So aktivieren Sie einen Gastzugangspunkt in Ihrem drahtlosen Netzwerk
Das Teilen des WLANs mit Gästen ist nur höflich. Dies bedeutet jedoch nicht, dass Sie ihnen weitreichenden freien Zugang zu Ihrem gesamten LAN gewähren möchten. Lesen Sie weiter, während wir Ihnen zeigen, wie Sie Ihren Router für zwei SSIDs einrichten und einen separaten (und gesicherten) Zugangspunkt für Ihre Gäste erstellen.
Warum möchte ich das tun??
Es gibt mehrere sehr praktische Gründe, warum Sie Ihr Heimnetzwerk mit zwei Zugangspunkten (AP) einrichten möchten..
Der Grund für die praktischste Anwendung für die meisten Leute ist, Ihr Heimnetzwerk einfach zu isolieren, so dass Gäste nicht auf Dinge zugreifen können, die Sie privat halten möchten. Die Standardkonfiguration für fast jeden WLAN-Zugangspunkt / -Router zu Hause besteht darin, einen einzigen drahtlosen Zugangspunkt zu verwenden, und jeder, der zum Zugriff auf diesen Zugriffspunkt berechtigt ist, erhält Zugriff auf das Netzwerk, als ob er über Ethernet direkt mit dem Zugangspunkt verbunden wäre.
Mit anderen Worten, wenn Sie Ihren Freund, Nachbarn, Hausgast oder wer auch immer Wenn Sie das Kennwort für Ihren Wi-Fi-Zugriffspunkt eingeben, haben Sie ihm auch Zugriff auf Ihren Netzwerkdrucker, auf alle offenen Freigaben in Ihrem Netzwerk, auf ungesicherte Geräte in Ihrem Netzwerk und so weiter. Möglicherweise möchten Sie nur, dass sie ihre E-Mails abrufen oder online ein Spiel spielen, aber Sie haben ihnen die Freiheit, sich überall in Ihrem internen Netzwerk zu bewegen.
Während die meisten von uns sicherlich keine bösartigen Hacker für Freunde haben, heißt das nicht, dass es nicht vernünftig ist, unsere Netzwerke so einzurichten, dass die Gäste dort bleiben, wo sie hingehören (auf der freien Internet-Seite des Zauns) und kann nicht dorthin gehen, wo dies nicht der Fall ist (auf dem Home-Server / auf der persönlichen Seite des Zauns).
Ein weiterer praktischer Grund für den Betrieb eines AP mit zwei SSIDs ist die Möglichkeit, nicht nur einzuschränken, wo sich der Gast-AP befinden darf, sondern wann. Wenn Sie zum Beispiel ein Elternteil sind, das einschränken möchte, wie spät Ihr Kind auf dem Computer herumtollen kann, können Sie seinen Computer, Tablet usw. auf den sekundären Zugangspunkt setzen und den Internetzugang für das gesamte U-Boot einschränken -SSID nach etwa 9PM.
Was brauche ich?
Unser heutiges Tutorial konzentriert sich auf die Verwendung eines DD-WRT-kompatiblen Routers, um zwei SSIDs zu erhalten. Als solches benötigen Sie folgende Dinge:
- 1 DD-WRT-kompatibler Router mit entsprechender Hardwareversion (wir zeigen Ihnen, wie Sie dies überprüfen können)
- 1 installierte Kopie von DD-WRT auf diesem Router
Dies ist nicht die einzige Möglichkeit, zwei SSIDs für Ihr Heimnetzwerk einzurichten. Wir werden unsere SSIDs mit dem allgegenwärtigen WLAN-Router der Linksys WRT54G-Serie betreiben. Wenn Sie nicht die Mühe machen möchten, die benutzerdefinierte Firmware auf Ihrem alten Router zu blinken und die zusätzlichen Konfigurationsschritte durchzuführen, können Sie stattdessen Folgendes tun:
- Erwerben Sie einen neueren Router, der gleich zwei SSIDs unterstützt, z. B. den ASUS RT-N66U.
