Tại sao tôi muốn làm điều này?
Có một số lý do rất thiết thực cho việc muốn thiết lập mạng gia đình của bạn để có các điểm truy cập kép (AP).
Lý do với ứng dụng thực tế nhất đối với nhiều người nhất chỉ đơn giản là cô lập mạng gia đình của bạn để khách không thể truy cập những thứ bạn muốn giữ riêng tư. Cấu hình mặc định cho hầu hết các điểm truy cập / bộ định tuyến Wi-Fi tại nhà là sử dụng một điểm truy cập không dây duy nhất và bất kỳ ai được phép truy cập AP đó đều được cấp quyền truy cập vào mạng như thể chúng được kết nối ngay vào AP qua Ethernet.
Nói cách khác, nếu bạn cung cấp cho bạn bè, hàng xóm, khách nhà hoặc bất cứ ai mật khẩu cho Wi-Fi AP, bạn cũng đã cấp cho họ quyền truy cập vào máy in mạng của bạn, mọi cổ phiếu đang mở trên mạng của bạn, các thiết bị không an toàn trên mạng của bạn, v.v. Bạn có thể chỉ muốn cho họ kiểm tra email của họ hoặc chơi trò chơi trực tuyến, nhưng bạn đã cho họ quyền tự do di chuyển bất cứ nơi nào họ muốn trên mạng nội bộ của bạn.
Bây giờ trong khi đa số chúng tôi chắc chắn không có tin tặc độc hại cho bạn bè, điều đó không có nghĩa là không thận trọng khi thiết lập mạng của chúng tôi để khách ở nơi họ thuộc về (bên truy cập internet miễn phí của hàng rào) và không thể đi nơi họ không (trên máy chủ nhà / bên cổ phần cá nhân của hàng rào).
Một lý do thực tế khác để chạy AP với hai SSID là khả năng không chỉ giới hạn nơi AP khách có thể đi, mà là khi nào. Ví dụ, nếu bạn là cha mẹ muốn hạn chế thời gian con bạn có thể ở lại trên máy tính, bạn có thể đặt máy tính, máy tính bảng, v.v. trên AP phụ và đặt giới hạn truy cập internet cho toàn bộ phụ -SSID sau, nói, 9PM.
Tôi cân nhưng gi?
- 1 bộ định tuyến tương thích DD-WRT với bản sửa đổi phần cứng thích hợp (chúng tôi sẽ chỉ cho bạn cách kiểm tra)
- 1 bản sao cài đặt DD-WRT trên bộ định tuyến đã nói
Đây không phải là cách duy nhất để thiết lập SSID kép cho mạng gia đình của bạn. Chúng tôi sẽ chạy SSID của chúng tôi ra khỏi bộ định tuyến không dây Linksys WRT54G phổ biến. Nếu bạn không muốn gặp rắc rối khi flash firmware tùy chỉnh trên router cũ và thực hiện các bước cấu hình phụ, bạn có thể thay thế:
- Mua bộ định tuyến mới hơn hỗ trợ SSID kép ngay trên hộp như ASUS RT-N66U.
- Mua bộ định tuyến không dây thứ hai và định cấu hình nó làm điểm truy cập độc lập.
Trừ khi bạn đã sở hữu một bộ định tuyến hỗ trợ SSID kép (trong trường hợp này bạn có thể bỏ qua hướng dẫn này và chỉ đọc hướng dẫn sử dụng cho thiết bị của bạn) cả hai tùy chọn này đều lý tưởng vì bạn phải chi thêm tiền và trong trường hợp tùy chọn thứ hai, thực hiện một loạt các cấu hình phụ bao gồm thiết lập AP phụ để không can thiệp và / hoặc chồng lấp với AP chính của bạn.
Trong tất cả những điều đó, chúng tôi rất vui khi sử dụng phần cứng mà chúng tôi đã có (bộ định tuyến không dây Linksys WRT54G) và bỏ qua tiền mặt và điều chỉnh mạng Wi-Fi bổ sung.
Làm thế nào để tôi biết Router của tôi tương thích?
Khi bạn đã thiết lập bộ định tuyến của mình tương thích với DD-WRT, chúng tôi cần kiểm tra số phiên bản của chip của bộ định tuyến. Ví dụ, nếu bạn có một bộ định tuyến Linksys thực sự, nó có thể là một bộ định tuyến khả thi hoàn toàn theo mọi cách nhưng con chip có thể không hỗ trợ các SSID kép (mà làm cho nó không tương thích với hướng dẫn).
