Como ativar um ponto de acesso de convidado na sua rede sem fio
Compartilhar seu Wi-Fi com os hóspedes é apenas uma coisa educada a ser feita, mas isso não significa que você queira dar a eles acesso totalmente aberto a toda a sua LAN. Continue lendo enquanto mostramos a você como configurar seu roteador para SSIDs duplos e criar um ponto de acesso separado (e seguro) para seus convidados.
Por que eu quero fazer isso??
Existem vários motivos muito práticos para querer configurar sua rede doméstica para ter pontos de acesso duplo (AP).
O motivo da aplicação mais prática para o maior número de pessoas é simplesmente isolar sua rede doméstica para que os convidados não possam acessar as coisas que você deseja que permaneçam privadas. A configuração padrão para quase todos os pontos de acesso / roteadores Wi-Fi é usar um único ponto de acesso sem fio e qualquer pessoa autorizada a acessar esse ponto de acesso receberá acesso à rede como se estivesse conectado diretamente ao ponto de acesso via Ethernet..
Em outras palavras, se você der ao seu amigo, vizinho, hóspede da casa ou quem quer que a senha para seu AP Wi-Fi, você também deu a eles acesso à sua impressora de rede, a compartilhamentos abertos em sua rede, dispositivos não seguros em sua rede e assim por diante. Talvez você queira apenas que eles verifiquem seus e-mails ou joguem on-line, mas você terá a liberdade de viajar em qualquer lugar da rede interna.
Agora, enquanto a maioria de nós certamente não tem hackers mal-intencionados para amigos, isso não significa que não seja prudente configurar nossas redes para que os hóspedes permaneçam onde eles pertencem (no lado livre de acesso à internet) e não pode ir onde eles não (no servidor doméstico / lado de ações pessoais da cerca).
Outra razão prática para executar um AP com dois SSIDs é a capacidade de não apenas restringir onde o AP convidado pode ir, mas quando. Se você é pai / mãe, por exemplo, quer restringir o quanto seu filho pode ficar acordado no computador, pode colocar o computador, o tablet etc. no ponto de acesso secundário e definir restrições de acesso à Internet para todo o sub -SSID depois, digamos, 21h.
O que eu preciso?
Nosso tutorial hoje está focado em usar um roteador compatível com DD-WRT para obter SSIDs duplos. Como tal, você precisará das seguintes coisas:
- 1 roteador compatível com DD-WRT com uma revisão de hardware apropriada (mostraremos como verificar)
- 1 cópia instalada do DD-WRT no referido roteador
Esta não é a única maneira de configurar SSIDs duplos para sua rede doméstica. Nós estamos indo para executar nossos SSIDs fora do roteador sem fio da série Linksys WRT54G onipresente. Se você não quiser passar pelo incômodo de atualizar o firmware personalizado em seu roteador antigo e executar as etapas de configuração extras, poderá:
- Adquira um roteador mais novo que suporte SSIDs duplos, como o ASUS RT-N66U..
- Compre um segundo roteador sem fio e configure-o como um ponto de acesso autônomo.
A menos que você já possua um roteador que suporte SSIDs duplos (caso em que você pode pular este tutorial e apenas ler o manual do seu dispositivo), ambas as opções são menos que ideais, pois você tem que gastar dinheiro extra e, no caso de a segunda opção, faça um monte de configurações extras, incluindo a configuração do AP secundário para não interferir e / ou sobrepor-se ao AP principal.
À luz de tudo isso, ficamos mais do que felizes em usar o hardware que já possuíamos (o roteador sem fio da série Linksys WRT54G) e pular o desembolso de dinheiro e ajustes extras na rede Wi-Fi..
Como eu sei que meu roteador é compatível?
Existem dois elementos críticos de compatibilidade que você precisa verificar para ter sucesso com este tutorial. O primeiro e mais elementar é verificar se o seu roteador em particular possui suporte DD-WRT. Você pode visitar o banco de dados do roteador do wiki DD-WRT aqui para verificar.
Depois de estabelecer que o seu roteador é compatível com o DD-WRT, precisamos verificar o número de revisão do chip do seu roteador. Se você tem um roteador Linksys muito antigo, por exemplo, ele pode ser um roteador com facilidade de manutenção em todos os aspectos, mas o chip pode não suportar SSIDs duplos (o que torna fundamentalmente incompatível com o tutorial).
