hur du aktiverar en gäst accesspunkt i det trådlösa nätverket

Dela din Wi-Fi med gäster är bara artig sak att göra, men det betyder inte att du vill ge dem vidöppna tillgång till hela ditt nätverk. Läs vidare som vi visar hur du konfigurerar routern för dubbla SSID och skapa en separat (och säker) accesspunkt för dina gäster.

Det finns flera mycket praktiska skäl till att vilja ställa upp ditt hemnätverk att ha dubbla accesspunkter (AP).

Anledningen med den mest praktiska tillämpningen för det största antalet människor är helt enkelt isolera hemnätverket så att gästerna inte kan komma åt saker som du önskar att förbli privata. Standardkonfigurationen för nästan varje hem Wi-Fi-åtkomstpunkt / router är att använda en enda trådlös åtkomstpunkt och någon behörighet att komma åt AP får tillgång till nätverket som om de vore wired rakt in i AP via Ethernet.

Med andra ord om du ger din vän, granne, hus gäst, eller vem lösenordet till ditt Wi-Fi AP, har också gett dem tillgång till din nätverksskrivare, alla öppna aktier i nätverket, osäkra enheter i nätverket, och så vidare. Du kanske bara ville låta dem kontrollera sin e-post eller spela ett spel på nätet, men du har gett dem friheten att ströva omkring överallt de vill på det interna nätverket.

Nu medan de flesta av oss verkligen inte har hackare för vänner, betyder det inte att det inte är klokt att ställa in våra nätverk så att gästerna stanna där de hör hemma (på fri tillgång till internet sida av staketet) och kan inte gå där de inte (på hemmaservern / personliga aktier sida av staketet).

En annan praktisk anledning till att köra en AP med två SSID är förmågan att inte bara begränsa där gästen AP kan gå, men när. Om du är förälder till exempel vill att begränsa hur sent barnet kan stanna upp dinking runt på datorn kan du sätta sin dator, surfplatta, etc. på den sekundära AP och ange begränsningar för tillgång till internet för hela sub -SSID efter, säg, 9:00.

Vår handledning idag är inriktad på att använda en DD-WRT kompatibel router för att uppnå dubbla SSID. Som sådan behöver du följande saker

Detta är inte det enda sättet att upprätta dubbla SSID för ditt hemmanätverk. Vi kommer att köra våra SSID från den allestädes närvarande wrt54g trådlös router. Om du inte vill gå igenom besväret med blinkande custom firmware på din gamla router och gör extra konfigurationssteg, du kan istället

Om du inte redan äger en router som stödjer dubbla SSID (i vilket fall kan du hoppa över den här guiden och bara läsa manualen för din enhet) båda dessa alternativ är mindre än perfekt att du har att spendera extra pengar och när det gäller det andra alternativet, göra en massa extra konfigurering inklusive inrätta sekundära AP att inte störa och / eller överlappa med den primära AP.

Mot bakgrund av allt detta, var vi mer än gärna använda hårdvara vi redan hade (den wrt54g Wireless Router) och hoppa över utlägg av kontanter och extra Wi-Fi-nätverk justeringar.

Det finns två viktiga kompatibilitet element som du behöver för att checka in för att få framgång med den här guiden. Den första, och mest elementära, är att kontrollera att just din router har DD-WRT stöd. Du kan besöka DD-WRT wiki Router Database här för att kolla.

När du har fastställt att din router är kompatibel med DD-WRT, måste vi kontrollera versionsnummer för din router chip. Om du har en riktigt gammal Linksys router, till exempel, kan det vara en UTVECKLINGSDUGLIG dugliga router på alla sätt, men chipet kan inte stödja dubbla SSID (vilket gör det i grunden oförenligt med handledningen).