- Erwerben Sie einen zweiten WLAN-Router und konfigurieren Sie ihn als eigenständigen Zugangspunkt.
Wenn Sie nicht bereits einen Router besitzen, der zwei SSIDs unterstützt (in diesem Fall können Sie dieses Tutorial überspringen und einfach die Bedienungsanleitung Ihres Geräts lesen), sind beide Optionen nicht ideal, da Sie zusätzliches Geld ausgeben müssen und im Fall von Als zweite Option führen Sie eine Reihe zusätzlicher Konfigurationen durch, einschließlich der Einrichtung des sekundären Zugriffspunkts, um den primären Zugriffspunkt nicht zu beeinträchtigen und / oder diesen zu überlappen.
In Anbetracht dessen haben wir die bereits vorhandene Hardware (den kabellosen Router der Linksys WRT54G-Serie) mehr als zufrieden gestellt und die Kosten für Geld und zusätzliche Wi-Fi-Netzwerkanpassungen übersprungen.
Woher weiß ich, dass mein Router kompatibel ist??
Es gibt zwei wichtige Kompatibilitätselemente, die Sie überprüfen müssen, um mit diesem Lernprogramm Erfolg zu haben. Die erste und grundlegendste Aufgabe besteht darin, zu überprüfen, ob Ihr Router DD-WRT unterstützt. Hier können Sie die Router-Datenbank des DD-WRT-Wikis besuchen, um zu überprüfen.
Wenn Sie festgestellt haben, dass Ihr Router mit DD-WRT kompatibel ist, müssen Sie die Versionsnummer des Chips Ihres Routers überprüfen. Wenn Sie beispielsweise einen wirklich alten Linksys-Router haben, kann dieser Router in jeder Hinsicht ein perfekter, funktionsfähiger Router sein, der Chip unterstützt jedoch möglicherweise keine dualen SSIDs (dies macht ihn grundsätzlich nicht mit dem Lernprogramm kompatibel)..
In Bezug auf die Revisionsnummer des Routers gibt es zwei Kompatibilitätsgrade. Einige Router können mehrere SSIDs ausführen, aber sie können die SSIDs nicht in verschiedene absolut eindeutige Zugangspunkte aufteilen (z. B. eine eindeutige MAC-Adresse für jede SSID). In einigen Situationen kann dies zu Problemen bei einigen Wi-Fi-Geräten führen, da sie verwirrt werden, welche SSID sie verwenden sollen (da beide dieselbe MAC-Adresse haben). Leider gibt es keine Möglichkeit, vorherzusagen, welche Geräte sich in Ihrem Netzwerk verhalten. Aus diesem Grund empfehlen wir nicht, die in diesem Tutorial beschriebene Technik zu meiden, wenn Sie feststellen, dass Sie über ein Gerät verfügen, das keine diskreten SSIDs unterstützt.
Sie können die Versionsnummer überprüfen, indem Sie eine Google-Suche nach dem spezifischen Modell Ihres Routers zusammen mit der Versionsnummer durchführen, die auf dem Informationsetikett angegeben ist (normalerweise auf der Unterseite des Routers). Wir haben jedoch festgestellt, dass diese Technik unzuverlässig ist (Labels) können falsch angewendet werden, Informationen, die online zum Modell und Datum der Herstellung veröffentlicht wurden, können ungenau sein usw.)
Die zuverlässigste Möglichkeit, die Versionsnummer des Chips in Ihrem Router zu überprüfen, besteht darin, den Router tatsächlich abzufragen, um herauszufinden. Dazu müssen Sie die folgenden Schritte ausführen. Öffnen Sie einen Telnet-Client (entweder ein Mehrzweckprogramm wie PuTTY oder den grundlegenden Windows-Telnet-Befehl) und Telnet mit der IP-Adresse Ihres Routers (z. B. 192.168.1.1). Melden Sie sich mit Ihrem Administrator-Login und Ihrem Kennwort beim Router an. Beachten Sie, dass Sie bei einigen Routern auch "admin" und "mypassword" eingeben müssen, um sich beim webbasierten Verwaltungsportal des Routers anzumelden. Möglicherweise müssen Sie "root" eingeben "Und" mypassword "für die Anmeldung über Telnet).
