Dd wrt настройка роутера точка доступа

Гостевая сеть Wi-Fi для начинающих

Это руководство для начинающих содержит основы создания и управления «гостевой» виртуальной точкой доступа Wi-Fi (Virtual Access Point, VAP), которая позволяет гостям получать доступ к Интернету, не допуская их попадания в частную сеть.

Далее предполагается, что базовая настройка маршрутизатора завершена и доступ к сети Wi-Fi работает. Вы также должны удостовериться, что маршрутизатор поддерживает несколько SSID. Чтобы проверить поддерживает ли чип маршрутизатора несколько SSID, см. статью https://www.howtogeek.com/153827/how-to-enable-a-guest-access-point-on-your-wireless-network/.

Прежде чем продолжить, убедитесь, что на вашем маршрутизаторе есть работающая кнопка сброса «Reset» и сделана резервная копия конфигурации маршрутизатора, на случай, если вы что-то пошло не так, вы могли выполнить сброс и восстановить конфигурацию (см. вкладку Administration → Backup веб-интерфейса панели управления DD-WRT).

[edit] Инструкция

Создание гостевой точки доступа

На вкладке Wireless → Basic Settings панели управления DD-WRT нажмите кнопку «Add» в разделе «Virtual Interfaces». Будет создан новый виртуальный интерфейс с названием

Virtual Interfaces wl0.1 SSID [dd-wrt_vap] HWAddr [22:AA:4B:36:EC:10]

Обратите внимание на строку после «Virtual Interfaces» (в данном примере это «wl0.1» для маршрутизатора Linksys, использующего чип Broadcom), так как это поможет вам определить правильный раздел на последующих страницах панели управления, в котором будут изменяться параметры.

Измените имя беспроводной сети Wireless Network Name (SSID) со значения по умолчанию «dd-wrt_vap» на то, как оно будет отображаться для гостевых пользователей при подключении к вашей сети, например «MyNetwork_guest».

Установите AP isolation в значение «Enable», чтобы гостевые пользователи не могли видеть друг друга. AP Isolation запрещает весь трафик между клиентами, подключенными к точке доступа VAP. Это рекомендуется для предотвращения атак через гостевой Wi-Fi.

Нажмите на кнопку Save внизу страницы. Если вы не нажмете кнопку Save, то сделанные вами настройки будут потеряны при переключении с одной вкладки на другую.

Перейдите на вкладку Wireless → Wireless Security, чтобы установить тип безопасности и пароль беспроводной сети. Хотя VAP может функционировать без шифрования и пароля, это может привести к злоупотреблению и, следовательно, не рекомендуется. Нажмите на кнопку Save внизу страницы.

Установите для параметра Network Configuration значение Unbridged, Enable NAT (предоставляет гостям доступ в Интернет) и enable Net isolation (создает правила брандмауэра, блокирующие доступ гостям в частную сеть). Сетевая изоляция работает только на интерфейсе без моста в новых сборках, начиная со сборок:

Читайте также:  Можно ли заразить вирусом роутер

AP Isolation = Гости не могут видеть друг друга в гостевой сети

Net isolation = Гости не могут видеть вашу частную сеть

Включите Forced DNS Redirection и введите IP-адрес сервера OpenDNS (208.67.222.222) в поле «Optional DNS target». Это не позволит пользователям использовать свои собственные DNS-серверы (и, следовательно, обойти фильтрацию содержимого), перехватывая DNS-запросы и заставляя их использовать указанные вами DNS-серверы. Введите IP-адрес и маску подсети, например, 172.16.1.1 / 255.255.255.0 (частные сети используют IP-адреса в диапазоне от 172.16.1.1 до 172.16.1.255). Нажмите кнопку «Save», затем нажмите кнопку «Apply» в нижней части страницы. Подождите примерно 30 секунд для создания нового интерфейса (например, wl0.1).

Хотя эта точка доступа VAP теперь будет отображаться при сканировании доступных точек доступа Wi-Fi, вы еще не сможете подключиться к ней. Вы должны включить DHCP для клиентов.

Включение DHCP для гостевой сети

Следующим шагом является включение DHCPd для гостевого Wi-Fi. Перейдите в Setup → Networking, в разделе DHCPd добавьте DHCP-сервер для новой гостевой сети. Нажмите Add, затем выберите VLAN (например, ath0.1) из выпадающего меню. Выберите начальный и максимальный IP-адреса, а также время аренды. Нажмите Save и Apply. Подождите около 30 секунд и попробуйте подключиться к гостевому Wi-Fi. Если он не работает, выключите и снова включите маршрутизатор. Вы должны иметь возможность просматривать Интернет, но не подключаться к частной сети и не видеть других пользователей сети.