Det finns två grader av kompatibilitet med avseende på routerns versionsnummer. Vissa routrar kan göra flera SSID men de kan inte dela upp SSID till olika absolut unika åtkomstpunkter (t ex en unik MAC-adress för varje SSID). I vissa situationer kan detta orsaka problem med vissa Wi-Fi-enheter när de blir förvirrade om vilken SSID (eftersom båda har samma MAC-adress) de bör använda. Tyvärr finns det inget sätt att förutsäga vilka enheter kommer att bära sig illa åt på nätverket så att vi kan inte platta ut rekommenderar att du undviker tekniken som beskrivs i den här guiden om du upptäcker att du har en enhet som inte stöder diskreta SSID.

Du kan kontrollera versionsnummer genom att utföra en Google-sökning för den specifika modellen av din router tillsammans med versionsnumret tryckt på märkningen (vanligtvis på undersidan av routern) men vi har hittat denna teknik för att vara opålitliga (etiketter kan tillämpat, information som läggs på nätet om modellen och tillverkningsdatum kan vara felaktig, etc.)

Det mest tillförlitliga sättet att kontrollera versionsnummer av chip i din router är att faktiskt hämta routern för att ta reda på. För att göra detta måste du utföra följande steg. Öppna en Telnet-klient (antingen ett mångsidigt program som PuTTY eller grundläggande Windows Telnet-kommando) och telnet till IP-adressen för din router (t.ex. 192.168.1.1). Logga in på routern med administratörsinloggningsnamn och lösenord (vara medveten om att för vissa routrar även om du skriver in “admin” och “mittlösenord” för att logga in till det webbaserade administrationsportal på routern, kan du behöva skriva in “root “och” mittlösenord “för att logga in via telnet).

När du är inloggad på routern genom att skriva följande kommando vid prompten

NVRAM show | grep corerev

Detta kommer att åter kärnan versionsnummer av chip (s) i din router i följande format

wl0_corerev = 9; wl_corerev =

Vad ovanstående utgång innebär att vår router har en radio (wl0, det finns ingen WL1) och att kärn översyn av radiochip är 9. Hur tolkar du produktionen? Versionsnumret, i förhållande till vår guide, innebär följande

Som ni kan se från vår kommandoutdata ovan, vi lucked. Vår router chip är den lägsta revidering som stöder flera SSID med unika identifierare.

När du har fastställt att din router kan stödja flera SSID måste du installera DD-WRT. Om routern levereras med DD-WRT eller du redan har installerat det, fantastiskt. Om du inte redan har installerat det rekommenderar vi att ladda ner lämplig version från webbplatsen DD-WRT och efter tillsammans med vår handledning: förvandla ditt hem router till en Super-Powered router med DD-WRT.

Förutom vår handledning, kan vi inte betona värdet av den omfattande och utmärkt underhålls DD-WRT wiki. Läs upp på just din router och bästa praxis för att blinka en ny firmware till det där.

Du har en kompatibel router, har du blixtrade DD-WRT till det, nu är det dags att sätta igång att inrätta den andra SSID. Precis som du bör alltid blinka ny firmware över en trådbunden anslutning, rekommenderar vi att arbeta på trådlös installation över ett trådbundet ansluta så att ändringarna inte tvinga din trådlösa dator utanför nätverket.

Öppna upp din webbläsare på en dator som är ansluten till routern via Ethernet. Navigera till standardroutern IP (vanligtvis 198.168.1.1). Inom DD-WRT-gränssnitt, navigera till Wireless -> Grundinställningar (som ses i skärmbilden ovan). Du kan se att vår befintliga Wi-Fi-AP har SSID “HTG_Office”.

Längst ner på sidan, i avsnittet “Virtuella gränssnitt”, klicka på knappen Lägg till. Den tidigare tomma avsnittet “Virtuella gränssnitt” kommer att expandera med detta förhandsifyllt post

Denna virtuella gränssnittet åkte snålskjuts på din befintliga radiochip (notera wl0.1 i titeln på den nya posten). Även stenografi i SSID indikerade detta är “VAP” i slutet av standard-SSID står för Virtual Access Point. Låt oss bryta ner resten av posterna i den nya virtuella gränssnitt.