Wenn Sie am Router angemeldet sind, geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
nvram show | grep corerev
Dadurch wird die Kernrevisionsnummer der Chips in Ihrem Router im folgenden Format zurückgegeben:
wl0_corerev = 9
wl_corerev =
Die obige Ausgabe bedeutet, dass unser Router über ein Funkgerät verfügt (wl0, es gibt kein wl1) und dass die Kernversion dieses Funkchips 9 lautet. Wie interpretieren Sie die Ausgabe? Die Versionsnummer in Bezug auf unseren Leitfaden bedeutet Folgendes:
- 0-4 Der Router unterstützt nicht mehrere SSIDs (mit eindeutigen Kennungen oder auf andere Weise)
- 5-8 Der Router unterstützt mehrere SSIDs (jedoch nicht mit eindeutigen Kennungen)
- 9+ Der Router unterstützt mehrere SSIDs (mit eindeutigen Kennungen)
Wie Sie anhand unserer Befehlsausgabe oben sehen können, haben wir Glück gehabt. Unser Router-Chip ist die niedrigste Version, die mehrere SSIDs mit eindeutigen Kennungen unterstützt.
Wenn Sie festgestellt haben, dass Ihr Router mehrere SSIDs unterstützen kann, müssen Sie DD-WRT installieren. Wenn Ihr Router mit DD-WRT ausgeliefert wurde oder Sie ihn bereits installiert haben, ist das fantastisch. Wenn Sie es noch nicht installiert haben, empfehlen wir Ihnen, die entsprechende Version von der DD-WRT-Website herunterzuladen und unserem Tutorial zu folgen: Machen Sie aus Ihrem Heimrouter einen Super-Powered-Router mit DD-WRT.
Neben unserem Tutorial können wir den Wert des umfangreichen und hervorragend gepflegten DD-WRT-Wikis nicht hervorheben. Informieren Sie sich über Ihren speziellen Router und die Best Practices für das Flashen einer neuen Firmware.
DD-WRT für mehrere SSIDs konfigurieren
Sie haben einen kompatiblen Router, Sie haben DD-WRT darauf geflasht. Jetzt ist es Zeit, die zweite SSID einzurichten. Genauso wie Sie immer neue Firmware über eine Kabelverbindung flashen sollten, empfehlen wir dringend, über eine Kabelverbindung an Ihrem WLAN-Setup zu arbeiten, damit der WLAN-Computer durch die Änderungen nicht vom Netzwerk getrennt wird.
Öffnen Sie Ihren Webbrowser auf einem Computer, der über Ethernet mit dem Router verbunden ist. Navigieren Sie zur Standard-Router-IP-Adresse (normalerweise 198.168.1.1). Navigieren Sie in der DD-WRT-Benutzeroberfläche zu Wireless -> Basic Settings (Grundeinstellungen) (siehe Abbildung oben). Sie sehen, dass unser vorhandener WLAN-Zugangspunkt die SSID "HTG_Office" hat..
Klicken Sie unten auf der Seite im Abschnitt "Virtuelle Schnittstellen" auf die Schaltfläche Hinzufügen. Der zuvor leere Abschnitt "Virtuelle Schnittstellen" wird um diesen vorgefüllten Eintrag erweitert:
Diese virtuelle Schnittstelle ist auf Ihrem vorhandenen Funkchip huckepack (beachten Sie die wl0.1 im Titel des neuen Eintrags). Selbst die Abkürzung in der SSID deutet darauf hin, der „vap“ am Ende der Standard-SSID steht für Virtual Access Point. Lassen Sie uns die restlichen Einträge unter der neuen virtuellen Schnittstelle aufschlüsseln.
