Come abilitare un punto di accesso ospite sulla rete wireless
Condividere il tuo Wi-Fi con gli ospiti è solo la cosa gentile da fare, ma questo non significa che tu vuoi dare loro un ampio accesso alla tua intera LAN. Continua a leggere mentre ti mostriamo come configurare il tuo router per i due SSID e creare un punto di accesso separato (e sicuro) per i tuoi ospiti.
Perché voglio farlo??
Ci sono diversi motivi molto pratici per voler configurare la rete domestica in modo che abbia due punti di accesso (AP).
Il motivo con l'applicazione più pratica per il maggior numero di persone consiste semplicemente nell'isolare la tua rete domestica in modo che gli ospiti non possano accedere a cose che desideri rimanere private. La configurazione predefinita per quasi tutti i punti di accesso / router Wi-Fi domestici consiste nell'utilizzare un singolo punto di accesso wireless e chiunque sia autorizzato ad accedere a tale AP riceve l'accesso alla rete come se fosse collegato direttamente all'AP tramite Ethernet.
In altre parole, se dai il tuo amico, il vicino di casa, l'ospite della casa o chi la password per il tuo AP Wi-Fi, hai anche dato loro l'accesso alla stampante di rete, eventuali condivisioni aperte sulla rete, dispositivi non protetti sulla rete e così via. Potresti aver semplicemente voluto consentire loro di controllare la posta elettronica o giocare online, ma hai dato loro la libertà di spostarti ovunque desideri nella tua rete interna.
Ora, mentre la maggior parte di noi certamente non ha hacker maliziosi per gli amici, ciò non significa che non sia prudente impostare le nostre reti in modo che gli ospiti rimangano al loro posto (sul lato di accesso gratuito a Internet della recinzione) e non posso andare dove non lo fanno (sul server di casa / lato delle azioni personali del recinto).
Un altro motivo pratico per l'esecuzione di un AP con due SSID è la possibilità non solo di limitare la posizione dell'AP guest, ma quando. Se sei un genitore, ad esempio, che vuole limitare il ritardo con cui il tuo bambino può restare sveglio sul computer, potresti mettere il loro computer, tablet, ecc. Sull'AP secondario e impostare restrizioni sull'accesso a Internet per l'intero sub -SSID dopo, per esempio, 9PM.
Di cosa ho bisogno?
Il nostro tutorial di oggi si concentra sull'utilizzo di un router compatibile DD-WRT per ottenere due SSID. Come tale avrai bisogno delle seguenti cose:
- 1 router compatibile DD-WRT con una revisione hardware appropriata (ti mostreremo come controllare)
- 1 copia installata di DD-WRT su detto router
Questo non è l'unico modo per configurare due SSID per la rete domestica. Stiamo andando a far funzionare i nostri SSID dall'esterno Router Wireless serie Linksys WRT54G. Se non vuoi passare attraverso il fastidio del firmware personalizzato lampeggiante sul tuo vecchio router e stai facendo i passaggi di configurazione aggiuntivi, puoi invece:
- Acquista un router più recente che supporti SSID doppi già pronti, come ASUS RT-N66U.
- Acquistare un secondo router wireless e configurarlo come access point autonomo.
A meno che tu non possieda già un router che supporta due SSID (nel qual caso puoi saltare questo tutorial e leggere solo il manuale del tuo dispositivo) entrambe queste opzioni non sono l'ideale in quanto devi spendere soldi extra e, nel caso di la seconda opzione, fare un po 'di configurazione extra incluso l'impostazione dell'AP secondario per non interferire e / o sovrapporsi con l'AP principale.
Alla luce di tutto ciò, siamo stati più che felici di utilizzare l'hardware che avevamo già (il router wireless della serie Linksys WRT54G) e saltare l'esborso di denaro e extra ritocchi della rete Wi-Fi.
Come faccio a sapere che il mio router è compatibile?
Ci sono due elementi critici di compatibilità che devi controllare per avere successo con questo tutorial. Il primo, e il più elementare, è verificare che il tuo router specifico abbia il supporto DD-WRT. Puoi visitare il Database dei router del wiki DD-WRT qui per verificare.
Una volta stabilito che il tuo router è compatibile con DD-WRT, dobbiamo controllare il numero di revisione del chip del tuo router. Se si dispone di un router Linksys molto vecchio, ad esempio, potrebbe essere un router utile perfezionabile in ogni modo, ma il chip potrebbe non supportare il doppio SSID (il che lo rende fondamentalmente incompatibile con il tutorial).