Du kan byta namn på SSID till vad du vill. I linje med vår nuvarande namnkonvention (och för att göra livet lätt på våra gäster) vi kommer att ändra SSID från att “HTG_Guest” standard -Kom ihåg titt Wi-Fi AP är “HTG_Office”.

Lämna Wireless SSID Broadcast aktiverad. Inte bara göra många äldre datorer och Wi-Fi-aktiverade enheter inte spela mycket trevligt med hemliga SSID men ett dolt gästnätverk är inte en mycket inbjudande / användbar gästnätverk.

AP Isolering är en säkerhetsinställning som vi lämnar på din diskretion för att aktivera eller inaktivera. Om du aktiverar AP Isolation varje klient på din gäst Wi-Fi-nätverk kommer att vara helt isolerade från varandra. Ur säkerhetssynpunkt här är bra, eftersom det håller en illvillig användare från peta runt på klienterna för andra användare. Det är mer av en oro för företagsnätverk och offentliga hotspots, dock. Praktiskt taget som också innebär att om din systerdotter och brorson är över och de vill spela en Wi-Fi-länkade spel på sina Nintendo DS-enheter, kommer deras DS-enheter inte kunna se varandra. I de flesta hem och mindre kontor finns det ingen anledning att isolera AP.

Den bryggor / Brygg alternativ i nätverkskonfiguration hänvisar till huruvida Wi-Fi AP kommer att överbryggas eller inte det fysiska nätet. Så bakvända eftersom detta är, måste du lämna den inställd på överbryggas. Hellre än att låta handtaget routern firmware (snarare klumpigt) kopplingen har tagits bort processen, kommer vi att manuellt unbridge allt själva med en renare och mer stabil resultatet.

När du har ändrar SSID och granskas inställningarna klickar du på Spara.

Nästa navigera över Wireless -> Trådlös säkerhet

Som standard finns det ingen säkerhet på andra AP. Du kan lämna det som sådant temporärt för teständamål (vi lämnade vårt öppna ända till slutet) att rädda dig från att knappa in lösenordet på dina testanordningar. Vi vet inte, men rekommenderar att du lämnar den permanent öppen. Oavsett om du väljer att lämna det öppet eller inte vid denna tidpunkt, måste du klicka på Spara och sedan på Tillämpa inställningar för de förändringar vi gjort både i föregående avsnitt och här ska träda i kraft. Ha tålamod, kan det ta upp till en 2 minuter för att ändringarna ska träda i kraft.

Nu är en bra tid för att bekräfta att närliggande Wi-Fi-enheter kan se både de primära och sekundära AP. Öppna Wi-Fi-gränssnittet på en smartphone är ett bra sätt att snabbt kontrollera. Här är utsikten från vår Android-telefon Wi-Fi config sida

Vi kan inte ansluta till den sekundära AP ännu eftersom vi måste göra några fler ändringar i routern, men det är alltid trevligt att se dem båda i listan.

Nästa steg är att påbörja processen med att separera SSID i nätverket genom att tilldela ett unikt utbud av IP-adresser till gästen Wi-Fi-enheter.

Gå till Inställningar -> Nätverk. I avsnittet “Bridging”, klicka på knappen Lägg till.

Först ändra inledande spåret till “BR1”, lämna resten av de värden som samma. Du kommer inte att kunna se IP / subnät inträde ses över ännu. Klicka på “Apply Settings”. Den nya bron kommer att vara i bryggsektion med IP och subnet sektioner tillgängliga. Ställ in IP-adressen till en värde av din vanliga nätverk IP (t ex ditt primära nätverks är 192.168.1.1, så gör detta värde 192.168.2.1). Ställ in nätmask 255.255.255.0. Klicka på “Apply Settings” längst ner på sidan igen.

Efter ändringarna tillämpas, rulla längst ned på sidan en gång till för dhcpd avsnittet. Klicka på “Lägg till”. Växla första spåret till “BR1”. Lämna resten av inställningarna samma (som visas i skärmdumpen nedan).