Existem dois graus de compatibilidade em relação ao número de revisão do roteador. Alguns roteadores podem executar vários SSIDs, mas não podem dividir os SSIDs em pontos de acesso distintos e absolutamente únicos (por exemplo, um endereço MAC exclusivo para cada SSID). Em algumas situações, isso pode causar problemas em alguns dispositivos Wi-Fi, pois eles ficam confusos sobre qual SSID (já que ambos têm o mesmo endereço MAC) que devem usar. Infelizmente, não há como prever quais dispositivos se comportarão mal em sua rede, portanto, não poderemos recomendar que você evite a técnica descrita neste tutorial se descobrir que tem um dispositivo que não suporta SSIDs discretos.
Você pode verificar o número da revisão executando uma pesquisa no Google para o modelo específico do roteador, juntamente com o número da versão impresso na etiqueta de informações (geralmente encontrada na parte inferior do roteador), mas descobrimos que essa técnica não é confiável pode ser mal aplicado, informações publicadas on-line sobre o modelo e a data de fabricação podem ser imprecisas, etc.)
A maneira mais confiável de verificar o número de revisão do chip dentro do roteador é pesquisar o roteador para descobrir. Para fazer isso, você precisa executar os seguintes passos. Abra um cliente de telnet (um programa multiuso como o PuTTY ou o comando básico do Windows Telnet) e telnet para o endereço IP do seu roteador (por exemplo, 192.168.1.1). Faça o login no roteador usando seu login e senha de administrador (esteja ciente de que, para alguns roteadores, mesmo que você digite “admin” e “mypassword” para acessar o portal de gerenciamento baseado na web no roteador, você pode ter que digitar "E" mypassword "para fazer o login via telnet).
Quando você estiver conectado ao roteador, digite o seguinte comando no prompt:
nvram show | grep corerev
Isso retornará o número de revisão do núcleo do (s) chip (s) no seu roteador no seguinte formato:
wl0_corerev = 9
wl_corerev =
O que a saída acima significa é que nosso roteador tem um rádio (wl0, não há wl1) e que a revisão do núcleo desse chip de rádio é 9. Como você interpreta a saída? O número de revisão, em relação ao nosso guia, significa o seguinte:
- 0-4 O roteador não suporta vários SSIDs (com identificadores exclusivos ou outros)
- 5-8 O roteador suporta vários SSIDs (mas não com identificadores exclusivos)
- 9+ O roteador suporta vários SSIDs (com identificadores exclusivos)
Como você pode ver na nossa saída de comando acima, nós tivemos sorte. O chip do nosso roteador é a revisão mais baixa que suporta vários SSIDs com identificadores exclusivos.
Depois de determinar que o seu roteador pode suportar vários SSIDs, você precisará instalar o DD-WRT. Se o seu roteador foi enviado com o DD-WRT ou se você já o instalou, é fantástico. Se você ainda não o instalou, recomendamos que baixe a versão apropriada no site do DD-WRT e acompanhe nosso tutorial: Transforme seu roteador doméstico em um roteador super-alimentado com DD-WRT.
Além de nosso tutorial, não podemos enfatizar o valor do wiki DD-WRT extenso e de excelente manutenção. Leia o seu roteador específico e as melhores práticas para exibir um novo firmware nele.
Configurando o DD-WRT para vários SSIDs
Você tem um roteador compatível, já exibiu o DD-WRT, agora é hora de começar a configurar o segundo SSID. Assim como você deve sempre atualizar um novo firmware através de uma conexão com fio, recomendamos que você trabalhe em sua configuração sem fio através de uma conexão com fio para que as alterações não force o seu computador wireless a sair da rede..
Abra o seu navegador da web em um computador conectado ao roteador via Ethernet. Navegue para o IP do roteador padrão (geralmente 198.168.1.1). Dentro da interface do DD-WRT, navegue até Wireless -> Basic Settings (como visto na imagem acima). Você pode ver que o nosso AP Wi-Fi existente tem o SSID “HTG_Office”.
Na parte inferior da página, na seção "Interfaces virtuais", clique no botão Adicionar. A seção "Interfaces virtuais" anteriormente vazia será expandida com essa entrada pré-preenchida:
Essa interface virtual é conectada ao seu chip de rádio existente (observe o wl0.1 no título da nova entrada). Até mesmo o atalho no SSID indica isso, o “vap” no final do SSID padrão significa Virtual Access Point. Vamos dividir o resto das entradas sob a nova interface virtual.
Você pode renomear o SSID para o que você quiser. De acordo com nossa convenção de nomenclatura existente (e para facilitar a vida de nossos convidados), vamos alterar o SSID do padrão para "HTG_Guest" - lembrar que nosso principal AP Wi-Fi é o "HTG_Office".