Esistono due gradi di compatibilità in relazione al numero di revisione del router. Alcuni router possono eseguire più SSID ma non possono suddividere gli SSID in distinti punti di accesso assolutamente unici (ad esempio, un indirizzo MAC univoco per ciascun SSID). In alcune situazioni questo può causare problemi con alcuni dispositivi Wi-Fi in quanto vengono confusi su quale SSID (poiché entrambi hanno lo stesso indirizzo MAC) che dovrebbero usare. Sfortunatamente non c'è modo di prevedere quali dispositivi si comportano male sulla rete, quindi non possiamo esagerare raccomandando di evitare la tecnica descritta in questo tutorial se si scopre di avere un dispositivo che non supporta SSID discreti.
Puoi controllare il numero di revisione eseguendo una ricerca su Google per il modello specifico del tuo router insieme al numero di versione stampato sull'etichetta informativa (di solito si trova sul lato inferiore del router) ma abbiamo trovato questa tecnica non affidabile (etichette possono essere applicate erroneamente, le informazioni pubblicate online relative al modello e alla data di produzione possono essere inaccurate, ecc.)
Il modo più affidabile per verificare il numero di revisione del chip all'interno del router è quello di sondare effettivamente il router per scoprirlo. Per fare ciò è necessario eseguire i seguenti passaggi. Aprire un client telnet (un programma multiuso come PuTTY o il comando base di Windows Telnet) e telnet all'indirizzo IP del router (ad esempio 192.168.1.1). Accedere al router utilizzando l'accesso e la password dell'amministratore (tenere presente che per alcuni router, anche se si digita "admin" e "mypassword" per accedere al portale di gestione basato sul web sul router, potrebbe essere necessario digitare "root" "E" Mypassword "per accedere tramite telnet).
Una volta effettuato l'accesso al router, digitare il seguente comando al prompt:
nvram show | grep corerev
Ciò restituirà il numero di revisione principale del / dei chip / i nel tuo router nel seguente formato:
wl0_corerev = 9
wl_corerev =
Che cosa significa l'output sopra è che il nostro router ha una radio (wl0, non c'è wl1) e che la revisione di base di quel chip radio è 9. Come interpreti l'output? Il numero di revisione, in relazione alla nostra guida, indica quanto segue:
- 0-4 Il router non supporta SSID multipli (con identificatori univoci o altro)
- 5-8 Il router supporta SSID multipli (ma non con identificatori univoci)
- 9+ Il router supporta SSID multipli (con identificatori univoci)
Come puoi vedere dal nostro output dei comandi sopra, siamo stati fortunati. Il chip del nostro router è la revisione più bassa che supporta più SSID con identificatori univoci.
Una volta stabilito che il router può supportare più SSID, è necessario installare DD-WRT. Se il router è stato spedito con DD-WRT o l'hai già installato, fantastico. Se non lo hai già installato, ti consigliamo di scaricare la versione appropriata dal sito web DD-WRT e di seguire il nostro tutorial: Trasforma il tuo router di casa in un router Super-Powered con DD-WRT.
Oltre al nostro tutorial, non possiamo sottolineare il valore del wiki DD-WRT esteso e ottimamente mantenuto. Leggi sul tuo router particolare e le migliori pratiche per l'aggiornamento di un nuovo firmware.
Configurazione di DD-WRT per SSID multipli
Hai un router compatibile, hai lampeggiato DD-WRT, ora è il momento di iniziare a configurare il secondo SSID. Proprio come si dovrebbe sempre flashare il nuovo firmware tramite una connessione cablata, si consiglia vivamente di lavorare sulla configurazione wireless su una connessione cablata in modo che le modifiche non costringano il computer wireless fuori dalla rete.
Apri il tuo browser web su un computer collegato al router tramite Ethernet. Passare all'IP router predefinito (in genere 198.168.1.1). All'interno dell'interfaccia DD-WRT, vai su Wireless -> Impostazioni di base (come mostrato nella schermata sopra). Puoi vedere che il nostro AP Wi-Fi esistente ha l'SSID "HTG_Office".
Nella parte inferiore della pagina, nella sezione "Interfacce virtuali", fai clic sul pulsante Aggiungi. La sezione "Interfacce virtuali" precedentemente vuota si espanderà con questa voce prepopolata:
Questa interfaccia virtuale è trasportata su un chip radio esistente (notare wl0.1 nel titolo della nuova voce). Anche la stenografia nel SSID lo indica, il "vap" alla fine dell'SSID predefinito sta per Virtual Access Point. Analizziamo il resto delle voci sotto la nuova interfaccia virtuale.
È possibile rinominare l'SSID in base a ciò che si desidera. In linea con la nostra convenzione di denominazione esistente (e per semplificare la vita ai nostri ospiti), cambieremo il SSID dall'impostazione predefinita a "HTG_Guest" - il nostro AP Wi-Fi principale è "HTG_Office".