Klicka på “Apply Settings” en gång till. När du är klar alla uppgifter i Inställningar -> Nätverk sida bör vara bra att gå för anslutning och DHCP uppdrag.

Obs: Om Wi-Fi AP du konfigurerar för dubbla SSID är piggy uppbackning på en annan enhet (t.ex. du har två Wi-Fi-routrar i hemmet eller på kontoret för att utöka din täckning och en du ställer gästen SSID upp på är # 2 i kedjan) måste du ställa in DHCP i avsnittet tjänster. Om detta låter som din installation är det dags att gå till tjänsterna -> Tjänster avsnitt.

I avsnittet tjänster måste vi lägga till lite kod till sektionen dnsmasq så att routern har tilldelats dynamisk IP-adresser till enheter ansluta till gästnätverket. Rulla ner dnsmasq avsnittet. I “Extra dnsmasq Options” box, klistra in följande kod (minus # kommentarer som förklarar funktionaliteten på varje rad)

# Aktiverar DHCP på BR1, interface = BR1; # Ställ in standard-gateway för BR1 kunder, dhcp-option = br1,3,192.168.2.1; # Ställ in DHCP område och standardlånetiden på 24 timmar för BR1 kunder, dhcp-range = BR1 , 192.168.2.100,192.168.2.150,255.255.255.0,24h

Klicka på “Apply Settings” längst ner på sidan.

Oavsett om du har använt tekniken en eller två, vänta några minuter att ansluta till ny gäst SSID. När du ansluter till gästen SSID, kontrollera din IP-adress. Du bör ha en IP inom intervallet vi anges ovan. Återigen är det praktiskt att använda din smartphone för att kontrollera

Allt ser bra ut. Den sekundära AP tilldela dynamiska IP-adresser i ett lämpligt område, kan vi få på Internet vi är att göra en anteckning här, stor framgång.

Det enda problemet är dock att den sekundära AP fortfarande har tillgång till de resurser som primära nätverket. Det innebär att alla nätverksanslutna skrivare, nätverksresurser, och så är fortfarande synliga (du kan testa det nu, försöka hitta en nätverksresurs från ditt primära nätverk på den sekundära AP).

Om du vill att gästerna på den sekundära AP att få tillgång till dessa saker (och följer tillsammans med handledning så att du kan göra andra dubbla SSID uppgifter som begränsar gäst bandbredd eller gånger de får använda Internet) då är du effektivt gjort med handledning.

Vi föreställer oss att de flesta av er skulle vilja hålla dina gäster från peta runt nätverket och försiktigt fösa dem mot att hålla sig till Facebook och e-post. I så fall måste vi avsluta processen genom att bryta länken sekundär AP från det fysiska nätverket.

Gå till Administration -> Kommandon. Du ser ett område märkt “kommandoskal”. Klistra in följande kommandon, sans # kommentar linjer i det redigerbara området

#Removes Gäst tillgång till fysiska nätet, iptables -I FRAMÅT -i BR1 -o br0 -m state –state NEW -j DROP, iptables -I FRAMÅT -i br0 -o BR1 -m state –state NEW -j DROP; #Removes gäster tillgång till routerns konfigurations GUI / portar, iptables -I INPUT -i BR1 p tcp –dport telnet -j REJECT –reject-med tcp-reset, iptables -I INPUT -i BR1 p tcp – dport ssh -j REJECT –reject-med tcp-reset, iptables -I INPUT -i BR1 p tcp –dport www -j REJECT –reject-med tcp-reset, iptables -I INPUT -i BR1 p tcp –dport https -j REJECT –reject-med tcp-reset

Klicka på “Spara Firewall” och starta om routern.

Dessa ytterligare brandväggsregler enkla stoppa allt på de två broarna (det privata nätverket och det offentliga / gästnätverket) från att prata samt avvisar all kontakt mellan en klient på gästnätverket och telnet, SSH, eller webbserver portarna på router (vilket begränsar dem från att försöka få tillgång till routerns konfigurationsfiler alls).