Примечание. Для более нового метода, использующего DNSMasq вместо DHCPd, см. Guest Network § DNSMasq method.

[edit] Настройка качества обслуживания Quality of Service (QoS)

Жестко настроенные ограничения для интерфейсов

Приоритеты для интерфейсов

Для ограничения пропускной способности гостевой сети, в разделе Quality of Service (QoS), в группе параметров Interface Priority установите значения в столбце Priority для приватной сети в «Maximum», а для гостевой сети в «Bulk». Интерфейсу с приоритетом Bulk выделяется только оставшаяся полоса пропускания, когда другие интерфейсы простаивают. Если канал заполнен трафиком от других интерфейсов, Bulk будет выделяться только 1% от общей полосы пропускания (или общего лимита). Поэтому ваши гости не будут влиять на скорость вашей частной сети. Кроме того, вы можете вручную установить жестко заданные ограничения.

Параметры группы Services Priority позволяют ограничить скорость или задать приоритеты для протоколов и портов. Это может быть полезно для контроля полосы пропускания и с помощью ограничения для интерфейса, не позволит гостевым пользователям обойти ограничения QoS путем изменения IP- или MAC-адреса. Злоумышленники не могут обойти правила, не отключив интерфейс.

vlan1 512/512 0 ssl manual

Это означает, что весь трафик на интерфейсе vlan1 (локальные порты для некоторых маршрутизаторов, другие используют eth) не ограничен, за исключением трафика SSL, который ограничен 512 кбит/с (64 кБ/с) как на прием, так и на отдачу. Возможно задать несколько записей, например:

ath0 512/512 0 ssl manual ath0 2048/512 0 http manual ath0 512/512 0 ftp manual

Всё то, что было сказано выше, только для беспроводного интерфейса ath0, и только перечисленные протоколы ограничены по скорости. Также можно использовать задание приоритетов, но одновременное ограничение по скорости и задание приоритета для одного и того же протокола не поддерживается.

Читайте также:  Как сдать арендованный роутер ростелекома

[edit] Ограничение доступа

Ограничение доступа может использоваться для блокировки торрентов и некоторых VPN. Определенного пользователя очень трудно заблокировать, потому что теперь есть SSTP VPN серверы и т.д. На дешевых маршрутизаторах вы не сможете запустить Proxy, Squid и т.д., поэтому для выполнения фильтрации сетевых злоупотреблений мы используем OpenDNS.

Источник

Настройка прошивки DD-WRT на роутере: руководство для юзера

DD WRT — это прошивка для маршрутизаторов, созданная на основе Unix. Она используется для моделей, работающих на процессорах BroadCom, Atheros, Xscale и PowerPC, и расширяет их стандартный функционал. Опытному пользователю, которому нужно создать и настроить локальную сеть, почти всегда не хватает обычных настроек роутера для реализации всех задач, потому эта прошивка отлично подойдёт тем, кому нужная тонкая настройка функций и параметров домашней сети.

Обзор прошивки DD WRT на роутере

Установка прошивки позволяет расширить возможности маршрутизатора

Возможности прошивки

Помимо обычных настроек, предлагаемых официальным программным обеспечением роутера, DD WRT обеспечивает следующий функционал:

  • доступ по Telnet и SSH;
  • настройка планировщика задач Cron;
  • удалённый запуск (Wake-on-Lan);
  • настройка Samba;
  • виртуальные точки Wi-Fi;
  • PPTP, VPN — сервер и клиент;
  • другие варианты гибкой настройки роутера.

Порядок настройки маршрутизатора с DD-WRT

Для открытия страницы настроек маршрутизатора, прошитого DD WRT, нужно настроить автоматическое назначение IP и других значений на сетевом адаптере ПК, с которого будете настраивать. Затем нужно зайти в настройку роутера по IP, изначально указанному в инструкции. Здесь система предложит вам поменять админские логин и пароль на более надёжные. Придумайте новые данные для входа, введите и запомните их — они ещё не раз пригодятся при работе с другими функциями роутера.

