Asiakaspalvelupisteen ottaminen käyttöön langattomassa verkossa
Wi-Fi-yhteyden jakaminen vieraiden kanssa on vain kohtelias asia, mutta se ei tarkoita sitä, että haluat antaa heille avoimen pääsyn koko lähiverkkoon. Lue, kun näytämme, miten voit määrittää reitittimen kaksois-SSID-tunnuksille ja luoda erillisen (ja suojatun) yhteysosoitteen vieraille.
Miksi haluan tehdä tämän?
On useita käytännön syitä, joiden vuoksi kotiverkkosi on tarkoitus määrittää kaksoispisteiden (AP) avulla.
Syynä useimpien ihmisten käytännöllisimpään sovellukseen on yksinkertaisesti kodiverkon eristäminen, jotta vieraat eivät pääse asioihin, joita haluat säilyttää yksityisenä. Lähes jokaisen kodin Wi-Fi-tukiaseman / reitittimen oletusasetuksena on käyttää yhtä langatonta tukiasemaa ja ketään, jolla on valtuudet käyttää tätä AP: tä, pääsy verkkoon kuin jos ne olisivat kytkettyinä suoraan AP: hen Ethernetin kautta.
Toisin sanoen, jos annat ystäväsi, naapurinne, talon vieraasi tai kuka tahansa Wi-Fi-AP-salasanasi, olet myös antanut heille pääsyn verkkotulostimeen, verkon avoimiin osakkeisiin, verkon suojaamattomiin laitteisiin ja niin edelleen. Olet ehkä halunnut antaa heille tarkistaa sähköpostinsa tai pelata peliä verkossa, mutta olet antanut heille vapauden liikkua missä tahansa haluamassaan sisäisessä verkossa.
Nyt kun suurimmalla osalla meistä ei varmasti ole haitallisia hakkereita ystäviä varten, se ei tarkoita, että ei ole järkevää perustaa verkostoitamme niin, että vieraat pysyvät siellä, missä ne kuuluvat (aidan ilmainen internetyhteyspuoli) ja ei voi mennä sinne, missä he eivät (kotipalvelimessa / henkilökohtaisessa osassa aidan puolella).
Toinen käytännöllinen syy AP: n käyttämiseen kahdella SSID: llä on kyky rajoittaa paitsi, missä vieras AP voi mennä, mutta milloin. Jos olet esimerkiksi vanhempi, joka haluaa esimerkiksi rajoittaa, kuinka myöhään lapsi voi jäädä sinne tietokoneeseen, voit laittaa tietokoneensa, tabletinsa jne. Toissijaiseen AP-laitteeseen ja asettaa rajoituksia Internet-yhteydelle koko aliverkossa -SSID jälkeen sanoa, yhdeksäntoista.
Mitä minä tarvitsen?
Opetusohjelmamme on nyt keskittynyt käyttämään DD-WRT-yhteensopivaa reititintä kaksois-SSID-tunnisteiden saavuttamiseksi. Sinun tarvitsee seuraavia asioita:
- 1 DD-WRT-yhteensopiva reititin, jossa on asianmukainen laitteistoversio (näytämme, miten tarkistaa)
- 1 asennettu DD-WRT: n kopio reitittimeen
Tämä ei ole ainoa tapa määrittää kaksois-SSID-tunnuksia kotiverkkoon. Aiomme ajaa SSID: t pois kaikkialla olevista Linksys WRT54G-sarjan langattomista reitittimistä. Jos et halua mennä läpi vaivaa, kun haluat vanhan reitittimen mukautetun laiteohjelmiston vilkkumisen ja tehdä lisäasetuksia, voit sen sijaan:
- Hanki uudempi reititin, joka tukee kaksois-SSID-tunnisteita suoraan laatikosta, kuten ASUS RT-N66U.
- Osta toinen langaton reititin ja määritä se erilliseksi tukiasemaksi.
Ellei sinulla ole jo reititintä, joka tukee dual SSID-tunnisteita (jolloin voit ohittaa tämän oppaan ja lukea vain laitteen käyttöoppaan), molemmat vaihtoehdot ovat vähemmän kuin ihanteellisia, koska sinun on käytettävä ylimääräistä rahaa ja toinen vaihtoehto, tee joukko ylimääräisiä asetuksia, mukaan lukien toisen AP: n asettaminen, jotta se ei häiritse ja / tai päällekkäisyyttä ensisijaisen AP: n kanssa.
