рутер подржава више ССИД-ова (са јединственим идентификаторима)
Као што можете видети из нашег командног излаза, ми смо се извукли. Чип нашег рутера је најнижа ревизија која подржава вишеструке ССИД-ове са јединственим идентификаторима.
Када утврдите да ваш рутер може да подржава више ССИД-ова, потребно је да инсталирате ДД-ВРТ. Ако је ваш рутер испоручен са ДД-ВРТ или сте га већ инсталирали, фантастично. Ако га већ нисте инсталирали, препоручујемо вам да преузмете одговарајућу верзију са ДД-ВРТ веб сајта и пратите заједно са нашим упутством: Претворите свој кућни рутер у супер-покретани рутер са ДД-ВРТ.
Поред нашег туториала, не можемо нагласити вриједност опсежног и изврсно одржаваног ДД-ВРТ викија. Прочитајте на вашем рутеру и најбоље праксе за трептање новог фирмвера тамо.
Конфигурисање ДД-ВРТ за више ССИД-ова
Имате компатибилни рутер, ДД-ВРТ сте пребацили на њега, сада је време да почнете да подешавате тај други ССИД. Баш као што би требало да увек бљеснете нови фирмвер преко жичне везе, препоручујемо да радите на бежичном подешавању преко жичаног повезивања тако да промене не приморавају бежични рачунар да се искључи из мреже.
Отворите свој веб претраживач на рачунару који је повезан са рутером путем Етхернета. Идите до подразумеване ИП адресе рутера (обично 198.168.1.1). Унутар ДД-ВРТ интерфејса, идите на Вирелесс -> Басиц Сеттингс (као што се види на слици изнад). Видите да наш постојећи Ви-Фи АП има ССИД „ХТГ_Оффице“.
На дну странице, у секцији „Виртуални интерфејси“, кликните на дугме „Додај“. Претходно празан одељак „Виртуални интерфејси“ ће се проширити са овим предпубликованим уносом:
Овај виртуални интерфејс је уграђен на ваш постојећи радио чип (имајте на уму вл0.1 у наслову новог уноса). Чак и скраћеница у ССИД-у означава ово, "вап" на крају подразумеваног ССИД-а означава Виртуал Аццесс Поинт. Раздвојимо остале уносе под новим Виртуалним интерфејсом.
Можете преименовати ССИД у оно што желите. У складу са нашом постојећом конвенцијом о именовању (и како бисмо олакшали живот нашим гостима), променићемо ССИД са подразумеваног на "ХТГ_Гуест" - памти наш главни Ви-Фи АП је "ХТГ_Оффице".
Оставите омогућено бежично ССИД емитовање. Не само да старији рачунари и уређаји са омогућеном Ви-Фи мрежом не играју веома лепо са тајним ССИД-овима, већ и скривена мрежа гостију није веома привлачна / корисна гостујућа мрежа.
АП Изолација је сигурносна поставка коју ћемо оставити по вашем нахођењу да омогућимо или онемогућимо. Ако омогућите АП изолацију сваки клијент на вашој гостујућој Ви-Фи мрежи ће бити потпуно изолован једни од других. Са безбедносне тачке гледишта, ово је сјајно, јер злонамерног корисника задржава у томе да покаже клијенте других корисника. Међутим, то је више брига за корпоративне мреже и јавне вруће тачке. Практично говорећи, то такође значи да ако су ваша нећакиња и нећак завршили и желе да играју Ви-Фи повезану игру на својим Нинтендо ДС јединицама, њихове ДС јединице неће моћи да се виде. У већини кућних и малих канцеларијских апликација нема разлога за изолацију АП.
Опција Унбридгед / Бридгед у конфигурацији мреже односи се на то да ли ће Ви-Фи АП бити премоштена или не на физичку мрежу. Будући да је ово контраинтуитивно, потребно је да га оставите постављеног на Бридгед. Уместо да фирмваре-у рутера рукује (прилично неспретно) процесом прекидања везе, ручно ћемо сами уклонити мост са чистијег и стабилнијег исхода..