Lascia abilitato Broadcast SSID wireless. Non solo molti vecchi computer e dispositivi abilitati Wi-Fi non funzionano molto bene con SSID segreti, ma una rete ospite nascosta non è una rete ospite molto invitante / utile.
AP Isolation è un'impostazione di sicurezza che lasceremo a tua discrezione abilitare o disabilitare. Se abiliti l'isolamento AP ogni client sulla rete Wi-Fi del tuo ospite sarà completamente isolato l'uno dall'altro. Dal punto di vista della sicurezza questo è ottimo, in quanto impedisce a un utente malintenzionato di dare un'occhiata ai client di altri utenti. Tuttavia, questa è più una preoccupazione per le reti aziendali e gli hotspot pubblici. In pratica, questo significa anche che se tua nipote e nipote sono finiti e vogliono giocare a un gioco collegato Wi-Fi sulle loro unità Nintendo DS, le loro unità DS non potranno vedersi. Nella maggior parte delle applicazioni domestiche e di piccoli uffici non c'è motivo di isolare gli AP.
L'opzione Unbridged / Bridged nella configurazione di rete si riferisce al fatto che l'AP Wi-Fi sia collegato o meno alla rete fisica. Per quanto poco intuitivo, devi lasciarlo impostato su Bridged. Invece di lasciare che il firmware del router gestisca (piuttosto goffamente) il processo di scollegamento, stiamo per disancorare manualmente tutto noi stessi con un risultato più pulito e più stabile.
Una volta modificato l'SSID e rivisto le impostazioni, fai clic su Salva.
Quindi passa a Wireless -> Wireless Security:
Di default non c'è sicurezza sul secondo AP. Puoi lasciarlo temporaneamente come tale a scopo di test (abbiamo lasciato il nostro aperto fino alla fine) per salvarti dall'introduzione della password sui tuoi dispositivi di test. Tuttavia, non consigliamo di lasciarlo definitivamente aperto. Sia che tu scelga di lasciarlo aperto o meno a questo punto, devi fare clic su Salva e poi su Applica impostazioni per le modifiche che abbiamo apportato sia nella sezione precedente che in quella attuale. Siate pazienti, possono essere necessari fino a 2 minuti affinché le modifiche abbiano effetto.
Ora è il momento giusto per confermare che i dispositivi Wi-Fi nelle vicinanze possono vedere sia gli AP principali che quelli secondari. L'apertura dell'interfaccia Wi-Fi su uno smartphone è un ottimo modo per controllare rapidamente. Ecco la vista dalla pagina di configurazione Wi-Fi del nostro telefono Android:
Non possiamo ancora collegarci all'AP secondario perché abbiamo bisogno di apportare alcune modifiche al router, ma è sempre bello vederli entrambi nell'elenco.
Il passo successivo è iniziare il processo di separazione degli SSID sulla rete assegnando un intervallo univoco di indirizzi IP ai dispositivi Wi-Fi guest.
Passare a Setup -> Networking. Sotto la sezione "Bridging", fai clic sul pulsante Aggiungi.
Innanzitutto, modifica lo slot iniziale in "br1", lasciando il resto dei valori lo stesso. Non sarai ancora in grado di vedere la voce IP / subnet vista sopra ancora. Fai clic su "Applica impostazioni". Il nuovo bridge sarà nella sezione Bridging con le sezioni IP e Subnet disponibili. Impostare l'indirizzo IP su un valore diverso dall'IP della rete normale (ad esempio, la rete principale è 192.168.1.1, quindi impostare questo valore 192.168.2.1). Impostare la subnet mask su 255.255.255.0. Fai clic di nuovo su "Applica impostazioni" nella parte inferiore della pagina.
Assegna la rete ospite al bridge
Nota: grazie al lettore Joel per aver sottolineato questa parte e dandoci le istruzioni per aggiungere al tutorial.
Sotto "Assegna a Bridge" fai clic su "Aggiungi". Seleziona il nuovo bridge che hai creato dal primo menu a discesa e accoppialo con l'interfaccia "wl0.1".
Ora fai clic su "Salva" e "Applica impostazioni".
Dopo aver applicato le modifiche, scorri fino alla fine della pagina ancora una volta nella sezione DHCPD. Clicca "Aggiungi". Passa il primo slot a "br1". Lascia il resto delle impostazioni allo stesso modo (come si vede nello screenshot qui sotto).
Fai clic su "Applica impostazioni" ancora una volta. Una volta completate tutte le attività nella pagina Setup -> Networking, dovresti fare affidamento sulla connettività e sull'assegnazione DHCP.