Kaiken tämän perusteella olimme mielellämme käyttäneet jo käytössä olevia laitteita (Linksys WRT54G-sarjan langaton reititin) ja ohittaneet käteisen ja ylimääräisen Wi-Fi-verkon säätämisen.
Miten tiedän, että reititin on yhteensopiva?
On olemassa kaksi kriittistä yhteensopivuuselementtiä, jotka täytyy tarkistaa, jotta tämä opetusohjelma onnistuu. Ensimmäinen ja alkeellisinta on tarkistaa, että tietyllä reitittimelläsi on DD-WRT-tuki. Voit vierailla DD-WRT wikin reitittimen tietokannassa täällä.
Kun olet todennut, että reititin on yhteensopiva DD-WRT: n kanssa, meidän on tarkistettava reitittimen sirun versionumero. Jos sinulla on esimerkiksi todella vanha Linksys-reititin, se voi olla täydellistä käyttökelpoista reititintä kaikin tavoin, mutta siru ei välttämättä tue kaksois-SSID-tunnuksia (mikä tekee siitä olennaisesti yhteensopimattoman opetusohjelman kanssa).
Yhteensopivuus on kaksi astetta reitittimen versionumeron suhteen. Jotkin reitittimet voivat tehdä useita SSID-tunnuksia, mutta ne eivät voi jakaa SSID-tunnuksia erillisiin täysin ainutlaatuisiin tukiasemiin (esim. Jokaisen SSID: n yksilöllinen MAC-osoite). Joissakin tilanteissa tämä voi aiheuttaa ongelmia joidenkin Wi-Fi-laitteiden kanssa, koska ne hämmentyvät siitä, mitä SSID: tä (koska molemmilla on sama MAC-osoite) niiden pitäisi käyttää. Valitettavasti ei ole mitään tapaa ennustaa, mitkä laitteet ovat väärässä verkossa, joten emme voi selvittää, että vältät tässä oppaassa esitetyn tekniikan, jos löydät laitteen, joka ei tue erillisiä SSID-tunnuksia.
Voit tarkistaa versionumeron tekemällä Google-haun reitittimen tiettyä mallia varten sekä tietolomakkeeseen tulostetun versionumeron (yleensä löytyy reitittimen alareunasta), mutta olemme löytäneet tämän tekniikan epäluotettavaksi (etiketit voidaan soveltaa väärin, mallin ja valmistuspäivämäärän online-tiedot voivat olla virheellisiä jne.)
Luotettavin tapa tarkistaa reitittimen sisällä olevan sirun tarkistusnumero on reitittimen todellinen selvittäminen. Jotta voit tehdä niin, sinun on suoritettava seuraavat vaiheet. Avaa telnet-asiakas (joko monikäyttöinen ohjelma, kuten PuTTY tai Windows Telnetin peruskomento) ja telnet reitittimen IP-osoitteeseen (esim. 192.168.1.1). Kirjaudu reitittimeen käyttämällä pääkäyttäjän tunnusta ja salasanaa (muista, että jos kirjoitat sisään reitittimen web-pohjaiseen hallintaportaaliin, voit syöttää "root ”Ja” mypassword ”kirjautumalla telnetin kautta).
Kun olet kirjautunut reitittimeen, kirjoita seuraava komento kehotteeseen:
nvram show | grep corerev
Tämä palauttaa reitittimessä olevan sirun (versioiden) ytimen versionumeron seuraavassa muodossa:
wl0_corerev = 9
wl_corerev =
Mitä edellä mainittu tulos tarkoittaa, että reitittimessämme on yksi radio (wl0, ei wl1: tä) ja että radio-sirun ydinkerroin on 9. Miten tulkitset lähtöä? Muutoksen numero suhteessa oppaaseen tarkoittaa seuraavaa:
- 0-4 Reititin ei tue useita SSID-tunnuksia (joissa on yksilöllisiä tunnisteita tai muuten)
- 5-8 Reititin tukee useita SSID-tunnuksia (mutta ei yksilöllisillä tunnisteilla)
- 9+ Reititin tukee useita SSID-tunnuksia (joissa on yksilölliset tunnisteet)
Kuten näette yllä olevasta komennon lähdöstä, me onnistuimme. Reitittimen siru on pienin versio, joka tukee useita SSID-tunnisteita, joilla on yksilölliset tunnisteet.