Ett ord om att använda kommandoskalet och start, avstängning och brandväggs skript. Först är IPTABLES kommandon bearbetas i ordning. Ändra ordningen på de individer linjerna kan avsevärt ändra resultatet. För det andra, det finns dussintals på dussintals routrar som stöds av DD-WRT och beroende på din specifika router och och konfiguration kan du behöva justera IPTABLES kommandon ovan. Skriptet arbetade för vår router och den använder bredaste och enklaste möjliga kommandon för att utföra uppgiften så det borde fungera för de flesta routrar. Om den inte gör det, starkt skulle uppmanar vi dig att söka efter specifika router modell i DD-WRT diskussionsforum och se om andra användare har upplevt samma problem som du har.

Vid denna punkt du är klar med konfigurationen och redo att njuta av dubbla SSID och alla de fördelar som kommer med att köra dem. Du kan enkelt ge ut en gäst lösenord (och ändra det efter behag), inrättades QoS regler för gästnätverket, och på annat sätt modifiera och begränsa gästnätverket på ett sätt som inte kommer att påverka din primära nätverks i minst.

Hur gör du blockerar någon åker snålskjuts på gäst wifi konto? Säg någon på lokala RV park med en nätverks extender

Tja, kan du se till att använda WPA2 kryptering och använder en rimlig lösenord (något lång men lätt att berätta för folk). Som hindrar människor från att använda den, med undantag för dina vänner.

Används i en miljö SOHO, är detta PCI-kompatibel?

Hur gör du blockerar någon åker snålskjuts på gäst wifi konto? Säg någon på lokala RV park med en nätverks extender

Liksom Geek sagt, kan du ställa någon säkerhet på andra SSID kan du ställa in på den primära. Det enda skälet till att vi inte genast säkerheten i handledningen var att göra det snabbare att ta massor av Wi-Fi-aktiverade enheter runt vårt kontor och testa den sekundära SSID. Du kan låsa den med en gäst endast lösenord (vilket är mycket praktiskt eftersom du då kan ändra gäst lösenord när du känner för det utan att behöva gå igenom och återställa lösenordet på alla dina egna enheter).

Används i en miljö SOHO, är detta PCI-kompatibel?

Jag är inte en advokat / PCI-efterlevnad enforcer men om det är PCI-kompatibel att köra dina kortuppgifter via en vanlig krypterad SSID / Wi-Fi AP så ska det inte finnas någon anledning att det inte är kompatibel göra det här sättet. Det enda som jag föreslår är att du se två saker 1) att du se till att de brandväggsregler är i kraft och att ingenting från det sekundära nätverket kan komma åt det primära nätverks och 2) att du använder stark säkerhet på både primära och sekundära SSID.

Bra artikel! Om man har en MAC-filter på den primära AP, gör dessa regler gäller också för det virtuella gränssnittet (andra AP)? Om så är fallet, är det på något sätt möjligt att ha MAC filter bara i det privata nätverket och inte ha det på gästnätverk? Tack igen för en bra artikel!

Bara tittade in modemet tillhandahålls av Telstra (den australiska telco). Det är en technicolor tg587n. Har två gästkonton, de behöver bara en bock i rutan för att aktivera. De har åtta siffror slumpmässiga lösenord som redan tillämpas, och arbeta på ett annat nätverk till hemnätverket, dvs hem 10.x.x.x, gäst netto, 192.168.x.x.Not ett stort fan av Telstra, men var förvånad över att se denna nivå av hjälpsamhet.

@Petedd Från vad jag kan säga, att läsa DD-WRT dokumentation och forum, det beror på om routern är Broadcom eller Atheros chip baserade.

Broadcom marker använder en filterlistan och alla virtuella SSID nedanför att ärva filtren. Atheros chips kan använda flera filterlistor.