Có hai mức độ tương thích liên quan đến số sửa đổi của bộ định tuyến. Một số bộ định tuyến có thể thực hiện nhiều SSID nhưng chúng không thể chia các SSID thành các điểm truy cập độc đáo hoàn toàn khác nhau (ví dụ: địa chỉ MAC duy nhất cho mỗi SSID). Trong một số trường hợp, điều này có thể gây ra sự cố với một số thiết bị Wi-Fi khi chúng bị nhầm lẫn với SSID (vì cả hai đều có cùng địa chỉ MAC) nên sử dụng. Rất tiếc, không có cách nào để dự đoán thiết bị nào sẽ hoạt động sai trên mạng của bạn để chúng tôi không thể đề xuất rằng bạn tránh kỹ thuật được nêu trong hướng dẫn này nếu bạn thấy mình có thiết bị không hỗ trợ SSID rời rạc.
Bạn có thể kiểm tra số sửa đổi bằng cách thực hiện tìm kiếm Google cho mô hình cụ thể của bộ định tuyến cùng với số phiên bản được in trên nhãn thông tin (thường được tìm thấy ở mặt dưới của bộ định tuyến) nhưng chúng tôi thấy kỹ thuật này không đáng tin cậy (nhãn có thể bị lạm dụng, thông tin được đăng trực tuyến liên quan đến mô hình và ngày sản xuất có thể không chính xác, v.v …)
Cách đáng tin cậy nhất để kiểm tra số lượng bản sửa đổi của chip bên trong bộ định tuyến của bạn là thực sự thăm dò bộ định tuyến để tìm hiểu. Để làm như vậy, bạn cần thực hiện các bước sau.Mở ứng dụng khách telnet (chương trình đa mục đích như PuTTY hoặc lệnh Windows Telnet cơ bản) và telnet đến địa chỉ IP của bộ định tuyến (ví dụ: 192.168.1.1). Đăng nhập vào router bằng cách sử dụng đăng nhập và mật khẩu quản trị viên của bạn (lưu ý rằng đối với một số router ngay cả khi bạn nhập “admin” và “mypassword” để đăng nhập vào cổng quản lý dựa trên web trên router, bạn có thể phải nhập vào “root” "Và" mypassword "để đăng nhập qua telnet).
nvram show|grep corerev
Điều này sẽ trả lại số sửa đổi lõi của (các) chip trong bộ định tuyến của bạn theo định dạng sau:
wl0_corerev=9 wl_corerev=
Ý nghĩa của đầu ra ở trên là router của chúng ta có một radio (wl0, không có wl1) và phiên bản lõi của chip radio đó là 9. Làm thế nào để bạn hiểu đầu ra? Số sửa đổi, trong mối quan hệ với hướng dẫn của chúng tôi, có nghĩa là:
- 0-4 Bộ định tuyến không hỗ trợ nhiều SSID (với số nhận dạng duy nhất hoặc cách khác)
- 5-8 Router hỗ trợ nhiều SSID (nhưng không hỗ trợ các mã định danh duy nhất)
- 9+ Router hỗ trợ nhiều SSID (với số nhận dạng duy nhất)
Như bạn thấy từ đầu ra lệnh của chúng tôi ở trên, chúng tôi đã may mắn. Chip của bộ định tuyến của chúng tôi là bản sửa đổi thấp nhất hỗ trợ nhiều SSID có số nhận dạng duy nhất.
Khi bạn đã xác định rằng bộ định tuyến của mình có thể hỗ trợ nhiều SSID, bạn sẽ cần phải cài đặt DD-WRT. Nếu router của bạn được vận chuyển với DD-WRT hoặc bạn đã cài đặt nó, thật tuyệt vời. Nếu bạn chưa cài đặt nó, chúng tôi khuyên bạn nên tải xuống phiên bản thích hợp từ trang web DD-WRT và làm theo hướng dẫn của chúng tôi: Biến Bộ định tuyến Trang chủ của bạn thành Bộ định tuyến Siêu với DD-WRT.
Ngoài hướng dẫn của chúng tôi, chúng tôi không thể nhấn mạnh giá trị của DD-WRT wiki mở rộng và xuất sắc. Đọc trên bộ định tuyến cụ thể của bạn và các phương pháp hay nhất để flash firmware mới vào đó.
