Perché voglio farlo?
Ci sono diversi motivi molto pratici per voler configurare la rete domestica in modo da avere due punti di accesso (AP).
Il motivo con l'applicazione più pratica per il maggior numero di persone consiste semplicemente nell'isolare la tua rete domestica in modo che gli ospiti non possano accedere a cose che desideri rimanere private. La configurazione predefinita per quasi ogni punto di accesso / router Wi-Fi di casa consiste nell'utilizzare un singolo punto di accesso wireless e chiunque sia autorizzato ad accedere a tale AP riceve l'accesso alla rete come se fosse collegato direttamente all'AP tramite Ethernet.
In altre parole, se dai il tuo amico, il prossimo, l'ospite della casa, o chi la password per il tuo AP Wi-Fi, hai anche dato loro l'accesso alla stampante di rete, eventuali condivisioni aperte sulla rete, dispositivi non protetti sulla rete e così via. Potresti aver semplicemente voluto lasciare che controllassero le loro e-mail o giocare online, ma hai dato loro la libertà di vagare ovunque volessero sulla tua rete interna.
Ora, mentre la maggior parte di noi certamente non ha hacker maliziosi per gli amici, ciò non significa che non sia prudente impostare le nostre reti in modo che gli ospiti rimangano dove appartengono (sul lato di accesso gratuito a Internet della recinzione) e non posso andare dove non lo fanno (sul server di casa / lato delle condivisioni personali del recinto).
Un altro motivo pratico per l'esecuzione di un AP con due SSID è la possibilità non solo di limitare la posizione dell'AP guest, ma quando. Se sei un genitore, ad esempio, che vuole limitare il ritardo con cui il tuo bambino può restare sveglio sul computer, puoi mettere il computer, il tablet, ecc. Sull'AP secondario e impostare le restrizioni sull'accesso a Internet per l'intero sub -SSID dopo, per esempio, 9PM.
Di cosa ho bisogno?
- 1 router compatibile DD-WRT con una revisione hardware appropriata (ti mostreremo come controllare)
- 1 copia installata di DD-WRT su detto router
Questo non è l'unico modo per configurare due SSID per la rete domestica. Stiamo andando a far funzionare i nostri SSID dall'esterno Router Wireless serie Linksys WRT54G. Se non vuoi passare attraverso il fastidio del firmware personalizzato lampeggiante sul tuo vecchio router e stai facendo i passaggi di configurazione aggiuntivi, potresti invece:
- Acquista un router più recente che supporti SSID doppi già pronti, come ASUS RT-N66U.
- Acquistare un secondo router wireless e configurarlo come access point autonomo.
A meno che tu non possieda già un router che supporta due SSID (nel qual caso puoi saltare questo tutorial e leggere solo il manuale del tuo dispositivo) entrambe queste opzioni sono tutt'altro che ideali in quanto devi spendere soldi extra e, nel caso di la seconda opzione, fare un sacco di configurazioni extra tra cui l'impostazione dell'AP secondario per non interferire e / o sovrapporsi con l'AP principale.
Alla luce di tutto ciò, siamo stati più che felici di utilizzare l'hardware che avevamo già (il router wireless della serie Linksys WRT54G) e saltare l'esborso di denaro e extra tweaking della rete Wi-Fi.
Come faccio a sapere che il mio router è compatibile?
Una volta stabilito che il tuo router è compatibile con DD-WRT, dobbiamo controllare il numero di revisione del chip del tuo router. Se si dispone di un router Linksys molto vecchio, ad esempio, potrebbe essere un router utile perfezionabile in ogni modo, ma il chip potrebbe non supportare due SSID (il che lo rende fondamentalmente incompatibile con il tutorial).
Esistono due gradi di compatibilità in relazione al numero di revisione del router. Alcuni router possono eseguire più SSID ma non possono suddividere gli SSID in distinti punti di accesso assolutamente unici (ad esempio, un indirizzo MAC univoco per ciascun SSID). In alcune situazioni ciò può causare problemi con alcuni dispositivi Wi-Fi in quanto vengono confusi su quale SSID (poiché entrambi hanno lo stesso indirizzo MAC) che dovrebbero usare. Sfortunatamente non c'è modo di prevedere quali dispositivi si comportano male sulla rete, quindi non possiamo esagerare raccomandando di evitare la tecnica descritta in questo tutorial se si trova un dispositivo che non supporta SSID discreti.
Puoi controllare il numero di revisione eseguendo una ricerca Google per il modello specifico del tuo router insieme al numero di versione stampato sull'etichetta informativa (di solito si trova sul lato inferiore del router) ma abbiamo trovato questa tecnica inaffidabile (etichette possono essere applicate erroneamente, le informazioni pubblicate online relative al modello e alla data di produzione possono essere inaccurate, ecc.)