При желании можно поменять язык пользовательского интерфейса. Дальнейшие инструкции мы приводим на примере русского. На странице «Administration» — «Management» нужно найти пункт «Enable Info Site» и поставить метку Disabled. Здесь же в пункте Language Selection выбрать русский язык. Нажать Save.

Настройка пользовательского интерфейса

После этого начинается непосредственно настройка.

Статический IP

  1. На вкладке «Установка» — «Основные установки» выбрать «Тип соединения» — «Статический IP».
  2. Внести IP и другие данные, предоставленные поставщиком услуг.
  3. Снять отметки в пунктах «Использование DNSMasq для DHCP» и «… для DNS». Сохранить параметры.
  4. Перейти на вкладку «Службы», отключить «DNSMasq». Сохранить параметры.
Читайте также:  Подключить роутер dir 300 как

Параметры статического IP-адреса

Маршрутизация

Далее — настройка маршрутизации:

  1. Перейти на страницу «Установка» — «Маршруты».
  2. Назначить название и номер маршрута (своё для каждой из созданных подсетей).
  3. «Сеть назначения» — 172.17.0.0 (или ваш диапазон подсети).
  4. «Маска подсети» — 255.255.0.0
  5. «Шлюз» — IP-шлюза, выданный провайдером.
  6. «Интерфейс» — WAN.
  7. Сохранить введённые значения, повторить действия для создания следующего маршрута.

Настройка маршрутизации на устройстве

Подключение по VPN (PPTP)

  1. Открыть вкладку «Службы» — «PPTP».
  2. Включить «Опции клиента PPTP».
  3. «IP или имя DNS-сервера» — ввести цифровой или буквенный адрес.
  4. «MPPE-шифрование» — пустое.
  5. Пользовательское имя и пароль — из договора.
  6. Сохранить.

Настройка интернета через VPN (PPTP)

Подключение PPPoE

В DD WRT есть некоторые сложности с реализацией протокола PPPoE, поэтому понадобится прописать некоторые параметры вручную:

  1. На вкладке «Службы» — «PPTP» отключить «Опции клиента PPTP».
  2. На вкладке «Установка» — «Основные установки» выбрать тип подключения «PPPoE».
  3. Логин-пароль взять из договора.
  4. «Имя службы» —
  5. «Статический DNS1» — 172.17.0.2.
  6. Снять отметки напротив «DNSMasq для DHCP» и «DNSMasq для DNS».
  7. Сохранить.

Интернет-соединение через протокол PPPoE

Чтобы внешняя и локальная сети роутера под DD WRT корректно работали одновременно, необходимо настроить PPPoE Dual Access. Это делается в виде текстовых команд:

  1. Зайти на страницу «Тех. обслуживание» — «Команды».
  2. В текстовое поле ввести (vlan2 — имя интерфейса, выделенного для локалки):

ifconfig vlan2 [ip-адрес] netmask [маска подсети] up
route add -net 172.17.0.0 netmask 255.255.0.0 gw [адрес шлюза]

Повторить для 172.18.0.0 и 172.24.0.0

Нажать «Сохранить параметры запуска».

iptables -t nat -A POSTROUTING -o vlan2 -j MASQUERADE

iptables -t nat -A POSTROUTING -o vlan2 -j SNAT —t WAN_IP

Далее — «Сохранить брандмауэр».

Текстовые команды маршрутизатора

Сеть Wi-Fi

Последний штрих — настройка вай-фай-сети:

Режим беспроводной сети — Смешанный.

SSID передаётся в эфир — Включить.

Конфигурация сети — В мосте.

Создание новой точки доступа

  1. Чтобы назначить пароль на Wi-Fi-сеть, нужно перейти на вкладку «Безопасность», выбрать Режим безопасности — WPA Personal и ввести новый ключ в «Общий ключ WPA».
  2. Сохранить параметры и перезагрузить роутер.

Параметры безопасности сети Wi-Fi

Заключение

Опытному пользователю, которого не удовлетворяют стандартные функции роутера для удобной работы домашней сети, мы предлагаем попробовать поработать с роутерами, прошитыми DD WRT. Широкий функционал и правильная настройка этой прошивки позволит вам использовать функции маршрутизатора гораздо шире, чем со стандартным ПО. Попробуйте наше пошаговое руководство по настройке DD WRT и поделитесь своим результатом в комментариях. Там же можно задать нам вопросы по теме статьи.

Источник

Оцените статью
Adblock
detector