Startpagina » hoe » Hoe een gasttoegangspunt op uw draadloze netwerk in te schakelen

    Hoe een gasttoegangspunt op uw draadloze netwerk in te schakelen

    Het delen van je wifi met gasten is gewoon het beleefde ding om te doen, maar dat betekent niet dat je ze wijd open toegang tot je hele LAN wilt geven. Lees verder terwijl we u laten zien hoe u uw router instelt voor dubbele SSID's en een apart (en beveiligd) toegangspunt voor uw gasten creëert.

    Waarom wil ik dit doen??

    Er zijn verschillende zeer praktische redenen om uw thuisnetwerk in te stellen met dubbele toegangspunten (AP).

    De reden met de meest praktische toepassing voor de meeste mensen is eenvoudigweg het isoleren van uw thuisnetwerk, zodat gasten geen toegang hebben tot dingen die u privé wilt houden. De standaardconfiguratie voor bijna elk Wi-Fi-thuistoegangspunt / router is om een ​​enkel draadloos toegangspunt te gebruiken en iedereen die geautoriseerd is om toegang te krijgen tot dat toegangspunt krijgt toegang tot het netwerk alsof ze rechtstreeks via Ethernet op de AP zijn aangesloten.

    Met andere woorden, als u uw vriend, buur, gast van het huis of wie dan ook het wachtwoord van je wifi-toegangspunt, je hebt ze ook toegang gegeven tot je netwerkprinter, eventuele open shares op je netwerk, onbeveiligde apparaten in je netwerk, enzovoort. Misschien wilde je ze gewoon hun e-mail laten controleren of online een game spelen, maar je hebt ze de vrijheid gegeven om overal in hun interne netwerk rond te dwalen..

    Hoewel de meerderheid van ons zeker geen kwaadwillende hackers voor vrienden heeft, wil dat nog niet zeggen dat het niet verstandig is om onze netwerken zo in te richten dat gasten blijven waar ze horen (aan de vrije toegang tot het internet van het hek) en kan niet gaan waar ze dat niet doen (op de thuisserver / persoonlijke delenzijde van het hek).

    Een andere praktische reden voor het uitvoeren van een toegangspunt met twee SSID's is de mogelijkheid om niet alleen te beperken waar het AP-gaste kan gaan, maar wanneer. Als u bijvoorbeeld een ouder bent en wilt beperken hoe laat uw kind op de computer kan blijven ronddwalen, kunt u zijn computer, tablet, enz. Op het secundaire toegangspunt plaatsen en beperkingen instellen voor internettoegang voor de hele sub -SID na, laten we zeggen, 9PM.

    Wat heb ik nodig?

    Onze tutorial van vandaag is gericht op het gebruik van een DD-WRT-compatibele router om dubbele SSID's te bereiken. Als zodanig heb je de volgende dingen nodig:

    • 1 DD-WRT compatibele router met een geschikte hardwarerevisie (we zullen u laten zien hoe te controleren)
    • 1 geïnstalleerd exemplaar van DD-WRT op de router

    Dit is niet de enige manier om dubbele SSID's voor uw thuisnetwerk in te stellen. We gaan onze SSID's uitvoeren op de alomtegenwoordige draadloze router van de Linksys WRT54G-serie. Als u niet de moeite wilt doen om aangepaste firmware op uw oude router te flitsen en de extra configuratiestappen uit te voeren, kunt u in plaats daarvan:

    • Schaf een nieuwere router aan die dual-SSID's direct uit de verpakking ondersteunt, zoals de ASUS RT-N66U.
    • Koop een tweede draadloze router en configureer deze als een stand-alone toegangspunt.

    Tenzij je al een router hebt die dual SSID's ondersteunt (in welk geval je deze tutorial kunt overslaan en alleen de handleiding van je apparaat kunt lezen) zijn beide opties minder dan ideaal omdat je extra geld moet uitgeven en, in het geval van de tweede optie, doe een aantal extra configuraties waaronder het instellen van het secundaire AP om niet te interfereren met en / of overlap met uw primaire AP.