Sie können die SSID beliebig umbenennen. Im Einklang mit unserer bestehenden Namenskonvention (und um unseren Gästen das Leben zu erleichtern), ändern wir die SSID von der Standardeinstellung in "HTG_Guest". Denken Sie daran, dass unser WLAN-AP "HTG_Office" ist..
Lassen Sie die drahtlose SSID-Übertragung aktiviert. Viele ältere Computer und Wi-Fi-fähige Geräte spielen nicht nur mit geheimen SSIDs sehr gut, sondern auch ein verborgenes Gastnetzwerk ist kein sehr einladendes / nützliches Gastnetzwerk.
AP-Isolation ist eine Sicherheitseinstellung, die wir nach Belieben aktivieren oder deaktivieren können. Wenn Sie AP Isolation aktivieren, ist jeder Client in Ihrem Gast-WLAN-Netzwerk vollständig voneinander isoliert. In Bezug auf die Sicherheit ist dies großartig, da bösartige Benutzer davon abgehalten werden, sich auf den Clients anderer Benutzer zu bewegen. Dies ist jedoch eher ein Problem für Unternehmensnetzwerke und öffentliche Hotspots. In der Praxis bedeutet das auch, wenn Ihre Nichte und Ihr Neffe vorbei sind und ein Wi-Fi-Spiel auf ihren Nintendo DS-Geräten spielen möchten, können sich ihre DS-Einheiten nicht sehen. In den meisten privaten und kleinen Büroanwendungen gibt es wenig Grund, die APs zu isolieren.
Die Option Unbridged / Bridged in der Netzwerkkonfiguration bezieht sich darauf, ob der Wi-Fi AP mit dem physischen Netzwerk verbunden werden soll oder nicht. Auch wenn dies nicht so intuitiv ist, müssen Sie Bridged aktiviert lassen. Anstatt die Router-Firmware den Unlinking-Prozess (eher unhandlich) abwickeln zu lassen, werden wir alles manuell von Hand mit einem saubereren und stabileren Ergebnis aufheben.
Wenn Sie Ihre SSID geändert und die Einstellungen überprüft haben, klicken Sie auf Speichern.
Navigieren Sie als Nächstes zu Wireless -> Wireless Security:
Standardmäßig gibt es keine Sicherheit für den zweiten Zugriffspunkt. Sie können es zu Testzwecken vorübergehend als solches belassen (wir haben bis zum Schluss offen gelassen), um sich vor der Eingabe des Kennworts auf Ihren Testgeräten zu schützen. Wir empfehlen jedoch nicht, es dauerhaft geöffnet zu lassen. Unabhängig davon, ob Sie es jetzt offen lassen oder nicht, müssen Sie für die Änderungen, die wir im vorherigen und im vorigen Abschnitt vorgenommen haben, auf Speichern und dann auf Einstellungen anwenden klicken, um die Änderungen zu übernehmen. Seien Sie geduldig, es kann bis zu 2 Minuten dauern, bis Änderungen wirksam werden.
Jetzt ist es ein guter Zeitpunkt, um zu bestätigen, dass in der Nähe befindliche Wi-Fi-Geräte sowohl den primären als auch den sekundären APs sehen können. Das Öffnen der Wi-Fi-Schnittstelle auf einem Smartphone ist eine großartige Möglichkeit, um schnell zu überprüfen. Hier ist die Ansicht von der WLAN-Konfigurationsseite unseres Android-Telefons:
Wir können noch keine Verbindung zum sekundären AP herstellen, da wir noch einige Änderungen am Router vornehmen müssen, aber es ist immer schön, beide in der Liste zu sehen.
Im nächsten Schritt beginnen Sie mit dem Trennen der SSIDs im Netzwerk, indem Sie den WLAN-Gastgeräten einen eindeutigen IP-Adressbereich zuweisen.
Navigieren Sie zu Setup -> Networking. Klicken Sie im Abschnitt "Bridging" auf die Schaltfläche Hinzufügen.