Deixe a transmissão sem fio SSID ativada. Não só muitos computadores antigos e dispositivos habilitados para Wi-Fi não são muito legais com SSIDs secretos, mas uma rede de convidados ocultos não é uma rede convidativa / útil.
O isolamento de AP é uma configuração de segurança que deixamos a seu critério para ativar ou desativar. Se você ativar o isolamento de AP, todos os clientes da sua rede Wi-Fi de convidado serão totalmente isolados uns dos outros. Do ponto de vista de segurança, isso é ótimo, pois impede que um usuário mal-intencionado vasculhe os clientes de outros usuários. Isso é mais uma preocupação para redes corporativas e hotspots públicos, no entanto. Praticamente falando, isso também significa que se sua sobrinha e sobrinho acabarem e eles quiserem jogar um jogo ligado a Wi-Fi em suas unidades Nintendo DS, suas unidades DS não poderão se ver. Na maioria das aplicações domésticas e de pequenos escritórios, há poucas razões para isolar os APs..
A opção Unbridged / Bridged na configuração de rede refere-se a se o AP Wi-Fi será ou não ligado em ponte ou não à rede física. Por mais que isso seja contra-intuitivo, você precisa deixá-lo configurado para Bridged. Em vez de permitir que o firmware do roteador manipule (de forma desajeitada) o processo de desligamento, vamos manualmente desfazer a ponte entre nós mesmos com um resultado mais limpo e mais estável.
Depois de alterar seu SSID e revisar as configurações, clique em Salvar.
Em seguida, navegue até Wireless -> Wireless Security:
Por padrão, não há segurança no segundo AP. Você pode deixá-lo temporariamente para fins de teste (nós o deixamos aberto até o final) para evitar que você digite a senha em seus dispositivos de teste. Nós não recomendamos, no entanto, deixá-lo permanentemente aberto. Se você optar por deixá-lo aberto ou não neste momento, você precisa clicar em Salvar e, em seguida, Aplicar configurações para as alterações feitas na seção anterior e esta para entrar em vigor. Seja paciente, pode levar até dois minutos para que as alterações entrem em vigor.
Agora é um ótimo momento para confirmar que os dispositivos Wi-Fi próximos podem ver os APs principais e secundários. Abrir a interface Wi-Fi em um smartphone é uma ótima maneira de verificar rapidamente. Aqui está a vista da página de configuração de Wi-Fi do nosso telefone Android:
Não podemos nos conectar ao AP secundário ainda, já que precisamos fazer mais algumas alterações no roteador, mas é sempre bom vê-los na lista.
O próximo passo é iniciar o processo de separação dos SSIDs na rede, atribuindo um intervalo exclusivo de endereços IP aos dispositivos Wi-Fi convidados..
Navegue para Setup -> Networking. Na seção "Bridging", clique no botão Adicionar.
Primeiro, mude o slot inicial para “br1”, deixe o resto dos valores iguais. Você não poderá ver a entrada de IP / Sub-rede vista acima ainda. Clique em "Aplicar configurações". A nova ponte estará na seção Bridging com as seções IP e Subnet disponíveis. Defina o endereço IP para um valor fora do IP da sua rede normal (por exemplo, sua rede principal é 192.168.1.1, portanto, faça este valor 192.168.2.1). Defina a máscara de sub-rede como 255.255.255.0. Clique em "Aplicar configurações" na parte inferior da página novamente.
Atribuir Rede Convidada ao Bridge
Nota: obrigado ao leitor Joel por apontar esta parte e nos dar as instruções para adicionar ao tutorial.
Em "Atribuir à ponte", clique em "Adicionar". Selecione a nova ponte que você criou no primeiro menu suspenso e associe-a à interface "wl0.1".
Agora clique em "Salvar" e "Aplicar configurações".
Depois que as alterações forem aplicadas, role para a parte inferior da página mais uma vez na seção DHCPD. Clique em "Adicionar". Mude o primeiro slot para "br1". Deixe o resto das configurações o mesmo (como visto na imagem abaixo).
Clique em "Aplicar configurações" mais uma vez. Uma vez que você tenha terminado todas as tarefas na página Setup -> Network, você deve estar preparado para obter conectividade e atribuição de DHCP..
Nota: Se o ponto de acesso Wi-Fi que você está configurando para SSIDs duplos estiver fazendo backup em outro dispositivo (por exemplo, você tem dois roteadores Wi-Fi em sua casa ou escritório para estender sua cobertura e aquele em que está configurando o convidado SSID on é # 2 na cadeia) você precisará configurar o DHCP na seção Serviços. Se isso soa como sua configuração, é hora de navegar para a seção Serviços -> Serviços.
