Pourquoi est-ce que je veux faire ça?
Il existe plusieurs raisons très pratiques de vouloir configurer votre réseau domestique de manière à disposer de deux points d’accès.
La raison pour laquelle l’application la plus pratique convient au plus grand nombre de personnes est tout simplement l’isolation de votre réseau domestique afin que les invités ne puissent pas accéder aux éléments que vous souhaitez garder privés. La configuration par défaut pour presque tous les points d'accès / routeurs domestiques consiste à utiliser un seul point d'accès sans fil. Toute personne autorisée à accéder à ce point d'accès a accès au réseau comme si elle était câblée directement dans le point d'accès via Ethernet.
En d'autres termes, si vous donnez à votre ami, voisin, invité de la maison ou quiconque mot de passe de votre point d’accès Wi-Fi, vous leur avez également donné l’accès à votre imprimante réseau, à tous les partages ouverts de votre réseau, aux périphériques non sécurisés de votre réseau, etc. Vous avez peut-être simplement voulu les laisser consulter leur courrier électronique ou jouer à un jeu en ligne, mais vous leur avez donné la liberté de se déplacer où bon leur semble sur votre réseau interne.
Maintenant, bien que la majorité d’entre nous n’ait certainement pas de pirates malveillants pour ses amis, cela ne veut pas dire qu’il n’est pas prudent de configurer nos réseaux de manière à ce que les clients restent chez eux (du côté de l’accès gratuit à Internet) ne peuvent pas aller où ils ne le font pas (côté serveur de la maison / partage personnel de la clôture).
Une autre raison pratique d'exécuter un AP avec deux SSID est la possibilité, non seulement de limiter l'accès de l'AP invité, mais également le moment. Si vous êtes un parent, par exemple, qui souhaite limiter la fin de son activité à l'ordinateur, vous pouvez mettre son ordinateur, sa tablette, etc. sur le point d'accès secondaire et définir des restrictions d'accès Internet pour l'ensemble du sous-marin. -SSID après, disons, 21 heures.
De quoi ai-je besoin?
- 1 routeur compatible DD-WRT avec une révision matérielle appropriée (nous vous montrerons comment vérifier)
- 1 copie installée de DD-WRT sur ledit routeur
Ce n'est pas le seul moyen de configurer un double SSID pour votre réseau domestique. Nous allons utiliser nos SSID à partir du très répandu des routeurs sans fil Linksys WRT54G. Si vous ne souhaitez pas utiliser le microprogramme personnalisé clignotant sur votre ancien routeur et effectuer les étapes de configuration supplémentaires, vous pouvez également:
- Achetez un nouveau routeur prenant en charge le double SSID, tel que le ASUS RT-N66U.
- Achetez un deuxième routeur sans fil et configurez-le en tant que point d'accès autonome.
À moins que vous ne possédiez déjà un routeur prenant en charge deux SSID (dans ce cas, vous pouvez ignorer ce tutoriel et simplement lire le manuel de votre appareil). Ces deux options sont loin d'être idéales dans la mesure où vous devez dépenser de l'argent supplémentaire et, dans le cas de la deuxième option consiste à effectuer une configuration supplémentaire, notamment la configuration du point d'accès secondaire de manière à ne pas interférer avec et / ou se chevaucher avec votre point d'accès principal.
À la lumière de tout cela, nous étions plus qu’heureux d’utiliser le matériel que nous avions déjà (le routeur sans fil Linksys série WRT54G) et d’éviter les dépenses en espèces et les ajustements réseau Wi-Fi supplémentaires.
Comment savoir si mon routeur est compatible?
Une fois que vous avez établi que votre routeur est compatible avec DD-WRT, nous devons vérifier le numéro de révision de la puce de votre routeur. Si vous avez un très vieux routeur Linksys, par exemple, il peut s'agir d'un routeur réparable parfaitement, mais la puce peut ne pas prendre en charge le double SSID (ce qui le rend fondamentalement incompatible avec le didacticiel).
Il existe deux degrés de compatibilité en ce qui concerne le numéro de révision du routeur. Certains routeurs peuvent créer plusieurs SSID, mais ils ne peuvent pas scinder le SSID en points d'accès absolument uniques et distincts (par exemple, une adresse MAC unique pour chaque SSID). Dans certaines situations, cela peut entraîner des problèmes avec certains périphériques Wi-Fi car ils ne savent plus quel SSID (car ils ont la même adresse MAC) qu’ils doivent utiliser. Malheureusement, il n’existe aucun moyen de prédire quels périphériques se comporteront mal sur votre réseau. Nous ne pouvons donc pas vous recommander d’éviter la technique décrite dans ce didacticiel si vous constatez que votre périphérique ne prend pas en charge les SSID discrets.
Vous pouvez vérifier le numéro de révision en effectuant une recherche Google du modèle spécifique de votre routeur ainsi que du numéro de version imprimé sur l’étiquette d’information (généralement située sous le routeur), mais nous avons constaté que cette technique n’était pas fiable (étiquettes peut être mal appliqué, les informations affichées en ligne concernant le modèle et la date de fabrication peuvent être inexactes, etc.)