Kun olet määrittänyt, että reititin tukee useita SSID-tunnuksia, sinun on asennettava DD-WRT. Jos reititin toimitetaan DD-WRT: llä tai olet asentanut sen, se on fantastinen. Jos et ole vielä asentanut sitä, suosittelemme lataamaan sopivan version DD-WRT-verkkosivustosta ja seuraamaan opetusohjelmaa yhdessä: Käännä kotireitittimesi Super-Powered -reitittimeksi, jossa on DD-WRT.
Opetusohjelmamme lisäksi emme voi painottaa laajan ja erinomaisesti ylläpidetyn DD-WRT-wikin arvoa. Lue tiettyyn reitittimeen ja parhaaseen toimintatapaan uuden laiteohjelmiston vilkkuminen siihen.
DD-WRT: n määrittäminen usealle SSID: lle
Sinulla on yhteensopiva reititin, olet vilkuttanut DD-WRT: n, nyt on aika aloittaa toisen SSID: n määrittäminen. Aivan kuten sinun pitäisi aina ottaa käyttöön uusia laiteohjelmistoja langallisen yhteyden kautta, suosittelemme, että työskentelet langattoman yhteyden kautta langallisen yhteyden kautta, jotta muutokset eivät pakota langatonta tietokonettasi verkosta.
Avaa verkkoselaimesi tietokoneessa, joka on liitetty reitittimeen Ethernetin kautta. Siirry oletusreitittimen IP: hen (tyypillisesti 198.168.1.1). Siirry DD-WRT-liitännän kautta kohtaan Langaton -> Perusasetukset (kuten yllä olevassa kuvassa näkyy). Näet, että nykyisellä Wi-Fi-AP: llä on SSID-tunnus "HTG_Office".
Napsauta sivun alaosassa "Virtuaaliliitännät" -kohdassa Lisää-painiketta. Aiemmin tyhjät "Virtuaaliliitännät" -osiossa laajennetaan tätä ennalta määritettyä merkintää:
Tämä virtuaalinen käyttöliittymä palautetaan olemassa olevaan radio-siruun (huomaa uuden merkinnän otsikossa oleva wl0.1). Jopa SSID: n lyhytnimi osoitti tämän, oletus SSID: n lopussa oleva “vap” tarkoittaa Virtual Access Pointia. Hajota loput uudesta virtuaaliliitännästä.
Voit nimetä SSID: n uudelleen haluamallesi tavalla. Olemassa olevan nimeämissopimuksemme mukaisesti (ja helpottaaksemme elämäämme vieraillemme) aiomme muuttaa SSID: n oletusasetukseksi "HTG_Guest" -merkiksi, jonka tärkein Wi-Fi AP on "HTG_Office".
Jätä langaton SSID-lähetys käyttöön. Monet vanhemmat tietokoneet ja Wi-Fi-yhteensopivat laitteet eivät pelaavat kovin hyvin salaisilla SSID-tunnuksilla, mutta piilotettu vierasverkko ei ole erittäin kutsuva / hyödyllinen vierasverkko.
AP-eristys on tietoturva-asetus, jonka jätämme harkintasi mukaan ottamaan käyttöön tai poistamaan käytöstä. Jos otat AP Isolation käyttöön, jokainen vieras Wi-Fi -verkoston asiakas on täysin erillään toisistaan. Turvallisuusnäkökulmasta tämä on hienoa, koska se pitää haitallisen käyttäjän tukahduttamasta muiden käyttäjien asiakkaita. Tämä on kuitenkin enemmän huolta yritysverkoista ja julkisista palvelupisteistä. Käytännössä tämä tarkoittaa myös sitä, että veljentytär ja veljenpoika ovat ohi ja he haluavat pelata Wi-Fi-yhteensopivaa peliä Nintendo DS -yksiköissään, niiden DS-yksiköt eivät näe toisiaan. Useimmissa kotitoimistoissa ja pienissä toimistoissa ei ole mitään syytä erottaa AP: t.
Verkkoasetusten rajoittamaton / silloitettu -vaihtoehdolla tarkoitetaan sitä, onko Wi-Fi AP silloitettu vai ei fyysiseen verkkoon. Koska tämä on vastakohtainen, sinun täytyy jättää se asetetuksi Bridged. Sen sijaan, että reitittimen laiteohjelmisto käsittelee (melko kömpelö) irrotusprosessia, siirrymme manuaalisesti kaiken itse puhtaamman ja vakaamman lopputuloksen avulla.
Kun olet muuttanut SSID-tunnuksesi ja tarkistanut asetukset, valitse Tallenna.