    In het licht van dat alles, waren we meer dan blij om hardware te gebruiken die we al hadden (de Linksys WRT54G serie draadloze router) en de uitgave van contant geld en extra wifi-netwerk tweaken over te slaan.

    Hoe weet ik dat mijn router compatibel is??

    Er zijn twee essentiële compatibiliteitselementen die u moet controleren om succes te hebben met deze zelfstudie. De eerste en meest elementaire is om te controleren of uw specifieke router DD-WRT-ondersteuning heeft. Je kunt hier de routerdatabase van de DD-WRT-wiki bezoeken om te controleren.

    Zodra je hebt vastgesteld dat je router compatibel is met DD-WRT, moeten we het revisienummer van de chip van je router controleren. Als je bijvoorbeeld een heel oude Linksys-router hebt, kan deze op alle manieren een perfect bruikbare router zijn, maar de chip ondersteunt mogelijk geen dubbele SSID's (waardoor hij fundamenteel onverenigbaar is met de zelfstudie).

    Er zijn twee graden compatibiliteit met betrekking tot het revisienummer van de router. Sommige routers kunnen meerdere SSID's uitvoeren, maar ze kunnen de SSID's niet splitsen in verschillende absoluut unieke toegangspunten (bijvoorbeeld een uniek MAC-adres voor elke SSID). In sommige situaties kan dit problemen veroorzaken met sommige Wi-Fi-apparaten, omdat ze in de war raken over welke SSID (aangezien ze allebei hetzelfde MAC-adres hebben) ze moeten gebruiken. Helaas is er geen manier om te voorspellen welke apparaten zich in je netwerk zullen misdragen, dus we kunnen niet aanraden om de techniek te vermijden die in deze tutorial wordt beschreven als je merkt dat je een apparaat hebt dat geen discrete SSID's ondersteunt.

    U kunt het revisienummer controleren door een Google-zoekopdracht uit te voeren voor het specifieke model van uw router, samen met het versienummer dat op het informatielabel staat (meestal te vinden aan de onderkant van de router), maar we hebben vastgesteld dat deze techniek onbetrouwbaar is (labels kan verkeerd worden toegepast, online gepubliceerde informatie over het model en de fabricagedatum kan onnauwkeurig zijn, enz.)

    De meest betrouwbare manier om het revisienummer van de chip in uw router te controleren, is door de router daadwerkelijk te pollen om erachter te komen. Om dit te doen, moet u de volgende stappen uitvoeren. Open een telnet-client (een multifunctioneel programma zoals PuTTY of de standaard Windows Telnet-opdracht) en telnet naar het IP-adres van uw router (bijvoorbeeld 192.168.1.1). Meld u aan bij de router met uw beheerdersaanmelding en wachtwoord (houd er rekening mee dat u voor sommige routers, zelfs als u 'admin' en 'mypassword' intypt om u aan te melden bij de webgebaseerde beheerportal op de router, moet typen in 'root' "En" mypassword "om in te loggen via telnet).

    Nadat u bent aangemeld bij de router, typt u de volgende opdracht bij de aanwijzing:

    nvram show | grep corerev

    Hierdoor wordt het belangrijkste revisienummer van de chip (s) in uw router als volgt geretourneerd:

    wl0_corerev = 9
    wl_corerev =

    Wat de bovenstaande uitgang betekent, is dat onze router één radio heeft (wl0, er is geen wl1) en dat de kernrevisie van die radiochip 9 is. Hoe interpreteer je de output? Het revisienummer, in relatie tot onze gids, betekent het volgende:

    • 0-4 De router biedt geen ondersteuning voor meerdere SSID's (met unieke ID's of anderszins)
    • 5-8 De router ondersteunt meerdere SSID's (maar niet met unieke ID's)
    • 9+ De router ondersteunt meerdere SSID's (met unieke ID's)

    Zoals je kunt zien aan de hand van onze bovenstaande opdracht, hadden we geluk. De chip van onze router is de laagste versie die meerdere SSID's met unieke ID's ondersteunt.