Ändern Sie zunächst den anfänglichen Steckplatz in "br1", lassen Sie die restlichen Werte gleich. Sie können den oben angezeigten IP / Subnet-Eintrag noch nicht sehen. Klicken Sie auf "Apply Settings". Die neue Brücke befindet sich im Bridging-Bereich mit den verfügbaren IP- und Subnet-Abschnitten. Setzen Sie die IP-Adresse auf einen Wert neben der IP Ihres regulären Netzwerks (z. B. ist Ihr primäres Netzwerk 192.168.1.1, stellen Sie diesen Wert also 192.168.2.1 ein). Stellen Sie die Subnetzmaske auf 255.255.255.0 ein. Klicken Sie erneut unten auf der Seite auf "Apply Settings".
Weisen Sie das Gastnetzwerk der Bridge zu
Hinweis: Vielen Dank an den Leser Joel, der auf diesen Teil hingewiesen und uns die Anweisungen gegeben hat, um das Tutorial hinzuzufügen.
Klicken Sie unter "Zuweisen zu Brücke" auf "Hinzufügen". Wählen Sie aus der ersten Dropdown-Liste die neu erstellte Bridge aus und koppeln Sie sie mit der Schnittstelle "wl0.1".
Klicken Sie nun auf "Speichern" und "Einstellungen übernehmen"..
Blättern Sie nach dem Übernehmen der Änderungen noch einmal zum unteren Seitenrand zum DHCPD-Abschnitt. Klicken Sie auf "Hinzufügen". Schalten Sie den ersten Steckplatz auf "br1". Behalten Sie die restlichen Einstellungen gleich (wie in der Abbildung unten gezeigt)..
Klicken Sie noch einmal auf "Apply Settings". Wenn Sie alle Aufgaben auf der Seite Setup -> Networking abgeschlossen haben, sollten Sie sich für Konnektivität und DHCP-Zuweisung entscheiden.
Hinweis: Wenn der Wi-Fi-AP, den Sie für zwei SSIDs konfigurieren, ein anderes Gerät verwendet (z. B. haben Sie zwei Wi-Fi-Router in Ihrem Zuhause oder im Büro, um die Abdeckung zu erweitern und den, den Sie für die Gast-SSID einrichten) on ist # 2 in der Kette) Sie müssen DHCP im Abschnitt "Services" einrichten. Wenn sich Ihr Setup anhört, navigieren Sie zum Abschnitt Dienste -> Dienste.
Im Abschnitt Dienste müssen wir dem Abschnitt DNSMasq ein wenig Code hinzufügen, damit der Router den Geräten, die eine Verbindung zum Gastnetzwerk herstellen, dynamische IP-Adressen ordnungsgemäß zuweist. Scrollen Sie im DNSMasq-Bereich nach unten. Fügen Sie im Feld "Zusätzliche DNSMasq-Optionen" den folgenden Code ein (ohne die # -Kommentare, die die Funktionalität jeder Zeile erläutern):
# Aktiviert DHCP auf br1
interface = br1
# Legen Sie das Standard-Gateway für br1-Clients fest
dhcp-option = br1,3,192.168.2.1
# Legen Sie für br1-Clients den DHCP-Bereich und die Standardmietzeit von 24 Stunden fest
Dhcp-Bereich = br1,192.168.2.100.192.168.2.150.255.255.255.0,24h
Klicken Sie unten auf der Seite auf "Apply Settings".
Unabhängig davon, ob Sie Technik eins oder zwei verwendet haben, warten Sie einige Minuten, um eine Verbindung zu Ihrer neuen Gast-SSID herzustellen. Wenn Sie sich mit der Gast-SSID verbinden, überprüfen Sie Ihre IP-Adresse. Sie sollten eine IP innerhalb des Bereichs haben, den wir oben angegeben haben. Auch hier ist es praktisch, wenn Sie mit Ihrem Smartphone überprüfen:
Alles sieht gut aus. Der sekundäre AP weist dynamische IPs in einem geeigneten Bereich zu, wir können ins Internet gelangen - wir machen hier eine Notiz, großer Erfolg.