Le moyen le plus fiable de vérifier le numéro de révision de la puce à l'intérieur de votre routeur est de l'interroger pour le savoir. Pour ce faire, vous devez suivre les étapes suivantes.Ouvrez un client telnet (programme polyvalent tel que PuTTY ou la commande Windows Telnet de base) et connectez telnet à l'adresse IP de votre routeur (192.168.1.1, par exemple). Connectez-vous au routeur à l'aide de votre identifiant et de votre mot de passe administrateur (sachez que pour certains routeurs, même si vous saisissez «admin» et «mypassword» pour vous connecter au portail de gestion Web du routeur, vous devrez peut-être saisir «root».”Et“mypassword”pour se connecter via telnet).
nvram show|grep corerev
Cela renverra le numéro de révision principal de la / des puce (s) de votre routeur au format suivant:
wl0_corerev=9 wl_corerev=
La sortie ci-dessus signifie que notre routeur a une radio (wl0, il n’existe pas de wl1) et que la révision de base de cette puce radio est 9. Comment interprétez-vous la sortie? Le numéro de révision, en relation avec notre guide, signifie:
- 0-4 Le routeur ne prend pas en charge plusieurs SSID (avec des identifiants uniques ou autres).
- 5-8 Le routeur prend en charge plusieurs SSID (mais pas avec des identificateurs uniques).
- 9+ Le routeur prend en charge plusieurs SSID (avec des identificateurs uniques)
Comme vous pouvez le constater dans la sortie de commande ci-dessus, nous avons eu de la chance. La puce de notre routeur est la révision la plus basse prenant en charge plusieurs SSID avec des identifiants uniques.
Une fois que vous avez déterminé que votre routeur peut prendre en charge plusieurs SSID, vous devez installer DD-WRT. Si votre routeur est livré avec DD-WRT ou si vous l'avez déjà installé, c'est fantastique. Si vous ne l’avez pas déjà installée, nous vous recommandons de télécharger la version appropriée à partir du site Web DD-WRT et de suivre notre tutoriel: Transformez votre routeur domestique en un routeur super-alimenté avec DD-WRT.
En plus de notre tutoriel, nous ne pouvons pas souligner la valeur du wiki DD-WRT étendu et parfaitement entretenu. Consultez votre routeur et les meilleures pratiques pour y insérer un nouveau micrologiciel.
Configuration de DD-WRT pour plusieurs SSID
Ouvrez votre navigateur Web sur un ordinateur connecté au routeur via Ethernet. Accédez à l'adresse IP du routeur par défaut (généralement 198.168.1.1). Dans l'interface DD-WRT, accédez à Sans fil -> Paramètres de base (comme indiqué dans la capture d'écran ci-dessus). Vous pouvez voir que notre point d'accès Wi-Fi existant a le SSID «HTG_Office».
Au bas de la page, dans la section «Interfaces virtuelles», cliquez sur le bouton Ajouter. La section «Interfaces virtuelles» précédemment vide sera développée avec cette entrée préremplie:
Vous pouvez renommer le SSID comme vous le souhaitez. Conformément à notre convention de dénomination existante (et afin de simplifier la vie de nos clients), nous allons modifier le SSID du nom par défaut en «HTG_Guest» - rappelez-vous que notre principal point d'accès Wi-Fi est «HTG_Office».
Laissez la diffusion SSID sans fil activée. Non seulement de nombreux ordinateurs plus anciens et des appareils compatibles Wi-Fi ne fonctionnent pas très bien avec les SSID secrets, mais un réseau invité caché n’est pas un réseau invité très invitant / utile.
L'isolation du point d'accès est un paramètre de sécurité que nous laisserons à votre discrétion d'activer ou de désactiver. Si vous activez l’isolation du point d’accès, chaque client de votre réseau Wi-Fi invité sera totalement isolé l’un de l’autre. Du point de vue de la sécurité, c’est formidable, car cela empêche un utilisateur malveillant de fouiller les clients des autres utilisateurs. C’est davantage une préoccupation pour les réseaux d’entreprise et les points chauds publics. Concrètement, cela signifie également que si votre nièce et votre neveu sont terminés et veulent jouer à un jeu lié Wi-Fi sur leurs unités Nintendo DS, leurs unités DS ne pourront pas se voir. Dans la plupart des applications domestiques et de bureau, il n’ya aucune raison d’isoler les AP.
L'option Unbridged / Bridged de la configuration du réseau indique si le point d'accès Wi-Fi sera ponté ou non vers le réseau physique. Aussi paradoxal que cela soit, vous devez laisser le paramètre défini sur Ponté. Plutôt que de laisser le microprogramme du routeur gérer (plutôt maladroitement) le processus de dissociation, nous allons tout décompresser manuellement nous-mêmes avec un résultat plus propre et plus stable.
Une fois que vous avez modifié votre SSID et examiné les paramètres, cliquez sur Enregistrer.