    Zodra u hebt vastgesteld dat uw router meerdere SSID's kan ondersteunen, moet u DD-WRT installeren. Als je router is geleverd met DD-WRT of je hebt hem al geïnstalleerd, fantastisch. Als je dit nog niet hebt gedaan, raden we aan de juiste versie te downloaden van de DD-WRT-website en het volgende te volgen met onze tutorial: Verander je thuisrouter in een super-aangedreven router met DD-WRT.

    In aanvulling op onze tutorial, kunnen we niet de nadruk leggen op de waarde van de uitgebreide en uitstekend onderhouden DD-WRT wiki. Lees daar uw specifieke router en de aanbevolen procedures voor het flitsen van nieuwe firmware.

    DD-WRT configureren voor meerdere SSID's

    Je hebt een compatibele router, je hebt DD-WRT erop geflitst, nu is het tijd om aan de slag te gaan met het instellen van die tweede SSID. Net zoals u altijd nieuwe firmware via een bekabelde verbinding moet flashen, raden we u ten zeerste aan om via een bekabelde verbinding te werken aan uw draadloze installatie, zodat de wijzigingen uw draadloze computer niet van het netwerk dwingen.

    Open uw webbrowser op een computer die via Ethernet op de router is aangesloten. Navigeer naar de standaard router-IP (meestal 198.168.1.1). Navigeer binnen de DD-WRT-interface naar Draadloos -> Basisinstellingen (zoals te zien in de schermafdruk hierboven). U kunt zien dat onze bestaande Wi-Fi AP de SSID "HTG_Office" heeft.

    Klik onder aan de pagina in het gedeelte 'Virtuele interfaces' op de knop Toevoegen. De eerder lege "Virtuele interfaces" -sectie zal worden uitgebreid met dit vooraf ingevulde item:

    Deze virtuele interface wordt gekoppeld aan uw bestaande radiochip (let op de wl0.1 in de titel van de nieuwe invoer). Zelfs de steno in de SSID gaf dit aan, de "vap" aan het einde van de standaard SSID staat voor Virtual Access Point. Laten we de rest van de ingangen onder de nieuwe virtuele interface opsplitsen.

    U kunt de SSID hernoemen naar wat u maar wilt. In overeenstemming met onze bestaande naamgevingsconventie (en om het leven van onze gasten gemakkelijk te maken) gaan we de SSID veranderen van de standaardinstelling naar "HTG_Guest" -dat onze belangrijkste wifi-AP "HTG_Office" is.

    Laat Wireless SSID Broadcast ingeschakeld. Niet alleen doen veel oudere computers en Wi-Fi-apparaten niet erg leuk met geheime SSID's, maar een verborgen gastnetwerk is niet een erg uitnodigend / nuttig gastnetwerk.

    AP-isolatie is een beveiligingsinstelling die we naar eigen goeddunken zullen verlaten om in of uit te schakelen. Als u AP-isolatie inschakelt, is elke client in uw gast-wifi-netwerk volledig geïsoleerd van elkaar. Vanuit een oogpunt van beveiliging is dit geweldig, omdat het een kwaadwillende gebruiker ervan weerhoudt om te porren op de clients van andere gebruikers. Dat is echter meer een zorg voor bedrijfsnetwerken en openbare hotspots. Praktisch gesproken betekent dat ook dat als je nichtje en neefje klaar zijn en ze een met wifi verbonden spel willen spelen op hun Nintendo DS-eenheden, hun DS-eenheden elkaar niet kunnen zien. In de meeste thuis- en kleine kantoortoepassingen is er weinig reden om de AP's te isoleren.

    De optie Onoverbrugd / overbrugd in Netwerkconfiguratie verwijst naar het al dan niet overbruggen van het wifi-toegangspunt naar het fysieke netwerk. Hoe contrairitief dit ook is, u moet het op Bridged laten staan. In plaats van dat de routerfirmware het ontkoppelingsproces (nogal onhandig) afgehandelt, gaan we alles zelf handmatig overbruggen met een schoner en stabieler resultaat.

    Nadat u uw SSID heeft gewijzigd en de instellingen hebt bekeken, klikt u op Opslaan.

