Гостевая сеть Wi-Fi для начинающих

From DD-WRT Wiki

Jump to: navigation, search

Contents


[edit] Введение

Это руководство для начинающих содержит основы создания и управления "гостевой" виртуальной точкой доступа Wi-Fi (Virtual Access Point, VAP), которая позволяет гостям получать доступ к Интернету, не допуская их попадания в частную сеть.

Далее предполагается, что базовая настройка маршрутизатора завершена и доступ к сети Wi-Fi работает. Вы также должны удостовериться, что маршрутизатор поддерживает несколько SSID. Чтобы проверить поддерживает ли чип маршрутизатора несколько SSID, см. статью https://www.howtogeek.com/153827/how-to-enable-a-guest-access-point-on-your-wireless-network/.

Прежде чем продолжить, убедитесь, что на вашем маршрутизаторе есть работающая кнопка сброса "Reset" и сделана резервная копия конфигурации маршрутизатора, на случай, если вы что-то пошло не так, вы могли выполнить сброс и восстановить конфигурацию (см. вкладку Administration → Backup веб-интерфейса панели управления DD-WRT).

[edit] Инструкция

Создание гостевой точки доступа
Создание гостевой точки доступа

На вкладке Wireless → Basic Settings панели управления DD-WRT нажмите кнопку "Add" в разделе "Virtual Interfaces". Будет создан новый виртуальный интерфейс с названием

Virtual Interfaces wl0.1 SSID [dd-wrt_vap] HWAddr [22:AA:4B:36:EC:10]

Обратите внимание на строку после "Virtual Interfaces" (в данном примере это "wl0.1" для маршрутизатора Linksys, использующего чип Broadcom), так как это поможет вам определить правильный раздел на последующих страницах панели управления, в котором будут изменяться параметры.

Измените имя беспроводной сети Wireless Network Name (SSID) со значения по умолчанию "dd-wrt_vap" на то, как оно будет отображаться для гостевых пользователей при подключении к вашей сети, например "MyNetwork_guest".

Установите AP isolation в значение "Enable", чтобы гостевые пользователи не могли видеть друг друга. AP Isolation запрещает весь трафик между клиентами, подключенными к точке доступа VAP. Это рекомендуется для предотвращения атак через гостевой Wi-Fi.

Нажмите на кнопку Save внизу страницы. Если вы не нажмете кнопку Save, то сделанные вами настройки будут потеряны при переключении с одной вкладки на другую.

Перейдите на вкладку Wireless → Wireless Security, чтобы установить тип безопасности и пароль беспроводной сети. Хотя VAP может функционировать без шифрования и пароля, это может привести к злоупотреблению и, следовательно, не рекомендуется. Нажмите на кнопку Save внизу страницы.

Установите для параметра Network Configuration значение Unbridged, Enable NAT (предоставляет гостям доступ в Интернет) и enable Net isolation (создает правила брандмауэра, блокирующие доступ гостям в частную сеть). Сетевая изоляция работает только на интерфейсе без моста в новых сборках, начиная со сборок:

  • Broadcom (23020);
  • Atheros (24759);
  • MediaTek / Ralink (25934).

AP Isolation = Гости не могут видеть друг друга в гостевой сети

Net isolation = Гости не могут видеть вашу частную сеть

Включите Forced DNS Redirection и введите IP-адрес сервера OpenDNS (208.67.222.222) в поле "Optional DNS target". Это не позволит пользователям использовать свои собственные DNS-серверы (и, следовательно, обойти фильтрацию содержимого), перехватывая DNS-запросы и заставляя их использовать указанные вами DNS-серверы. Введите IP-адрес и маску подсети, например, 172.16.1.1 / 255.255.255.0 (частные сети используют IP-адреса в диапазоне от 172.16.1.1 до 172.16.1.255). Нажмите кнопку "Save", затем нажмите кнопку "Apply" в нижней части страницы. Подождите примерно 30 секунд для создания нового интерфейса (например, wl0.1).

Хотя эта точка доступа VAP теперь будет отображаться при сканировании доступных точек доступа Wi-Fi, вы еще не сможете подключиться к ней. Вы должны включить DHCP для клиентов.