Cấu hình DD-WRT cho nhiều SSID
Mở trình duyệt web của bạn trên máy tính được kết nối với bộ định tuyến qua Ethernet. Điều hướng đến IP bộ định tuyến mặc định (thường là 198.168.1.1). Trong giao diện DD-WRT, điều hướng đến Wireless -> Basic Settings (như đã thấy trong hình trên). Bạn có thể thấy rằng AP Wi-Fi hiện tại của chúng tôi có SSID “HTG_Office”.
Ở cuối trang, trong phần "Giao diện ảo", nhấp vào nút Thêm. Phần "Giao diện ảo" trống trước đó sẽ mở rộng với mục nhập được điền trước này:
Bạn có thể đổi tên SSID thành bất kỳ thứ gì bạn muốn. Để phù hợp với quy ước đặt tên hiện tại của chúng tôi (và để làm cho cuộc sống trở nên dễ dàng hơn đối với khách hàng của chúng tôi), chúng tôi sẽ thay đổi SSID từ mặc định thành “HTG_Guest” –tính năng AP Wi-Fi chính của chúng tôi là “HTG_Office”.
Tắt tính năng phát SSID không dây. Không chỉ có nhiều máy tính cũ hơn và các thiết bị hỗ trợ Wi-Fi không phát rất đẹp với SSID bí mật mà mạng khách mời ẩn không phải là mạng khách mời rất hữu ích.
Cách ly AP là cài đặt bảo mật mà chúng tôi sẽ để bạn tùy ý bật hoặc tắt. Nếu bạn kích hoạt tính năng cách ly AP, mọi máy khách trên mạng Wi-Fi của khách sẽ hoàn toàn tách biệt với nhau. Từ quan điểm bảo mật, điều này thật tuyệt vời, vì nó giữ một người dùng độc hại không bị lừa đảo trên các máy khách của những người dùng khác. Đó là nhiều hơn một mối quan tâm cho các mạng công ty và các điểm nóng công cộng, tuy nhiên. Thực tế, điều đó cũng có nghĩa là nếu cháu gái và cháu trai của bạn kết thúc và họ muốn chơi trò chơi được kết nối Wi-Fi trên các đơn vị Nintendo DS của họ, các đơn vị DS của họ sẽ không thể gặp nhau. Trong hầu hết các ứng dụng văn phòng và gia đình, có rất ít lý do để cô lập các AP.
Tùy chọn Unbridged / Bridged trong Cấu hình mạng đề cập đến việc AP Wi-Fi có được bắc cầu hay không với mạng vật lý. Như phản trực giác như thế này, bạn cần phải đặt nó thành Bridged. Thay vì để cho việc xử lý phần vững của bộ định tuyến (thay vì vụng về) quá trình hủy liên kết, chúng tôi sẽ tự giải mã mọi thứ với kết quả sạch hơn và ổn định hơn.
Khi bạn đã thay đổi SSID của mình và xem lại cài đặt, hãy nhấp vào Lưu.
Tiếp theo điều hướng đến Không dây -> Bảo mật không dây:
Bây giờ là thời điểm tuyệt vời để xác nhận rằng các thiết bị Wi-Fi lân cận có thể thấy cả AP chính và phụ. Mở giao diện Wi-Fi trên điện thoại thông minh là cách tuyệt vời để kiểm tra nhanh. Dưới đây là chế độ xem từ trang cấu hình Wi-Fi của điện thoại Android của chúng tôi:
Bước tiếp theo là bắt đầu quá trình tách SSID trên mạng bằng cách gán một dải địa chỉ IP duy nhất cho các thiết bị Wi-Fi của khách.
Điều hướng đến Thiết lập -> Mạng. Trong phần “Cầu nối”, nhấp vào nút Thêm.
Chỉ định mạng khách cho cầu
Lưu ý: nhờ người đọc Joel đã chỉ ra phần này và cung cấp cho chúng tôi hướng dẫn để thêm vào hướng dẫn.
Trong “Gán cho cầu”, nhấp vào “Thêm”. Chọn cây cầu mới bạn đã tạo từ trình đơn thả xuống đầu tiên và ghép nối với giao diện “wl0.1 ″.
Giờ hãy nhấp vào “Lưu” và “Áp dụng cài đặt”.