Il modo più affidabile per verificare il numero di revisione del chip all'interno del router è quello di sondare effettivamente il router per scoprirlo. Per fare ciò è necessario eseguire i seguenti passaggi.Aprire un client telnet (un programma multiuso come PuTTY o il comando base di Windows Telnet) e telnet all'indirizzo IP del router (ad esempio 192.168.1.1). Accedere al router utilizzando l'accesso e la password dell'amministratore (tenere presente che per alcuni router, anche se si digita "admin" e "mypassword" per accedere al portale di gestione basato sul web sul router, potrebbe essere necessario digitare "root" "E" Mypassword "per accedere tramite telnet).
nvram show|grep corerev
Ciò restituirà il numero di revisione principale del / dei chip / i nel tuo router nel seguente formato:
wl0_corerev=9 wl_corerev=
Che cosa significa l'output sopra è che il nostro router ha una radio (wl0, non c'è wl1) e che la revisione principale di quel chip radio è 9. Come interpreti l'output? Il numero di revisione, in relazione alla nostra guida, indica quanto segue:
- 0-4 Il router non supporta SSID multipli (con identificatori univoci o altro)
- 5-8 Il router supporta SSID multipli (ma non con identificatori univoci)
- 9+ Il router supporta SSID multipli (con identificatori univoci)
Come puoi vedere dal nostro output dei comandi sopra, siamo stati fortunati. Il chip del nostro router è la revisione più bassa che supporta più SSID con identificatori univoci.
Una volta stabilito che il router è in grado di supportare più SSID, è necessario installare DD-WRT. Se il router è stato spedito con DD-WRT o l'hai già installato, fantastico. Se non lo hai già installato, ti consigliamo di scaricare la versione appropriata dal sito web DD-WRT e di seguire il nostro tutorial: Trasforma il tuo router di casa in un router super-alimentato con DD-WRT.
Oltre al nostro tutorial, non possiamo sottolineare il valore del wiki DD-WRT esteso e ottimamente mantenuto. Leggi sul tuo router particolare e le migliori pratiche per l'aggiornamento di un nuovo firmware.
Configurazione di DD-WRT per SSID multipli
Hai un router compatibile, hai lampeggiato DD-WRT, ora è il momento di iniziare a configurare il secondo SSID. Proprio come si dovrebbe sempre flashare il nuovo firmware su una connessione cablata, si consiglia vivamente di lavorare sulla configurazione wireless su una connessione cablata in modo che le modifiche non costringano il computer wireless fuori dalla rete.
Apri il tuo browser web su un computer collegato al router tramite Ethernet. Passare all'IP router predefinito (in genere 198.168.1.1). All'interno dell'interfaccia DD-WRT, vai su Wireless -> Impostazioni di base (come mostrato nella schermata sopra). Puoi vedere che il nostro AP Wi-Fi esistente ha l'SSID "HTG_Office".
Nella parte inferiore della pagina, nella sezione "Interfacce virtuali", fai clic sul pulsante Aggiungi. La sezione "Interfacce virtuali" precedentemente vuota si espanderà con questa voce prepopolata:
È possibile rinominare l'SSID in base a ciò che si desidera. In linea con la nostra convenzione di denominazione esistente (e per semplificare la vita ai nostri ospiti), cambieremo il SSID dall'impostazione predefinita a "HTG_Guest" - il nostro AP Wi-Fi principale è "HTG_Office".
Lascia abilitato Broadcast SSID wireless. Non solo molti computer più vecchi e dispositivi Wi-Fi non funzionano molto bene con SSID segreti, ma una rete ospite nascosta non è una rete ospite molto invitante / utile.
AP Isolation è un'impostazione di sicurezza che lasceremo a tua discrezione abilitare o disabilitare. Se abiliti l'isolamento AP, ogni client sulla rete Wi-Fi del tuo ospite sarà completamente isolato l'uno dall'altro. Dal punto di vista della sicurezza questo è ottimo, in quanto impedisce a un utente malintenzionato di dare un'occhiata ai client di altri utenti. Tuttavia, questa è più una preoccupazione per le reti aziendali e gli hotspot pubblici. In pratica, questo significa anche che se tua nipote e nipote sono finiti e vogliono giocare a un gioco collegato Wi-Fi sulle loro unità Nintendo DS, le loro unità DS non saranno in grado di vedersi. Nella maggior parte delle applicazioni domestiche e di piccoli uffici non c'è motivo di isolare gli AP.
L'opzione Unbridged / Bridged nella configurazione di rete indica se l'AP Wi-Fi sarà collegato o meno alla rete fisica. Per quanto poco intuitivo, devi lasciarlo impostato su Bridged. Invece di lasciare che il firmware del router gestisca (piuttosto goffamente) il processo di scollegamento, stiamo per disancorare manualmente tutto noi stessi con un risultato più pulito e più stabile.