Включение DHCP для гостевой сети
Включение DHCP для гостевой сети

Следующим шагом является включение DHCPd для гостевого Wi-Fi. Перейдите в Setup → Networking, в разделе DHCPd добавьте DHCP-сервер для новой гостевой сети. Нажмите Add, затем выберите VLAN (например, ath0.1) из выпадающего меню. Выберите начальный и максимальный IP-адреса, а также время аренды. Нажмите Save и Apply. Подождите около 30 секунд и попробуйте подключиться к гостевому Wi-Fi. Если он не работает, выключите и снова включите маршрутизатор. Вы должны иметь возможность просматривать Интернет, но не подключаться к частной сети и не видеть других пользователей сети.

Примечание. Для более нового метода, использующего DNSMasq вместо DHCPd, см. Guest Network § DNSMasq method.

[edit] Настройка качества обслуживания Quality of Service (QoS)

Жестко настроенные ограничения для интерфейсов
Жестко настроенные ограничения для интерфейсов
Приоритеты для интерфейсов
Приоритеты для интерфейсов

Для ограничения пропускной способности гостевой сети, в разделе Quality of Service (QoS), в группе параметров Interface Priority установите значения в столбце Priority для приватной сети в "Maximum", а для гостевой сети в "Bulk". Интерфейсу с приоритетом Bulk выделяется только оставшаяся полоса пропускания, когда другие интерфейсы простаивают. Если канал заполнен трафиком от других интерфейсов, Bulk будет выделяться только 1% от общей полосы пропускания (или общего лимита). Поэтому ваши гости не будут влиять на скорость вашей частной сети. Кроме того, вы можете вручную установить жестко заданные ограничения.

Параметры группы Services Priority позволяют ограничить скорость или задать приоритеты для протоколов и портов. Это может быть полезно для контроля полосы пропускания и с помощью ограничения для интерфейса, не позволит гостевым пользователям обойти ограничения QoS путем изменения IP- или MAC-адреса. Злоумышленники не могут обойти правила, не отключив интерфейс.

Пример:

vlan1 512/512 0 ssl manual

Это означает, что весь трафик на интерфейсе vlan1 (локальные порты для некоторых маршрутизаторов, другие используют eth) не ограничен, за исключением трафика SSL, который ограничен 512 кбит/с (64 кБ/с) как на прием, так и на отдачу. Возможно задать несколько записей, например:

ath0 512/512 0 ssl manual
ath0 2048/512 0 http manual
ath0 512/512 0 ftp manual

Всё то, что было сказано выше, только для беспроводного интерфейса ath0, и только перечисленные протоколы ограничены по скорости. Также можно использовать задание приоритетов, но одновременное ограничение по скорости и задание приоритета для одного и того же протокола не поддерживается.

[edit] Ограничение доступа

Ограничение доступа может использоваться для блокировки торрентов и некоторых VPN. Определенного пользователя очень трудно заблокировать, потому что теперь есть SSTP VPN серверы и т.д. На дешевых маршрутизаторах вы не сможете запустить Proxy, Squid и т.д., поэтому для выполнения фильтрации сетевых злоупотреблений мы используем OpenDNS.

[edit] OpenDNS

Настройка ограничений
Настройка ограничений
Фильтрация веб-контента
Фильтрация веб-контента
Сайт заблокирован
Сайт заблокирован

OpenDNS - это бесплатная служба DNS (Domain Name Server), которая делает просмотр интернета в браузере более безопасным и более быстрым. Используя DNS-сервер OpenDNS вместо DNS-сервера провайдера, на вас автоматически не действует спискок запрещенных провайдером сайтов. Однако для того, чтобы ограничить определенные саты, например, сайты для взрослых, вам придётся создать бесплатную учетную запись, зарегистрировать свой IP-адрес и выбрать нужные категории сайтов, доступ к которым вы хотите ограничить - секс, порнография, белье и т.д. Поскольку большинству маршрутизаторов IP-адреса для интерфейса WAN назначается провайдером по DHCP и периодически меняется, требуется настроить маршрутизатор так, чтобы при новый IP-адрес сообщался OpenDNS. См. раздел DNS-O-Matic статьи OpenDNS. Перезагрузите маршрутизатор, очистите кэш браузера и вручную установите общедоступный DNS-сервер в параметрах компьютера, чтобы попытаться обойти ограничения.