Detta innebär att om du har en Broadcom chip (finns i de flesta routrar) måste du lägga till gästerna MAC-adresser till huvudfilterlistan för att ge dem tillgång till gästnätverket. Det är kontraproduktivt att hela idén med att ha en gästnätverk. Jag skulle föreslå att dika MAC filter helt och hållet. Så länge du använder stark kryptering som WPA-2 MAC-filtrering tillför lite säkerhet att hela installationen (och i detta fall, en hel del besvär).

Jag testade och fann att på min Buffalo router med DD-WRT som separerar mac filter genereras för varje BR så jag gyllene med att ha MAC filter på “insidan” AP och bara ett lösenord på “gäst” AP. Återigen, bra artikel TACK!

Grymt bra! Du lucked med bara konfigurationen rätt hårdvara / chip för jobbet till hands. =)

Hjälp jag är ansluten via Ethernet-kabel och nu kan jag inte logga in på routern. Brandväggen hindrar mig till connect.I gjorde en förändring från anvisningarna 192.168.1.3 i stället för 192.168.2.1 Min primära router är inställd på 192.168.1.1 och den andra routern är inställd på 192.168.1.2 Kan du berätta hur man kommer åt min router nu. Jag höll på att upprätta en wrt54g Wireless Router precis som den i artikeln.

Detta är en utmärkt handledning. Tack!

En sak som jag kämpade med var att få gästen gränssnitt för att tilldela den alternativa IP-intervall. När jag tilldelat bron till VAP (i avsnittet “Tilldela till Bridge”), det fungerade som en charm. Har du glömt att nämna att steg?

Faktiskt, detta är inte säker på grund av bryggläge.

Alla användare av gästnätverk behöver göra är att ändra sin IP-adress från DHCP Manuell och själv välja en IP-adress som skulle gälla på “interna” nätverk.

Bam! Gäst har nu full tillgång till det interna nätverket.

Artikeln är fantastisk. Är nettoresultatet att jag kan köra en router i min källare och en router på min huvudsakliga våningen, men erbjuder både min familj AP tillgång (fortfarande dela bland våra servrar och varandra) på både nere AP och bottenvåningen AP samtidigt kör gäst AP på samma routrar, men inte tillåta åtkomst till min primära nätverk med mina servrar och varandras datorer. Mitt problem är att min primära router med min brandvägg är nere i längst hörnet av mitt hus och mina gäster kan inte få en bra signal. Jag vill inte att ansluta en separat extra router på entréplan för bara gäster och sedan har en annan router på bottenvåningen för min familj. Detta låter som det kommer att göra jobbet och faktum är att jag skulle kunna lägga till en tredje router på min 2: a våningen. Naturligtvis med standard firmware på routrar, kan du bara verkligen aktivera gäst endast på den primära routern att segregera gäster endast extern tillgång till internet och inte intranät. Jag har åtminstone 5 olika routrar som ständigt spelar runt. Jag har även en gigabit företag hanterad switch i källaren, men återigen jag inte vill ha för att isolera en hel router på en VLAN. Någon hjälp och klarhet skulle uppskattas. Jag köpte nyligen Netgear R7000 eftersom det säger att det kommer att stödja OpenWRT, så jag funderar på att köpa tre av dessa och ansluta dem som beskrivs i den här artikeln.

Jag har gått igenom artikeln två gånger och jag hålla med ett problem. När jag ansluter till gästen AP jag fortfarande få en ip som finns på min LAN. Så i stället för att få en ip av säg 192.168.2.2 jag fortfarande få 192.168.1.2 som är min privata LAN. Vad gör jag fel? Jag använder dd-wrt aktiverat Buffalo router.

Jag är säker på att jag gjorde allt rätt och inte missa något. Jag försökte även att aktivera det alternativ dhcpd även om jag inte använder mer än en router. Några idéer?

Precis som vi roterar runt solen, solen roterar runt kärnan i Vintergatan, rör sig en medelhastighet på 143 miles per sekund, tar det 225 till 250 miljoner land år att färdigställa en rotation runt galaxens kärna.