Seuraavaksi siirry kohtaan Wireless -> Wireless Security:
Oletuksena ei ole toisen AP: n suojausta. Voit jättää sen tilapäisesti testaustarkoituksiin (jätimme meidät auki loppuun asti), jotta voit tallentaa itsesi lukitsemasta salasanaa testilaitteisiin. Emme kuitenkaan suosittele sen jättämistä pysyvästi auki. Jos jätät sen auki vai ei tässä vaiheessa, sinun on napsautettava Tallenna ja sitten Käytä asetuksia muutoksille, jotka olemme tehneet sekä edellisessä osassa että tämä tulee voimaan. Ole kärsivällinen, muutosten voimaantulo voi kestää jopa 2 minuuttia.
Nyt on hyvä aika vahvistaa, että lähistöllä olevat Wi-Fi-laitteet näkevät sekä ensisijaiset että toissijaiset AP: t. Wi-Fi-käyttöliittymän avaaminen älypuhelimessa on hyvä tapa tarkistaa nopeasti. Tässä näkymä Android-puhelimen Wi-Fi-määrityssivulta:
Emme voi vielä muodostaa yhteyttä toissijaiseen AP: hen, koska meidän on tehtävä muutamia muutoksia reitittimeen, mutta on aina mukavaa nähdä ne molemmat luettelossa.
Seuraava vaihe on aloittaa SSID-tunnusten erottaminen verkossa määrittämällä yksilöllinen IP-osoitteiden valikoima vierailevien Wi-Fi-laitteiden käyttöön.
Siirry kohtaan Setup -> Networking. Napsauta "Bridging" -osiossa Lisää-painiketta.
Vaihda ensin aloitusaukko ”br1”, jätä loput arvot samaksi. Et voi nähdä yllä nähtyä IP / Subnet-merkintää. Napsauta "Käytä asetuksia". Uusi silta on Bridging-osassa, jossa on saatavilla IP- ja aliverkkosi-osiot. Aseta IP-osoite yhdelle arvolle, joka on normaalin verkon IP-osoitteessa (esim. Ensisijainen verkko on 192.168.1.1, joten tee tämä arvo 192.168.2.1). Aseta aliverkon peite arvoksi 255.255.255.0. Napsauta sivun alaosassa olevaa Apply Settings (Käytä asetuksia) -painiketta uudelleen.
Määritä vierasverkosto sillalle
Huomautus: kiitos lukijalle Joelille, että hän on osoittanut tämän osan ja antanut meille ohjeita opetusohjelman lisäämiseksi.
Napsauta "Lisää silta" -kohdassa "Lisää". Valitse uusi silta, jonka olet luonut ensimmäisestä pudotusvalikosta, ja yhdistää se ”wl0.1” -liitäntään.
Napsauta nyt "Tallenna" ja "Käytä asetuksia".
Kun muutokset on tehty, siirry sivun alaosaan uudelleen DHCPD-osioon. Napsauta Lisää. Vaihda ensimmäinen kortti ”br1”. Jätä muut asetukset samaksi (kuten alla olevassa kuvassa).
Klikkaa "Käytä asetuksia" vielä kerran. Kun olet suorittanut kaikki asetukset Setup -> Networking -sivulla, sinun on hyvä mennä yhteyden ja DHCP: n määritykseen.
Huomautus: Jos kaksois-SSID-tunnuksille määrittämäsi Wi-Fi-AP on malmin tausta toisessa laitteessa (esim. Koti- tai toimistossa on kaksi Wi-Fi-reititintä, joilla voit laajentaa kattavuuttasi ja asetat asiakkaan SSID-tunnuksen ylöspäin on # 2 ketjussa) sinun on määritettävä DHCP-palvelu Palvelut-osiossa. Jos tämä kuulostaa asennustasi, on aika siirtyä Palvelut -> Palvelut-osioon.
Palvelut-osiossa täytyy lisätä DNSMasq-osioon pieni koodi, jotta reititin määrittää asianmukaisesti dynaamiset IP-osoitteet vierasverkkoon liitettäville laitteille. Selaa DNSMasq-osaa alas. Liitä seuraava koodi (ylimääräiset DNSMasq-asetukset) -ruutuun (miinus kommentit, joissa selitetään kunkin rivin toimivuus):
# Ottaa DHCP: n käyttöön br1: ssä
liitäntä = BR1
# Aseta oletusyhdyskäytävä br1-asiakkaille
dhcp-vaihtoehto = br1,3,192.168.2.1
# Määritä DHCP-alue ja oletusarvoinen 24 tunnin vuokra-aika br1-asiakkaille
dhcp-alue = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Napsauta sivun alaosassa olevaa Apply Settings (Käytä asetuksia).