Ensuite, accédez à Wireless -> Wireless Security:
Le moment est venu de confirmer que les périphériques Wi-Fi à proximité peuvent voir à la fois les points d'accès primaire et secondaire. L’ouverture de l’interface Wi-Fi sur un smartphone est un excellent moyen de vérifier rapidement. Voici la vue de la page de configuration Wi-Fi de notre téléphone Android:
L'étape suivante consiste à commencer le processus de séparation des SSID sur le réseau en attribuant une plage unique d'adresses IP aux périphériques Wi-Fi invités.
Accédez à Configuration -> Mise en réseau. Sous la section «Pontage», cliquez sur le bouton Ajouter.
Affecter un réseau invité à Bridge
Remarque: merci au lecteur Joel d'avoir signalé cette partie et de nous avoir donné les instructions à ajouter au didacticiel.
Sous «Attribuer à Bridge», cliquez sur «Ajouter». Sélectionnez le nouveau pont que vous avez créé à partir de la première liste déroulante et reliez-le à l'interface «wl0.1».
Maintenant, cliquez sur "Enregistrer" et "Appliquer les paramètres".
Une fois les modifications appliquées, faites défiler de nouveau la page jusqu'au bas de la page jusqu'à la section DHCPD. Cliquez sur "Ajouter". Basculez le premier emplacement sur «br1». Laissez les autres paramètres identiques (comme dans la capture d'écran ci-dessous).
Remarque: si le point d'accès Wi-Fi que vous configurez pour un double SSID est superposé sur un autre appareil (par exemple, vous avez deux routeurs Wi-Fi à la maison ou au bureau pour étendre votre couverture et celui sur lequel vous configurez le SSID invité. sur # 2 dans la chaîne), vous devez configurer le serveur DHCP dans la section Services. Si cela ressemble à votre configuration, il est temps de naviguer vers la section Services -> Services.
# Enables DHCP on br1 interface=br1 # Set the default gateway for br1 clients dhcp-option=br1,3,192.168.2.1 # Set the DHCP range and default lease time of 24 hours for br1 clients dhcp-range=br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Cliquez sur «Appliquer les paramètres» au bas de la page.
Que vous utilisiez la technique un ou deux, attendez quelques minutes pour vous connecter à votre nouveau SSID invité. Lorsque vous vous connectez au SSID invité, vérifiez votre adresse IP. Vous devriez avoir une adresse IP dans la plage que nous avons spécifiée avec ce qui précède. Encore une fois, il est pratique d’utiliser votre smartphone pour vérifier:
Le seul problème, cependant, est que le point d’accès secondaire a toujours accès aux ressources du réseau principal. Cela signifie que toutes les imprimantes en réseau, les partages réseau, etc. sont encore visibles (vous pouvez le tester maintenant, essayez de trouver un partage réseau à partir de votre réseau principal sur le point d'accès secondaire).
Si vous vouloir Les invités du point d’accès secondaire doivent avoir accès à ces éléments (et suivent le didacticiel afin que vous puissiez effectuer d’autres tâches à double SSID, telles que la restriction de la bande passante des invités ou les périodes pendant lesquelles ils sont autorisés à utiliser Internet). Didacticiel.
Nous imaginons que la plupart d’entre vous voudraient empêcher vos invités de fouiller dans votre réseau et les guider doucement vers Facebook et le courrier électronique. Dans ce cas, nous devons terminer le processus en dissociant le point d'accès secondaire du réseau physique.
#Removes guest access to physical network iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP #Removes guest access to the router's config GUI/ports iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Cliquez sur «Enregistrer le pare-feu» et redémarrez votre routeur.
Ces règles de pare-feu supplémentaires empêchent tout simplement les deux ponts (le réseau privé et le réseau public / invité) de dialoguer, ainsi que de refuser tout contact entre un client du réseau invité et les ports telnet, SSH ou serveur Web du serveur. routeur (ce qui les empêche de tenter d'accéder aux fichiers de configuration du routeur).
Un mot sur l'utilisation du shell de commande et des scripts de démarrage, d'arrêt et de pare-feu. Tout d'abord, les commandes IPTABLES sont traitées dans l'ordre. Changer l'ordre des lignes des individus peut considérablement changer le résultat. Deuxièmement, il existe des dizaines de routeurs pris en charge par DD-WRT et, en fonction de votre routeur spécifique et de votre configuration, vous devrez peut-être modifier les commandes IPTABLES ci-dessus. Le script a fonctionné pour notre routeur et utilise les commandes les plus larges et les plus simples possibles pour accomplir la tâche. Il devrait donc fonctionner pour la plupart des routeurs. Si ce n’est pas le cas, nous vous recommandons vivement de rechercher votre modèle de routeur spécifique dans les forums de discussion DD-WRT et de voir si d’autres utilisateurs ont rencontré le même problème que vous.
À ce stade, vous avez terminé la configuration et êtes prêt à utiliser deux SSID et tous les avantages associés à leur utilisation. Vous pouvez facilement donner un mot de passe d’invité (et le changer à volonté), configurer des règles de qualité de service pour le réseau invité, et autrement modifier et restreindre le réseau invité de manière à n’affecter en rien votre réseau principal.