Na seção de serviços, precisamos adicionar um pouco de código à seção DNSMasq para que o roteador atribua endereços IP dinâmicos aos dispositivos conectados à rede convidada. Role a seção DNSMasq. Na caixa “Additional DNSMasq Options”, cole o seguinte código (menos os # comentários explicando a funcionalidade de cada linha):
# Ativa o DHCP na br1
interface = br1
# Definir o gateway padrão para clientes br1
dhcp-option = br1,3,192.168.2.1
# Defina o intervalo de DHCP e o tempo de concessão padrão de 24 horas para clientes br1
intervalo-dhcp = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Clique em "Aplicar configurações" na parte inferior da página.
Se você usou a técnica um ou dois, aguarde alguns minutos para se conectar ao seu novo convidado SSID. Quando você se conectar ao SSID convidado, verifique seu endereço IP. Você deve ter um IP dentro do intervalo especificado com o acima. Novamente, é útil usar seu smartphone para verificar:
Tudo parece bem. O AP secundário está atribuindo IPs dinâmicos em um intervalo apropriado, podemos entrar na Internet - estamos fazendo uma anotação aqui, enorme sucesso.
O único problema, no entanto, é que o AP secundário ainda tem acesso aos recursos da rede primária. Isso significa que todas as impressoras em rede, compartilhamentos de rede e outros ainda estão visíveis (você pode testá-lo agora, tentar encontrar um compartilhamento de rede da sua rede principal no AP secundário).
Se vocês quer os convidados no ponto de acesso secundário tenham acesso a essas coisas (e estão acompanhando o tutorial para que você possa realizar outras tarefas de SSID duplo, como restringir a largura de banda ou os horários de uso permitido da Internet), então você estará efetivamente tutorial.
Nós imaginamos que a maioria de vocês gostaria de evitar que seus convidados fumassem a sua rede e gentilmente os reunissem para o Facebook e o e-mail. Nesse caso, precisamos concluir o processo desvinculando o AP secundário da rede física.
Navegue para Administração -> Comandos. Você verá uma área chamada "Command Shell". Cole os seguintes comandos, sem as linhas de comentários, na área editável:
# Remove o acesso de convidados à rede física
iptables -I FORWARD -i br1 -o br0 -m state --state NOVO -j DROP
iptables -I FORWARD -i br0 -o br1 -m state --state NOVO -j DROP
#Remove o acesso do convidado à GUI / portas de configuração do roteador
iptables -I INPUT -i br1 -p tcp --dportar telnet -j REJEITAR --rejeitar-com tcp-reset
iptables -I INPUT -i br1 -p tcp --dporto ssh -j REJEITAR --rejeitar-com tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJEIÇÃO --rejeitar-com tcp-reset
iptables -I INPUT -i br1 -p tcp --dportar https -j REJECT --rejeitar-com tcp-reset
Clique em "Salvar Firewall" e reinicie seu roteador.
Essas regras de firewall adicionais impedem que as duas pontes (a rede privada e a rede pública / convidada) entrem em contato, além de rejeitar qualquer contato entre um cliente na rede convidada e as portas telnet, SSH ou de servidor da web no roteador (assim, restringindo-os de tentar acessar os arquivos de configuração do roteador).
Uma palavra sobre como usar o shell de comando e os scripts de inicialização, desligamento e firewall. Primeiro, os comandos IPTABLES são processados em ordem. Alterar a ordem das linhas individuais pode alterar significativamente o resultado. Em segundo lugar, existem dezenas e dezenas de roteadores suportados pelo DD-WRT e, dependendo do roteador específico e da configuração, talvez seja necessário ajustar os comandos IPTABLES acima. O script funcionou para o nosso roteador e usa os comandos mais amplos e simples possíveis para realizar a tarefa, por isso deve funcionar para a maioria dos roteadores. Se isso não acontecer, recomendamos que você procure por seu modelo de roteador específico nos fóruns de discussão do DD-WRT e veja se outros usuários tiveram os mesmos problemas que você.
Neste ponto, você está pronto para a configuração e pronto para desfrutar de SSIDs duplos e todos os benefícios que vêm com executá-los. Você pode facilmente fornecer uma senha de convidado (e alterá-la quando quiser), configurar regras de QoS para a rede convidada e, de outra forma, modificar e restringir a rede convidada de maneiras que não afetarão sua rede principal no mínimo..