Када промените ССИД и проверите поставке, кликните на дугме Сачувај.
Затим пређите на Вирелесс -> Вирелесс Сецурити:
Подразумевано нема сигурности на другом АП-у. Можете га оставити као такво привремено у сврху тестирања (оставили смо отворен до самог краја) да бисте се спасили од уноса лозинке на тест уређајима. Ми, међутим, не препоручујемо да га оставите трајно отвореним. Било да се одлучите да га оставите отвореним или не у овом тренутку, морате кликнути на Сачувај и затим Примијенити Поставке за промјене које смо направили како у претходном одјељку, тако иу овој. Будите стрпљиви, може проћи до 2 минута да промене ступају на снагу.
Сада је право време да потврдите да оближњи Ви-Фи уређаји могу да виде примарне и секундарне приступне тачке. Отварање Ви-Фи интерфејса на паметном телефону је одличан начин да брзо проверите. Ево приказа са Ви-Фи конфигурационе странице нашег Андроид телефона:
Још не можемо да се повежемо са секундарном АП-ом јер морамо да извршимо још неколико измена на рутеру, али је увек лепо видети их на листи.
Следећи корак је да започнете процес одвајања ССИД-ова на мрежи додељивањем јединственог опсега ИП адреса гостима Ви-Фи уређаја.
Идите на Сетуп -> Нетворкинг. У одељку „Премошћивање“ кликните на дугме Додај.
Прво, промените почетни слот на “бр1”, а остале вредности оставите истим. Још нећете моћи да видите ИП / Субнет ставку коју сте видели горе. Кликните на “Аппли Сеттингс”. Нови мост ће се налазити у одељку Премошћавање са доступним одељцима ИП и Субнет. Поставите ИП адресу на једну вредност из ИП-а ваше регуларне мреже (нпр. Ваша примарна мрежа је 192.168.1.1, зато унесите вредност 192.168.2.1). Подесите маску подмреже на 255.255.255.0. Кликните на “Аппли Сеттингс” на дну странице поново.
Доделите Госту мрежу за Бридге
Напомена: захваљујући читаоцу Јоелу за истицање овог дијела и давање упута за додавање водичу.
Под "Додели на мост" кликните на "Додај". Изаберите нови мост који сте креирали из првог падајућег менија и упарите га са интерфејсом "вл0.1".
Сада кликните на "Саве" и "Аппли Сеттингс".
Када се промене примене, померите се до дна странице још једном до одељка ДХЦПД. Кликните на “Адд”. Пребаците први слот на “бр1”. Оставите остала подешавања иста (као што се види на слици испод).
Кликните “Аппли Сеттингс” још једном. Када завршите све задатке на страници Подешавање -> Умрежавање, требало би да будете добри за повезивање и доделу ДХЦП-а.
Напомена: Ако је Ви-Фи приступна тачка коју конфигуришете за двоструке ССИД-ове прасе се прате на другом уређају (нпр. Имате два Ви-Фи рутера у вашем дому или канцеларији да бисте проширили покривеност и онај који постављате госту он је # 2 у ланцу) морат ћете поставити ДХЦП у одјељку Услуге. Ако вам ово звучи као да је подешено, време је да пређете на одељак Услуге -> Услуге.
У секцији услуга морамо да додамо мало кода у секцију ДНСМаск тако да рутер правилно додели динамичке ИП адресе уређајима који се повезују на гостујућу мрежу. Померите се доле у ДНСМаск секцију. У оквиру „Додатне опције за ДНСМаск“, налепите следећи код (умањен за # коментаре који објашњавају функционалност сваке линије):
# Омогућава ДХЦП на бр1
интерфаце = бр1
# Поставите подразумевани гатеваи за бр1 клијенте
дхцп-оптион = бр1,3,192.168.2.1
# Подесите ДХЦП опсег и подразумевано време закупа од 24 сата за бр1 клијенте
дхцп-ранге = бр1,192.168.2.100,192.168.2.150,255.255.255.0,24х
Кликните на “Аппли Сеттингс” на дну странице.