Una volta modificato l'SSID e rivisto le impostazioni, fai clic su Salva.
Quindi passa a Wireless -> Wireless Security:
Ora è il momento giusto per confermare che i dispositivi Wi-Fi nelle vicinanze possono vedere sia gli AP primari che secondari. L'apertura dell'interfaccia Wi-Fi su uno smartphone è un ottimo modo per controllare rapidamente. Ecco la vista dalla pagina di configurazione Wi-Fi del nostro telefono Android:
Il passo successivo è iniziare il processo di separazione degli SSID sulla rete assegnando un intervallo univoco di indirizzi IP ai dispositivi Wi-Fi guest.
Passare a Setup -> Networking. Sotto la sezione "Bridging", fai clic sul pulsante Aggiungi.
Assegna la rete ospite al bridge
Nota: grazie al lettore Joel per aver sottolineato questa parte e dandoci le istruzioni per aggiungere al tutorial.
Sotto "Assegna a Bridge" fai clic su "Aggiungi". Seleziona il nuovo bridge che hai creato dal primo menu a discesa e accoppialo con l'interfaccia "wl0.1".
Ora fai clic su "Salva" e "Applica impostazioni".
Nota: se l'AP Wi-Fi che stai configurando per SSID doppi è piggy back su un altro dispositivo (ad esempio, hai due router Wi-Fi in casa o in ufficio per estendere la copertura e quello che stai impostando su SSID ospite on è il n. 2 della catena) è necessario impostare il DHCP nella sezione Servizi. Se questo sembra il tuo setup, è ora di navigare nella sezione Servizi -> Servizi.
# Enables DHCP on br1 interface=br1 # Set the default gateway for br1 clients dhcp-option=br1,3,192.168.2.1 # Set the DHCP range and default lease time of 24 hours for br1 clients dhcp-range=br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Fai clic su "Applica impostazioni" nella parte inferiore della pagina.
Sia che tu abbia usato la tecnica uno o due, attendi qualche minuto per connetterti al tuo nuovo SSID ospite. Quando ti connetti al SSID guest, controlla il tuo indirizzo IP. Dovresti avere un IP all'interno dell'intervallo specificato in precedenza. Di nuovo, è comodo usare lo smartphone per controllare:
L'unico problema, tuttavia, è che l'AP secondario ha ancora accesso alle risorse della rete primaria. Ciò significa che tutte le stampanti in rete, le condivisioni di rete e simili sono ancora visibili (è possibile testarlo ora, provare a trovare una condivisione di rete dalla rete principale sull'AP secondario).
Se tu volere gli ospiti dell'AP secondario hanno accesso a queste cose (e stanno seguendo il tutorial in modo da poter eseguire altre attività dual-SSID come limitare la larghezza di banda degli ospiti o le volte in cui sono autorizzati a utilizzare Internet) quindi si è effettivamente fatto con il tutorial.
Immaginiamo che molti di voi vorrebbero impedire agli ospiti di curiosare nella propria rete e portarli delicatamente verso Facebook e email. In tal caso, è necessario completare il processo scollegando l'AP secondario dalla rete fisica.
#Removes guest access to physical network iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP #Removes guest access to the router's config GUI/ports iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Fai clic su "Salva firewall" e riavvia il router.
Queste regole aggiuntive del firewall bloccano semplicemente tutto sui due bridge (la rete privata e la rete pubblica / ospite) dal parlare e rifiutano qualsiasi contatto tra un client sulla rete ospite e le porte telnet, SSH o server web sul router (limitando così il tentativo di accedere ai file di configurazione del router).
Una parola sull'uso della shell dei comandi e degli script di avvio, spegnimento e firewall. Innanzitutto, i comandi IPTABLES vengono elaborati in ordine. Cambiare l'ordine delle linee individuali può cambiare in modo significativo il risultato. In secondo luogo, ci sono dozzine su dozzine di router supportati da DD-WRT e, a seconda del router e della configurazione specifici, potrebbe essere necessario modificare i comandi IPTABLES di cui sopra. Lo script ha funzionato per il nostro router e utilizza i comandi più ampi e più semplici possibili per svolgere l'attività in modo che funzioni per la maggior parte dei router. In caso contrario, ti consigliamo vivamente di cercare il tuo modello di router specifico nei forum di discussione DD-WRT e vedere se altri utenti hanno riscontrato gli stessi problemi che hai.
A questo punto hai finito con la configurazione e sei pronto per goderti i SSID duali e tutti i vantaggi che derivano dalla loro esecuzione. È possibile distribuire facilmente una password guest (e modificarla a piacere), configurare le regole QoS per la rete ospite e, in caso contrario, modificare e limitare la rete ospite in modi che non influiscano minimamente sulla rete principale.