Lưu ý: Nếu Wi-Fi AP bạn định cấu hình cho SSID kép là khả năng sao lưu trên thiết bị khác (ví dụ: bạn có hai bộ định tuyến Wi-Fi trong nhà hoặc văn phòng để mở rộng vùng phủ sóng và thiết bị SSID của bạn trên là số 2 trong chuỗi), bạn sẽ cần phải thiết lập DHCP trong phần Dịch vụ. Nếu điều này giống như thiết lập của bạn thì đã đến lúc điều hướng đến phần Dịch vụ -> Dịch vụ.
# Enables DHCP on br1 interface=br1 # Set the default gateway for br1 clients dhcp-option=br1,3,192.168.2.1 # Set the DHCP range and default lease time of 24 hours for br1 clients dhcp-range=br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Nhấp vào “Áp dụng cài đặt” ở cuối trang.
Cho dù bạn đã sử dụng kỹ thuật một hay hai, hãy đợi vài phút để kết nối với SSID khách mới của bạn. Khi bạn kết nối với SSID khách, hãy kiểm tra địa chỉ IP của bạn. Bạn nên có một IP trong phạm vi chúng tôi đã chỉ định với ở trên. Một lần nữa, thật tiện lợi khi sử dụng điện thoại thông minh của bạn để kiểm tra:
Tuy nhiên, vấn đề duy nhất là AP phụ vẫn có quyền truy cập vào tài nguyên của mạng chính. Điều này có nghĩa là tất cả các máy in được nối mạng, chia sẻ mạng và những thứ như vậy vẫn hiển thị (bạn có thể kiểm tra nó ngay bây giờ, cố gắng tìm một mạng chia sẻ từ mạng chính của bạn trên AP phụ).
nếu bạn muốn khách trên AP thứ cấp có quyền truy cập vào những thứ này (và đang làm theo hướng dẫn để bạn có thể thực hiện các tác vụ kép SSID khác như hạn chế băng thông của khách hoặc thời gian họ được phép sử dụng Internet) hướng dẫn.
Chúng tôi tưởng tượng rằng hầu hết các bạn đều muốn giữ khách hàng của mình không bị chọc vào mạng của bạn và nhẹ nhàng dồn chúng vào việc bám vào Facebook và gửi email. Trong trường hợp đó, chúng ta cần hoàn thành quá trình bằng cách hủy liên kết AP thứ cấp khỏi mạng vật lý.
#Removes guest access to physical network iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP #Removes guest access to the router's config GUI/ports iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Nhấp vào "Lưu Tường lửa" và khởi động lại bộ định tuyến của bạn.
Các quy tắc tường lửa bổ sung này đơn giản dừng mọi thứ trên hai bridge (mạng riêng và mạng công cộng / khách) từ việc nói cũng như từ chối bất kỳ liên hệ nào giữa một máy khách trên mạng khách và các cổng telnet, SSH hoặc web server trên bộ định tuyến (do đó hạn chế chúng không cố truy cập vào các tệp cấu hình của bộ định tuyến).
Một từ sử dụng lệnh shell và các script khởi động, tắt máy và tường lửa. Đầu tiên, các lệnh IPTABLES được xử lý theo thứ tự. Thay đổi thứ tự của các dòng cá nhân có thể thay đổi đáng kể kết quả. Thứ hai, có hàng chục hàng chục router hỗ trợ bởi DD-WRT và tùy thuộc vào bộ định tuyến và cấu hình cụ thể của bạn, bạn có thể cần phải tinh chỉnh các lệnh IPTABLES ở trên. Kịch bản lệnh đã làm việc cho router của chúng ta và nó sử dụng các lệnh có thể lớn nhất và đơn giản nhất để hoàn thành nhiệm vụ, vì vậy nó sẽ làm việc cho hầu hết các router. Nếu không, chúng tôi khuyên bạn nên tìm kiếm mô hình bộ định tuyến cụ thể của bạn trong các diễn đàn thảo luận DD-WRT và xem liệu những người dùng khác có gặp phải vấn đề tương tự như bạn hay không.
Tại thời điểm này, bạn đã hoàn tất cấu hình và sẵn sàng sử dụng SSID kép và tất cả các lợi ích đi kèm với việc chạy chúng. Bạn có thể dễ dàng đưa ra mật khẩu khách (và thay đổi theo ý muốn), thiết lập các quy tắc QoS cho mạng khách, và nếu không sửa đổi và hạn chế mạng khách theo những cách sẽ không ảnh hưởng đến mạng chính của bạn trong ít nhất.