    Navigeer vervolgens naar Wireless -> Wireless Security:

    Standaard is er geen beveiliging op het tweede toegangspunt. U kunt het als zodanig tijdelijk laten voor testdoeleinden (we hebben de onze tot het einde opengelaten) om uzelf te beschermen tegen het intoetsen van het wachtwoord op uw testapparatuur. We raden echter niet aan om het permanent open te laten. Of u nu kiest om het op dit moment open te laten of niet, u moet klikken op Opslaan en vervolgens op Instellingen toepassen om de wijzigingen die we zowel in de vorige sectie hebben aangebracht als deze in werking te stellen. Wees geduldig, het kan tot 2 minuten duren voordat wijzigingen van kracht worden.

    Dit is een goed moment om te bevestigen dat wifi-apparaten in de buurt zowel de primaire als de secundaire toegangspunten kunnen zien. Het openen van de Wi-Fi-interface op een smartphone is een geweldige manier om snel te controleren. Dit is de weergave op de wifi-configuratiepagina van onze Android-telefoon:

    We kunnen nog geen verbinding maken met de secundaire AP, omdat we nog enkele wijzigingen in de router moeten aanbrengen, maar het is altijd leuk om ze allebei in de lijst te zien.

    De volgende stap is om het proces van het scheiden van de SSID's in het netwerk te beginnen door een uniek bereik van IP-adressen toe te wijzen aan de gast-wifi-apparaten.

    Navigeer naar Instellingen -> Netwerken. Klik in het gedeelte 'Overbruggen' op de knop Toevoegen.

    Verander eerst de initiële slot in "br1", laat de rest van de waarden hetzelfde. U kunt het bovenstaande IP / Subnet-item nog niet zien. Klik op 'Instellingen toepassen'. De nieuwe brug bevindt zich in de sectie Overbruggen met de IP- en subnetsecties beschikbaar. Stel het IP-adres in op één waarde van het IP-adres van uw reguliere netwerk (bijvoorbeeld uw primaire netwerk is 192.168.1.1, dus maak deze waarde 192.168.2.1). Stel het subnetmasker in op 255.255.255.0. Klik nogmaals op 'Instellingen toepassen' onder aan de pagina.

    Wijs Gastnetwerk toe aan Bridge

    Opmerking: dankzij lezer Joel voor het wijzen op dit deel en ons de instructies te geven om toe te voegen aan de tutorial.

    Klik onder "Toewijzen aan brug" op "Toevoegen". Selecteer de nieuwe brug die u in de eerste vervolgkeuzelijst hebt gemaakt en koppel deze aan de interface "wl0.1".

    Klik nu op "Opslaan" en "Instellingen toepassen".

    Nadat de wijzigingen zijn toegepast, bladert u nogmaals naar de onderkant van de pagina naar het gedeelte DHCPD. Klik op "Toevoegen". Zet het eerste slot op "br1". Laat de rest van de instellingen hetzelfde (zoals te zien in de onderstaande schermafbeelding).

    Klik nog een keer op "Instellingen toepassen". Zodra u alle taken op de pagina Setup -> Networking hebt voltooid, moet u goed zijn voor connectiviteit en DHCP-toewijzing.

    Opmerking: als het wifi-toegangspunt dat u configureert voor dubbele SSID's piggy-backing is op een ander apparaat (u hebt bijvoorbeeld twee wifi-routers bij u thuis of op kantoor om uw dekking uit te breiden en degene die u instelt, de gast-SSID hoger on is # 2 in de keten), moet je de DHCP instellen in het gedeelte Services. Als dit klinkt als uw instellingen, is het tijd om naar de sectie Services -> Services te gaan.

    In de sectie services moeten we een klein beetje code aan de DNSMasq-sectie toevoegen, zodat de router op de juiste manier dynamische IP-adressen toewijst aan de apparaten die verbinding maken met het gastnetwerk. Blader door het DNSMasq-gedeelte. Voeg in het vak "Extra DNSMasq-opties" de volgende code in (minus de # opmerkingen die de functionaliteit van elke regel uitleggen):

    # Schakelt DHCP in op br1
    -interface = BR1
    # Stel de standaardgateway in voor br1-clients
    dhcp-option = br1,3,192.168.2.1
    # Stel het DHCP-bereik en de standaard leasetijd van 24 uur in voor br1-clients
    DHCP-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h

    Klik op 'Instellingen toepassen' onder aan de pagina.