Das einzige Problem ist jedoch, dass der sekundäre AP weiterhin Zugriff auf die Ressourcen des primären Netzwerks hat. Dies bedeutet, dass alle Netzwerkdrucker, Netzwerkfreigaben usw. weiterhin sichtbar sind (Sie können es jetzt testen und versuchen, eine Netzwerkfreigabe in Ihrem primären Netzwerk auf dem sekundären Zugriffspunkt zu finden.).
Wenn du wollen Gäste auf dem sekundären Zugriffspunkt haben Zugriff auf diese Dinge (und folgen zusammen mit dem Lernprogramm, sodass Sie andere Dual-SSID-Aufgaben ausführen können, wie z. B. die Bandbreite von Gästen einschränken oder die Zeit, in der sie das Internet nutzen dürfen) Tutorial.
Wir stellen uns vor, dass die meisten von Ihnen möchten, dass Ihre Gäste nicht in Ihrem Netzwerk herumstochern und sie sanft zu Facebook und E-Mail herden. In diesem Fall müssen wir den Prozess beenden, indem wir den sekundären AP vom physischen Netzwerk trennen.
Navigieren Sie zu Administration -> Befehle. Sie sehen einen Bereich mit der Bezeichnung "Command Shell". Fügen Sie die folgenden Befehle (ohne # -Zeilen) in den bearbeitbaren Bereich ein:
# Entfernt den Gastzugang in das physische Netzwerk
iptables -I VORWÄRTS -i br1 -o br0 -m Zustand - Zustand NEU -j DROP
Iptables -I VORWÄRTS -i br0 -o br1 -m Zustand - Zustand NEU -j DROP
# Entfernt den Gastzugriff auf die Konfigurations-GUI / -Ports des Routers
iptables -I INPUT -i br1 -p TCP --dport Telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p TCP --dport ssh -j REJECT --reject-with tcp-reset
iptables -I EINGABE -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p TCP --dport https -j REJECT --reject-with tcp-reset
Klicken Sie auf "Firewall speichern" und starten Sie den Router neu.
Diese zusätzlichen Firewall-Regeln verhindern, dass auf den beiden Bridges (dem privaten Netzwerk und dem öffentlichen / Gastnetzwerk) alles miteinander kommuniziert, und lehnen jeglichen Kontakt zwischen einem Client im Gastnetzwerk und den Telnet-, SSH- oder Webserver-Ports auf dem Server ab Router (damit sie überhaupt nicht auf die Konfigurationsdateien des Routers zugreifen können).
Ein Wort zur Verwendung der Befehlsshell und der Skripts zum Starten, Herunterfahren und zur Firewall. Zunächst werden die IPTABLES-Befehle der Reihe nach abgearbeitet. Das Ändern der Reihenfolge der Einzelzeilen kann das Ergebnis erheblich verändern. Zweitens gibt es Dutzende von Dutzenden von Routern, die von DD-WRT unterstützt werden. Abhängig von Ihrem speziellen Router und der Konfiguration müssen Sie möglicherweise die oben genannten IPTABLES-Befehle anpassen. Das Skript hat für unseren Router funktioniert und verwendet die breitesten und einfachsten möglichen Befehle, um die Aufgabe auszuführen, sodass es für die meisten Router funktionieren sollte. Wenn dies nicht der Fall ist, empfehlen wir Ihnen dringend, in den DD-WRT-Diskussionsforen nach Ihrem speziellen Routermodell zu suchen, um zu sehen, ob andere Benutzer die gleichen Probleme wie Sie haben.
An diesem Punkt sind Sie mit der Konfiguration fertig und können zwei SSIDs und alle damit verbundenen Vorteile nutzen. Sie können problemlos ein Gastkennwort vergeben (und es nach Belieben ändern), QoS-Regeln für das Gastnetzwerk einrichten und das Gastnetzwerk auf andere Weise ändern und einschränken, ohne dass dies Auswirkungen auf Ihr Primärnetzwerk hat.