Olipa yksi tai kaksi tekniikkaa, odota muutama minuutti, kun haluat muodostaa yhteyden uuteen vieras SSID-tunnukseen. Kun muodostat yhteyden vieraaseen SSID-tunnukseen, tarkista IP-osoite. Sinulla pitäisi olla IP, jonka olet määrittänyt edellä mainitulla alueella. Jälleen kerran on kätevää käyttää älypuhelinta tarkistaaaksesi:
Kaikki näyttää hyvältä. Toissijainen AP määrittää dynaamiset IP: t sopivaan alueeseen, voimme päästä Internetiin - teemme täällä merkinnän, valtavan menestyksen.
Ainoa ongelma on kuitenkin se, että toissijainen AP: llä on edelleen pääsy ensisijaisen verkon resursseihin. Tämä tarkoittaa, että kaikki verkkotulostimet, verkko-osuudet ja muut ovat edelleen näkyvissä (voit testata sen nyt, yrittää löytää verkko-osuus ensisijaisesta verkosta toissijaisessa AP: ssä).
Jos sinä haluta toissijaisen AP: n asiakkailla on pääsy näihin asioihin (ja seuraavat yhdessä opetusohjelman kanssa, jotta voit tehdä muita kaksois-SSID-tehtäviä, kuten rajoittaa vieraan kaistanleveyttä tai aikoja, jolloin he voivat käyttää Internetiä), niin olet tosiasiallisesti tehnyt oppitunti.
Kuvittelemme, että useimmat teistä haluaisivat pitää vieraasi tukahduttamasta verkkoasi ja karata heidät varovasti Facebookiin ja sähköpostiviesteihin. Tällöin prosessi on lopetettava irrottamalla toissijainen AP fyysisestä verkosta.
Siirry kohtaan Hallinto -> Komennot. Näet alueen nimeltä ”Command Shell”. Liitä seuraavat komennot, poista # kommentin rivit, muokattavaan alueeseen:
#Poistaa vieraiden pääsyn fyysiseen verkkoon
iptables -I FORWARD -i br1 -o br0 -m-tila - osoita NEW-j DROP
iptables -I FORWARD -i br0 -o br1 -m-tila - osoita NEW-j DROP
#Poistaa vieraiden pääsyn reitittimen määritysten käyttöliittymään / portteihin
iptables -I INPUT -i br1 -pccp -porttiverkko -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --portti ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp -dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp -portti https -j REJECT --reject-with tcp-reset
Valitse Tallenna palomuuri ja käynnistä reititin uudelleen.
Nämä uudet palomuurisäännöt yksinkertaisesti estävät kaikki kaksi siltaa (yksityinen verkko ja julkinen / vierasverkko) puhumasta sekä hylkäävät kaikki asiakkaan verkko-asiakkaan ja telnet-, SSH- tai web-palvelinporttien väliset yhteydet reititin (mikä rajoittaa niitä yrittämästä käyttää reitittimen määritystiedostoja lainkaan).
Sana komentokuoren ja käynnistyksen, sammutuksen ja palomuurin skriptien käytöstä. Ensinnäkin IPTABLES-komennot käsitellään järjestyksessä. Yksittäisten rivien järjestyksen muuttaminen voi muuttaa tulosta merkittävästi. Toiseksi on olemassa kymmeniä DD-WRT: n tukemia reitittimiä, ja tietystä reitittimestäsi ja kokoonpanostasi riippuen saatat joutua säätämään yllä olevat IPTABLES-komennot. Käsikirjoitus toimi reitittimessämme ja se käyttää laajinta ja yksinkertaisinta mahdollista komentoa tehtävän suorittamiseksi, joten sen pitäisi toimia useimmilla reitittimillä. Jos näin ei tapahdu, kehotamme teitä etsimään tiettyä reitittimen mallia DD-WRT-keskustelufoorumeilla ja katsomaan, ovatko muut käyttäjät kokeneet samat ongelmat.
Tässä vaiheessa olet valmis kokoonpanoon ja olet valmis nauttimaan kaksois-SSID-tunnisteista ja kaikista niistä saatavista eduista. Voit helposti antaa vieras salasanan (ja muuttaa sitä tahdolla), määrittää QoS-säännöt vierailuverkolle ja muokata ja rajoittaa muuten vierasverkkoa tavalla, joka ei vaikuta ensisijaiseen verkkoon vähiten.