    Of je techniek één of twee hebt gebruikt, wacht een paar minuten om verbinding te maken met je nieuwe gast-SSID. Wanneer u verbinding maakt met de gast-SSID, controleert u uw IP-adres. U moet een IP hebben binnen het bereik dat we hebben aangegeven met het bovenstaande. Nogmaals, het is handig om je smartphone te gebruiken om te controleren:

    Alles ziet er goed uit. Het secundaire AP wijst dynamische IP's toe in een geschikt bereik, we kunnen op internet komen - we noteren hier, groot succes.

    Het enige probleem is echter dat het secundaire AP nog steeds toegang heeft tot de bronnen van het primaire netwerk. Dit betekent dat alle netwerkprinters, netwerkshares en dergelijke nog steeds zichtbaar zijn (je kunt het nu testen, proberen een netwerkshare te vinden van je primaire netwerk op het secundaire AP).

    als jij willen gasten op het secundaire toegangspunt hebben toegang tot deze dingen (en volgen samen met de zelfstudie zodat u andere dual-SSID-taken kunt uitvoeren, zoals het beperken van de bandbreedte van de gast of de tijden waarop ze internet mogen gebruiken), dan bent u effectief klaar met de zelfstudie.

    We stellen ons voor dat de meesten van jullie zouden willen voorkomen dat uw gasten rond uw netwerk rondneuzen en hen voorzichtig naar het vasthouden van Facebook en e-mail leiden. In dat geval moeten we het proces voltooien door de secundaire AP los te koppelen van het fysieke netwerk.

    Navigeer naar Beheer -> Opdrachten. Je ziet een gebied met het label "Command Shell". Plak de volgende opdrachten, zonder de # commentaarregels, in het bewerkbare gebied:

    # Verlaat gasttoegang tot fysiek netwerk
    iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP
    iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
    # Verlaat gasttoegang tot de configuratie-GUI / poorten van de router
    iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --ject-met tcp-reset
    iptables -I INPUT -i br1 -p tcp --dash ssh -j REJECT --ject-met tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --ject-met tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --ject-with tcp-reset

    Klik op 'Firewall opslaan' en start de router opnieuw op.

    Deze extra firewallregels maken het eenvoudig om alles op de twee bruggen (het privénetwerk en het openbare / gastnetwerk) te stoppen en om elk contact tussen een client in het gastnetwerk en de telnet-, SSH- of webserverpoorten op de server te weigeren. router (om te voorkomen dat ze überhaupt toegang proberen te krijgen tot de configuratiebestanden van de router).

    Een woord over het gebruik van de opdrachtshell en de opstart-, afsluit- en firewall-scripts. Eerst worden de IPTABLES-opdrachten op volgorde verwerkt. Het wijzigen van de volgorde van de individuele regels kan de uitkomst aanzienlijk veranderen. Ten tweede zijn er tientallen op tientallen routers ondersteund door DD-WRT en afhankelijk van uw specifieke router en configuratie moet u mogelijk de bovenstaande IPTABLES-opdrachten aanpassen. Het script werkte voor onze router en het gebruikt de breedste en eenvoudigste mogelijke commando's om de taak uit te voeren, dus het zou voor de meeste routers moeten werken. Als dit niet het geval is, raden we u aan in de DD-WRT-discussieforums naar uw specifieke routermodel te zoeken en te kijken of andere gebruikers dezelfde problemen hebben ondervonden..


    Op dit punt ben je klaar met de configuratie en klaar om te genieten van dubbele SSID's en alle voordelen die gepaard gaan met het uitvoeren ervan. U kunt eenvoudig een gastwachtwoord opgeven (en dit naar wens wijzigen), QoS-regels voor het gastnetwerk instellen en anders het gastnetwerk wijzigen en beperken op manieren die uw primaire netwerk in het minst niet beïnvloeden..