Por que eu quero fazer isso?
Existem vários motivos muito práticos para querer configurar sua rede doméstica para ter pontos de acesso duplo (AP).
O motivo da aplicação mais prática para o maior número de pessoas é simplesmente isolar sua rede doméstica para que os convidados não possam acessar as coisas que você deseja que permaneçam privadas. A configuração padrão para quase todos os roteadores / pontos de acesso Wi-Fi domésticos é usar um único ponto de acesso sem fio e qualquer pessoa autorizada a acessar esse ponto de acesso receberá acesso à rede como se estivesse conectado diretamente ao ponto de acesso via Ethernet.
Em outras palavras, se você der ao seu amigo, vizinho, hóspede da casa ou quem quer que a senha do seu Wi-Fi AP, você também concedeu a eles acesso à sua impressora de rede, a compartilhamentos abertos em sua rede, dispositivos não seguros em sua rede e assim por diante. Talvez você queira apenas que eles verifiquem o e-mail ou joguem on-line, mas você terá a liberdade de fazer roaming em qualquer lugar da rede interna.
Agora, embora a maioria de nós certamente não tenha hackers mal-intencionados para amigos, isso não significa que não seja prudente configurar nossas redes para que os hóspedes permaneçam onde eles pertencem (no lado livre de acesso à internet) e não pode ir onde eles não (no lado de compartilhamento de servidor / pessoal doméstico da cerca).
Outra razão prática para executar um AP com dois SSIDs é a capacidade de não apenas restringir onde o AP convidado pode ir, mas quando. Se você é pai / mãe, por exemplo, quer restringir o quanto seu filho pode ficar acordado no computador, pode colocar o computador, o tablet etc. no ponto de acesso secundário e definir restrições de acesso à Internet para todo o sub -SSID depois, digamos, das 21h.
O que eu preciso?
- 1 roteador compatível com DD-WRT com uma revisão de hardware apropriada (mostraremos como verificar)
- 1 cópia instalada do DD-WRT no referido roteador
Esta não é a única maneira de configurar SSIDs duplos para sua rede doméstica. Vamos executar nossos SSIDs do onipresente roteador sem fio da série Linksys WRT54G. Se você não quiser passar pelo incômodo de firmware personalizado intermitente em seu roteador antigo e executar as etapas extras de configuração, poderá:
- Adquira um roteador mais recente que suporte SSIDs duplos diretamente da caixa, como o ASUS RT-N66U.
- Compre um segundo roteador sem fio e configure-o como um ponto de acesso autônomo.
A menos que você já possua um roteador que suporte SSIDs duplos (caso em que você pode pular este tutorial e apenas ler o manual do seu dispositivo), ambas as opções são menos que ideais, pois você tem que gastar dinheiro extra e, no caso de a segunda opção, faça um monte de configurações extras, incluindo a configuração do AP secundário para não interferir e / ou sobrepor seu AP principal.
À luz de tudo isso, ficamos mais do que felizes em usar o hardware que já possuíamos (o roteador sem fio da série Linksys WRT54G) e pular o desembolso de dinheiro e ajustes extras na rede Wi-Fi.
Como eu sei que meu roteador é compatível?
Depois de estabelecer que o seu roteador é compatível com o DD-WRT, precisamos verificar o número de revisão do chip do seu roteador. Se você tem um roteador Linksys muito antigo, por exemplo, ele pode ser um roteador que pode ser reparado em todos os aspectos, mas o chip pode não suportar SSIDs duplos (o que torna fundamentalmente incompatível com o tutorial).
Existem dois graus de compatibilidade em relação ao número de revisão do roteador. Alguns roteadores podem fazer vários SSIDs, mas não podem dividir os SSIDs em pontos de acesso distintos e absolutamente únicos (por exemplo, um endereço MAC exclusivo para cada SSID). Em algumas situações, isso pode causar problemas em alguns dispositivos Wi-Fi, pois eles ficam confusos sobre qual SSID (uma vez que ambos têm o mesmo endereço MAC) que devem usar. Infelizmente, não há como prever quais dispositivos se comportarão mal em sua rede, por isso, não recomendamos que você evite a técnica descrita neste tutorial, caso descubra que há um dispositivo que não oferece suporte a SSIDs discretos.
Você pode verificar o número da revisão realizando uma pesquisa no Google para o modelo específico do roteador, juntamente com o número da versão impresso na etiqueta de informações (geralmente encontrada na parte inferior do roteador), mas descobrimos que essa técnica não é confiável pode ser mal aplicado, informações publicadas on-line sobre o modelo e a data de fabricação podem ser imprecisas, etc.)
