Guest Network/ru

From DD-WRT Wiki

(Difference between revisions)
Jump to: navigation, search
Revision as of 18:40, 27 May 2020 (edit)
Biant (Talk | contribs)
(New page: {{Languages|Guest_Network}} ==Введение== '''Гостевая Wi-Fi сеть''' это сеть с отдельным SSID (именем беспроводной сети), исп...)
← Previous diff
Revision as of 18:46, 27 May 2020 (edit) (undo)
Biant (Talk | contribs)
(Виртуальная точка доступа (VAP) без WAN)
Next diff →
Line 79: Line 79:
iptables -I FORWARD -i wl0.1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j REJECT iptables -I FORWARD -i wl0.1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j REJECT
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr` iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`
-*Мост и'/'или виртуальный интерфейс могут отличаться+*Мост и/или виртуальный интерфейс могут отличаться
*''Изоляция сети'' не работает для WAP, поэтому оставьте этот пункт отключенным и добавьте к брандмауэру: *''Изоляция сети'' не работает для WAP, поэтому оставьте этот пункт отключенным и добавьте к брандмауэру:
iptables -I FORWARD -i wl0.1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j REJECT iptables -I FORWARD -i wl0.1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j REJECT

Revision as of 18:46, 27 May 2020


Contents

Введение

Гостевая Wi-Fi сеть это сеть с отдельным SSID (именем беспроводной сети), использующая виртуальную точку доступа (VAP), которая предоставляет гостям доступ к WAN (интернету). Вместе с тем она блокирует доступ к вашей LAN (локальнй сети), тем самым обеспечивая вашу безопасность.

Метод DNSMasq

Данный метод использует DNSMasq вместо DHCPd. Обратитесь к разделу VAP без WAN для настроек без WAN (например, WAP), т.к. нужны правила iptables (Firewall) для доступа в интернет (Множественный сервер DHCP недоступен, когда отключен WAN). В графическом интерфейсе DD-WRT:

  • Wi-Fi -> Основное: нажмите Add Virtual AP в разделе Виртуальные интерфейсы и измените Имя беспроводной сети (SSID), если необходимо
    • Установите Конфигурация сети в Не в мосте
    • Включите следующие опции: Изоляция точки доступа, Изоляция сети
    • Включите Переопределен. DNS для клиентов, чтобы предотвратить для пользователей использование "обманывающих" фильтров (поддельных DNS резолверов) (see Public DNS)
    • Установите Optional DNS Target (если необходимо), IP-адрес (например, 192.168.7.1), и Маска подсети (255.255.255.0)
  • Wi-Fi -> Безопасность настройте новый "Виртуальный интерфейс" (например, wl1.1), желательно используя WPA2-AES.
  • В Дополнительных опциях DNSMasq, добавьте IP адреса и диапазон для соответствующих виртуальных гостевых интерфесов.
    • Пример для Broadcom (5GHz называется wl1.1), Atheros называется ath0.1 или ath1.1, но зависит от роутера:
interface=wl0.1
dhcp-option=wl0.1,3,192.168.7.1
dhcp-range=wl0.1,192.168.7.100,192.168.7.200,255.255.255.0,12h

Для версий 23020 и позже

Kong добавил возможность простого Гостевого Wi-Fi к DD-WRT начиная с версии 23020. См. раздел Guest WiFi + abuse control for beginners (Гостевой WiFi + контроль над злоупотреблениями для начинающих).

  • Для настройки роутера в режиме обычного шлюза нет необходимости изменять настройки Firewall.

Для версий до 23020

На основе этого: DD-WRT Guest Wireless

  1. Раздел Wi-Fi -> вкладка Основное
    • "Добавьте" "виртуальный интерфейс" (нажав "Add Vurtual AP"), присвойте гостевой сети отдельный SSID, и поставьте “Включить” для “Изоляция точки доступа”.
    • Нажмите Сохранить, затем Применить
  2. Вкладка Безопасность: также задайте отдельный пароль, и режим безопасности WPA2 AES
    • Нажмите Сохранить, затем Применить
  3. Раздел Настройка -> вкладка Сеть
    • В секции “Создать мост” нажмите “Добавить”, назовите его, затем установите разную подсеть
    • В секции “Присоединить к мосту” нажмите “Добавить", выберите новый мост, затем назначьте его новому виртуальному интерфейсу
    • Нажмите Сохранить, затем Применить
  4. вкладка Сеть: в секции “Множественный сервер DHCP” нажмите “Добавить” и выберите новый мост
    • Нажмите Сохранить, затем Применить
  5. Раздел Администрирование -> вкладка Команды
  6. Добавьте правила для брандмауэра, чтобы обезопасить частную сеть и дать гостевой сети доступ в интернет:
    • Скопируйте/вставьте следующее, затем нажмите Сохр. брандмауэр
iptables -t nat -I POSTROUTING -o `get_wanface` -j SNAT --to `nvram get wan_ipaddr`
iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP

Больше правил брандмауэра, чтобы изолировать гостей и запретить доступ к службам:

    • Скопируйте/вставьте следующее, затем нажмите Сохр. брандмауэр
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset

Протестируйте гостевую сеть, перезагрузите, если не работает

Примечание

Раздел wiki Multiple WLANs более неактуален (для старых версий) и упомянут только для ссылки.

Пароли для гостевой виртуальной точки доступа

Чтобы предотвратить несанкционированный доступ к сети, вы должны использовать пароль отличный от такового, который вы используете для обычной точки доступа. Хотя гостевая Wi-Fi и изолирована от LAN, стоит использовать надёжный пароль.

Гостевой доступ к сетевому устройству

Чтобы разрешить доступ из гостевой сети к принтеру, веб-серверу или другому сетевому устройству, добавьте следующее правило последним:

iptables -I FORWARD -i wl0.1 -o br0 -d {IP address} -m state --state NEW -j ACCEPT
  • Измените виртуальный интерфейс, мост и соответствующие IP адреса.

Несколько роутеров

Чтобы иметь гостевую виртуальную точку доступа из нескольких (радио)источников в той же подсети, создайте мост из них. Для нескольких интерфейсов потребуются свои собственные записи для DNSMasq (и брандмауэра, если применимо), например, для wl0.1 и wl1.1. 'Изоляция сети' (сетевая страница в разделе br1) не изолирует все интерфейсы от первичной сети.

  • Это может зависть от интерфейсов, связанных мостом через br1, так что не забудьте проверить
  • Для безопасности добавьте правила брандмауэра, чтобы заблокировать br1 от подсети и роутера, но убедитесь, что у гостей есть DHCP и DNS:
iptables -I INPUT -i br1 -m state --state NEW -j REJECT
iptables -I INPUT -i br1 -p udp -m multiport --dports 53,67 -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j REJECT
  • Скопируйте/вставьте эти строчки в Администрирование->Команды, затем нажмите Сохр. брандмауэр
  • чтобы разрешить этому br1 доступ к принтеру, веб-серверу или другому сетевому устройству, добавьте следующее правило последним:
iptables -I FORWARD -i br1 -o br0 -d {IP address} -m state --state NEW -j ACCEPT

Виртуальная точка доступа (VAP) без WAN

Если роутер не используется в качестве шлюза (как точка доступа, поэтому WAN и DHCP отключены, но в той же подсети, что и первичный шлюз роутера), нужны настройки правил брандмауэра для ограничения доступа клиента и доступа в интернет.

  • Пример: Точка доступа (AP), Мост Репитера (RB) и двухдиапазонный мост клиента + точка доступа (AP): см. [Linking_Routers|here]]
  • Получить доступ в интернет с моста:
  • Администрирование->Команды: Скопируйте/вставьте эти строчки, затем нажмите Сохр. брандмауэр (Поддерживайте порядок правил):
iptables -I FORWARD -i wl0.1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j REJECT
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`
  • Мост и/или виртуальный интерфейс могут отличаться
  • Изоляция сети не работает для WAP, поэтому оставьте этот пункт отключенным и добавьте к брандмауэру:
iptables -I FORWARD -i wl0.1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j REJECT
  • Также, чтобы изолировать саму WAP от гостевой сети: [Примечание: не все прошивки имеют многопортовую директиву]
iptables -I INPUT -i wl0.1 -m state --state NEW -j REJECT
iptables -I INPUT -i wl0.1 -p udp -m multiport --dports 53,67 -j ACCEPT
  • В заключение, перезагрузите роутер.

Для более подробной информации, см. this post. Подробнее о влиянии различных правил брандмауэра, см. this post.

  • Установка DNS Target не работает на WAP если на первичном роутере включён Переопределен. DNS для клиентов. Если на точке доступа (AP) запущен DNSCrypt, то в качестве обходного решения установите использование OpenDNS "Family Shield DNS": также см. Guest WiFi + abuse control for beginners.