Било да сте користили технику један или два, сачекајте неколико минута да се повежете са новим ССИД-ом за госте. Када се повежете са ССИД-ом за госте, проверите ИП адресу. Требали бисте имати ИП у опсегу који смо навели горе. Опет, корисно је користити паметни телефон за провјеру:
Све изгледа добро. Секундарна АП додељује динамичке ИП адресе у одговарајућем опсегу, можемо да приступимо Интернету - овде правимо белешке, велики успех.
Једини проблем је, међутим, то што секундарни АП још увијек има приступ ресурсима примарне мреже. То значи да су сви умрежени штампачи, мрежни делови и такви још увек видљиви (можете да га тестирате сада, покушајте да пронађете дељење мреже из примарне мреже на секундарној АП).
ако ти желим гости на секундарној АП имају приступ овим стварима (и прате их заједно са упутствима како бисте могли да обављате друге задатке са двојним ССИД-ом, као што су ограничавање пропусног опсега госта или времена када им је дозвољено да користе Интернет), а онда сте ефективно обављени са Приручник.
Претпостављамо да би већина вас желела да задржи своје госте да не мрдну по вашој мрежи и да их нежно ставе у прилог Фацебооку и е-пошти. У том случају морамо завршити процес тако што ћемо одвојити секундарни АП од физичке мреже.
Идите до Администрација -> Команде. Видећете област означену са “Цомманд Схелл”. Залијепите сљедеће наредбе, без ретка с коментарима у подручје за уређивање:
#Ремовес гост приступ физичкој мрежи
иптаблес -И ФОРВАРД -и бр1 -о бр0 -м стате --стате НОВО -ј ДРОП
иптаблес -И ФОРВАРД -и бр0 -о бр1 -м стате --стате НОВО -ј ДРОП
#Ремовес гост приступ ГУИ / портовима рутера
иптаблес -И ИНПУТ -и бр1 -п тцп -дпорт телнет -ј РЕЈЕЦТ --рејецт-витх тцп-ресет
иптаблес -И ИНПУТ -и бр1 -п тцп --порт ссх -ј РЕЈЕЦТ --рејецт-витх тцп-ресет
иптаблес -И ИНПУТ -и бр1 -п тцп --порт ввв -ј РЕЈЕЦТ --рејецт-витх тцп-ресет
иптаблес -И ИНПУТ -и бр1 -п тцп -дпорт хттпс -ј РЕЈЕЦТ --рејецт-витх тцп-ресет
Кликните на “Саве Фиревалл” и поново покрените рутер.
Ова додатна правила заштитног зида једноставно заустављају све на два моста (приватна мрежа и јавна / гостујућа мрежа) из разговора, као и одбацују сваки контакт између клијента на мрежи гостију и портова телнет, ССХ или веб сервера на рутер (тиме их ограничава на покушај приступа конфигурационим датотекама рутера уопште).
Реч о коришћењу командне шкољке и покретања, искључивања и заштитних зидова. Прво, ИПТАБЛЕС команде се обрађују по реду. Промена редоследа линија појединаца може значајно да промени исход. Друго, постоје десетине на десетине рутера које подржава ДД-ВРТ и зависно од вашег специфичног рутера и конфигурације можда ћете морати да подесите ИПТАБЛЕС команде горе. Скрипта је радила за наш рутер и користи најшире могуће и најједноставније команде за извршавање задатка, тако да би требало да ради за већину рутера. Ако се то не догоди, снажно вас позивамо да потражите одређени модел рутера у ДД-ВРТ форумима и видите да ли су други корисници искусили исте проблеме које имате.
У овом тренутку сте завршили са конфигурацијом и спремни сте да уживате у двоструким ССИД-овима и свим погодностима које долазе са њима. Лако можете издати гостујућу лозинку (и променити је по вољи), поставити КоС правила за гостујућу мрежу и на други начин модификовати и ограничити гостујућу мрежу на начин који не утиче на вашу примарну мрежу..