A maneira mais confiável de verificar o número de revisão do chip dentro do roteador é pesquisar o roteador para descobrir. Para fazer isso, você precisa executar as seguintes etapas.Abra um cliente telnet (seja um programa multiuso como o PuTTY ou o comando básico Telnet do Windows) e efetue o telnet para o endereço IP do seu roteador (por exemplo, 192.168.1.1). Faça o login no roteador usando seu login e senha de administrador (esteja ciente de que, para alguns roteadores, mesmo que você digite “admin” e “mypassword”), faça login no portal de gerenciamento baseado na Web no roteador.”E“mypassword”para acessar via telnet).
nvram show|grep corerev
Isso retornará o número de revisão do núcleo do (s) chip (s) em seu roteador no seguinte formato:
wl0_corerev=9 wl_corerev=
O que a saída acima significa é que nosso roteador tem um rádio (wl0, não há wl1) e que a revisão do núcleo desse chip de rádio é 9. Como você interpreta a saída? O número de revisão, em relação ao nosso guia, significa o seguinte:
- 0-4 O roteador não suporta múltiplos SSIDs (com identificadores exclusivos ou outros)
- 5-8 O roteador suporta vários SSIDs (mas não com identificadores exclusivos)
- 9+ O roteador suporta vários SSIDs (com identificadores exclusivos)
Como você pode ver em nossa saída de comando acima, nós tivemos sorte. O chip do nosso roteador é a revisão mais baixa que suporta vários SSIDs com identificadores exclusivos.
Depois de determinar que o seu roteador pode suportar vários SSIDs, você precisará instalar o DD-WRT. Se o seu roteador tiver sido enviado com o DD-WRT ou se você já o tiver instalado, é fantástico. Se você ainda não instalou, recomendamos que baixe a versão apropriada no site do DD-WRT e acompanhe nosso tutorial: Transforme seu roteador residencial em um roteador super-alimentado com DD-WRT.
Além de nosso tutorial, não podemos enfatizar o valor do wiki DD-WRT extenso e de excelente manutenção. Leia o seu roteador específico e as melhores práticas para exibir um novo firmware nele.
Configurando o DD-WRT para vários SSIDs
Abra o seu navegador da web em um computador conectado ao roteador via Ethernet. Navegue até o IP do roteador padrão (geralmente 198.168.1.1). Dentro da interface do DD-WRT, navegue até Wireless -> Basic Settings (como visto na imagem acima). Você pode ver que o nosso AP Wi-Fi existente tem o SSID “HTG_Office”.
Na parte inferior da página, na seção "Interfaces virtuais", clique no botão Adicionar. A seção "Interfaces virtuais" anteriormente vazia será expandida com essa entrada pré-preenchida:
Você pode renomear o SSID para o que quiser. De acordo com nossa convenção de nomenclatura existente (e para facilitar a vida de nossos convidados), alteraremos o SSID do padrão para "HTG_Guest" - lembramos que nosso principal AP Wi-Fi é "HTG_Office".
Deixe a transmissão SSID sem fio ativada. Não só muitos computadores antigos e dispositivos habilitados para Wi-Fi não funcionam muito bem com SSIDs secretos, mas uma rede de convidados ocultos não é uma rede de convidados muito convidativa / útil.
O isolamento de ponto de acesso é uma configuração de segurança que será deixada a seu critério para ativar ou desativar. Se você habilitar o isolamento de AP, todos os clientes da sua rede Wi-Fi de convidado ficarão totalmente isolados uns dos outros. Do ponto de vista de segurança, isso é ótimo, pois impede que um usuário mal-intencionado vasculhe os clientes de outros usuários. Isso é mais uma preocupação para redes corporativas e hotspots públicos, no entanto. Praticamente falando, isso também significa que, se sua sobrinha e sobrinho acabarem e quiserem jogar um jogo vinculado a Wi-Fi em suas unidades do Nintendo DS, seus DS não poderão se ver. Na maioria das aplicações domésticas e de pequenos escritórios, há poucas razões para isolar os APs.
A opção Unbridged / Bridged em Network Configuration refere-se ao fato de o AP Wi-Fi ser ou não ligado em ponte ou não à rede física. Por mais que isso seja contra-intuitivo, você precisa deixá-lo configurado para Bridged. Em vez de permitir que o firmware do roteador manipule (de forma bastante desajeitada) o processo de desvinculação, vamos manualmente desfazer a ponte entre nós mesmos com um resultado mais limpo e mais estável.