Nota: se l'AP Wi-Fi che stai configurando per SSID doppi è piggy back su un altro dispositivo (ad esempio, hai due router Wi-Fi in casa o in ufficio per estendere la copertura e quello che stai impostando su SSID ospite on è il n. 2 della catena) è necessario impostare il DHCP nella sezione Servizi. Se questo sembra il tuo setup, è ora di navigare nella sezione Servizi -> Servizi.
Nella sezione servizi è necessario aggiungere un po 'di codice alla sezione DNSMasq in modo che il router assegni correttamente gli indirizzi IP dinamici ai dispositivi che si collegano alla rete ospite. Scorri verso il basso la sezione DNSMasq. Nella casella "Opzioni DNSMasq aggiuntive", incolla il seguente codice (meno i # commenti che spiegano la funzionalità di ogni riga):
# Abilita il DHCP su br1
interface = BR1
# Imposta il gateway predefinito per i client br1
dhcp-option = br1,3,192.168.2.1
# Imposta l'intervallo DHCP e il tempo di lease predefinito di 24 ore per i client br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Fai clic su "Applica impostazioni" nella parte inferiore della pagina.
Sia che tu abbia usato la tecnica uno o due, attendi qualche minuto per connetterti al tuo nuovo SSID ospite. Quando ti connetti al SSID guest, controlla il tuo indirizzo IP. Dovresti avere un IP all'interno dell'intervallo specificato in precedenza. Di nuovo, è comodo usare lo smartphone per controllare:
Tutto sembra a posto. L'AP secondario sta assegnando IP dinamici in un intervallo appropriato, possiamo accedere a Internet: qui facciamo un appunto, un enorme successo.
L'unico problema, tuttavia, è che l'AP secondario ha ancora accesso alle risorse della rete principale. Ciò significa che tutte le stampanti in rete, le condivisioni di rete e simili sono ancora visibili (puoi testarlo ora, provare a trovare una condivisione di rete dalla rete principale sull'AP secondario).
Se tu volere gli ospiti dell'AP secondario hanno accesso a queste cose (e stanno seguendo il tutorial in modo da poter svolgere altre attività dual-SSID come limitare la larghezza di banda degli ospiti o le volte in cui sono autorizzati a utilizzare Internet) quindi si è effettivamente fatto con il lezione.
Immaginiamo che molti di voi vorrebbero impedire agli ospiti di curiosare nella propria rete e portarli delicatamente verso Facebook e email. In tal caso, è necessario completare il processo scollegando l'AP secondario dalla rete fisica.
Passare a Amministrazione -> Comandi. Vedrai un'area denominata "Command Shell". Incolla i seguenti comandi, senza le # righe di commento, nell'area modificabile:
# Rimuove l'accesso degli ospiti alla rete fisica
iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
# Rimuove l'accesso degli ospiti alle GUI / porte di configurazione del router
iptables -I INPUT -i br1 -p tcp -dporta telnet -j REJECT --reject-con tcp-reset
iptables -I INPUT -i br1 -p tcp -dport ssh -j REJECT --reject-con tcp-reset
iptables -I INPUT -i br1 -p tcp -dport www -j REJECT --reject-con tcp-reset
iptables -I INPUT -i br1 -p tcp -dport https -j REJECT --reject-con tcp-reset
Fai clic su "Salva firewall" e riavvia il router.
Queste regole aggiuntive del firewall bloccano semplicemente tutto sui due bridge (la rete privata e la rete pubblica / ospite) dal parlare e rifiutano qualsiasi contatto tra un client sulla rete ospite e le porte telnet, SSH o server web sul router (limitando così il tentativo di accedere a tutti i file di configurazione del router).
Una parola sull'uso della shell dei comandi e degli script di avvio, arresto e firewall. Innanzitutto, i comandi IPTABLES vengono elaborati in ordine. Cambiare l'ordine delle linee individuali può cambiare in modo significativo il risultato. In secondo luogo, ci sono dozzine su dozzine di router supportati da DD-WRT e, a seconda del router e della configurazione specifici, potrebbe essere necessario modificare i comandi IPTABLES di cui sopra. Lo script ha funzionato per il nostro router e utilizza i comandi più ampi e più semplici possibili per eseguire l'operazione in modo che funzioni per la maggior parte dei router. In caso contrario, ti consigliamo vivamente di cercare il tuo modello di router specifico nei forum di discussione DD-WRT e vedere se altri utenti hanno riscontrato gli stessi problemi che hai.
A questo punto hai finito con la configurazione e sei pronto per goderti i SSID duali e tutti i vantaggi che derivano dalla loro esecuzione. Puoi facilmente distribuire una password ospite (e modificarla a piacere), configurare le regole QoS per la rete ospite e, in caso contrario, modificare e limitare la rete ospite in modi che non influiscano minimamente sulla tua rete principale.