Depois de alterar seu SSID e revisar as configurações, clique em Salvar.
Em seguida, navegue até Wireless -> Wireless Security:
Agora é um ótimo momento para confirmar que os dispositivos Wi-Fi próximos podem ver os APs principais e secundários. Abrir a interface Wi-Fi em um smartphone é uma ótima maneira de verificar rapidamente. Esta é a visualização da página de configuração de Wi-Fi do smartphone Android:
O próximo passo é iniciar o processo de separação dos SSIDs na rede, atribuindo um intervalo exclusivo de endereços IP aos dispositivos Wi-Fi convidados.
Navegue para Setup -> Networking. Sob a seção "Bridging", clique no botão Adicionar.
Atribuir Rede Convidada ao Bridge
Nota: obrigado ao leitor Joel por apontar esta parte e nos dar as instruções para adicionar ao tutorial.
Em "Atribuir à ponte", clique em "Adicionar". Selecione a nova ponte que você criou no primeiro menu suspenso e associe-a à interface "wl0.1".
Agora clique em "Salvar" e "Aplicar configurações".
Nota: Se o ponto de acesso Wi-Fi que você está configurando para SSIDs duplos estiver fazendo backup em outro dispositivo (por exemplo, você tem dois roteadores Wi-Fi em sua casa ou escritório para estender sua cobertura e aquele em que está configurando o convidado SSID on é # 2 na cadeia) você precisará configurar o DHCP na seção Serviços. Se isso soa como sua configuração, é hora de navegar até a seção Serviços -> Serviços.
# Enables DHCP on br1 interface=br1 # Set the default gateway for br1 clients dhcp-option=br1,3,192.168.2.1 # Set the DHCP range and default lease time of 24 hours for br1 clients dhcp-range=br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Clique em "Aplicar configurações" na parte inferior da página.
Se você usou a técnica um ou dois, aguarde alguns minutos para se conectar ao seu novo convidado SSID. Quando você se conectar ao SSID convidado, verifique seu endereço IP. Você deve ter um IP dentro do intervalo especificado com o acima. Novamente, é útil usar seu smartphone para verificar:
O único problema, no entanto, é que o AP secundário ainda tem acesso aos recursos da rede primária. Isso significa que todas as impressoras em rede, compartilhamentos de rede e outras ainda estão visíveis (você pode testá-lo agora, tentar localizar um compartilhamento de rede da sua rede principal no AP secundário).
Se vocês quer os convidados no ponto de acesso secundário tenham acesso a essas coisas (e estão acompanhando o tutorial para que você possa realizar outras tarefas de SSID duplo, como restringir a largura de banda de convidados ou os horários em que eles têm permissão para usar a Internet). tutorial.
Nós imaginamos que a maioria de vocês gostaria de evitar que seus convidados fumassem a sua rede e gentilmente os levassem até o Facebook e o e-mail. Nesse caso, precisamos concluir o processo desvinculando o AP secundário da rede física.
#Removes guest access to physical network iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP #Removes guest access to the router's config GUI/ports iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Clique em "Salvar Firewall" e reinicie o seu roteador.
Essas regras de firewall adicionais impedem que as duas pontes (a rede privada e a rede pública / convidada) entrem em contato, além de rejeitar qualquer contato entre um cliente na rede guest e as portas telnet, SSH ou de servidor da web no roteador (assim, restringindo-os de tentar acessar os arquivos de configuração do roteador).
Uma palavra sobre como usar o shell de comando e os scripts de inicialização, desligamento e firewall. Primeiro, os comandos IPTABLES são processados em ordem. Alterar a ordem das linhas de indivíduos pode alterar significativamente o resultado. Em segundo lugar, existem dezenas e dezenas de roteadores suportados pelo DD-WRT e, dependendo do roteador específico e da configuração, talvez seja necessário ajustar os comandos IPTABLES acima. O script funcionou para o nosso roteador e usa os comandos mais amplos e simples possíveis para realizar a tarefa, para que funcione para a maioria dos roteadores. Se isso não ocorrer, recomendamos que você pesquise seu modelo de roteador específico nos fóruns de discussão do DD-WRT e veja se outros usuários tiveram os mesmos problemas que você.
Neste ponto, você já está com a configuração e pronto para aproveitar os SSIDs duplos e todos os benefícios decorrentes da execução deles. Você pode facilmente fornecer uma senha de convidado (e alterá-la quando quiser), configurar regras de QoS para a rede convidada e modificar e restringir a rede convidada de maneiras que não afetarão sua rede principal.
