الصفحة الرئيسية » howto » كيفية تمكين نقطة وصول ضيف على شبكتك اللاسلكية

    كيفية تمكين نقطة وصول ضيف على شبكتك اللاسلكية

    إن مشاركة Wi-Fi مع الضيوف هو مجرد شيء مهذب ، ولكن هذا لا يعني أنك تريد منحهم وصولاً واسعًا إلى شبكة LAN بأكملها. اقرأ كما نوضح لك كيفية إعداد جهاز التوجيه الخاص بك لمعرفات SSID المزدوجة وإنشاء نقطة وصول منفصلة (ومضمونة) لضيوفك.

    لماذا اريد ان افعل هذا?

    هناك العديد من الأسباب العملية جدًا لرغبتك في إعداد الشبكة المنزلية للحصول على نقاط وصول مزدوجة (AP).

    إن السبب في التطبيق الأكثر عملية لعدد أكبر من الناس هو ببساطة عزل الشبكة المنزلية الخاصة بك بحيث لا يمكن للضيوف الوصول إلى الأشياء التي ترغب في البقاء خاصة. التهيئة الافتراضية لكل نقطة / راوتر واي فاي منزلي تقريبًا هي استخدام نقطة وصول لاسلكية واحدة وأي شخص مخول بالوصول إلى نقطة الوصول يتم منحه حق الوصول إلى الشبكة كما لو كان سلكيًا في AP عبر Ethernet.

    وبعبارة أخرى إذا أعطيت صديقك أو جارك أو ضيف بيت أو من كلمة المرور الخاصة بشبكة Wi-Fi AP ، لقد قمت أيضًا بمنحهم إمكانية الوصول إلى طابعة الشبكة الخاصة بك ، وأي مشاركات مفتوحة على الشبكة ، والأجهزة غير الآمنة على شبكتك ، وما إلى ذلك. قد ترغب فقط في السماح لهم بفحص بريدهم الإلكتروني أو لعب لعبة على الإنترنت ، لكنك قد أعطتهم حرية التجول في أي مكان يريدون على شبكتك الداخلية.

    الآن ، في حين أن الغالبية منا بالتأكيد لا يمتلكون متسللين خبيثين للأصدقاء ، هذا لا يعني أنه ليس من الحكمة إعداد شبكاتنا بحيث يبقى الضيوف في المكان الذي ينتمون إليه (على جانب الوصول المجاني للإنترنت من السور) و لا يمكن أن تذهب إلى حيث لم يفعلوا (على جانب المنزل الخادم / الجانب الشخصي من السياج).

    السبب العملي الآخر لتشغيل AP مع اثنين من SSIDs هو القدرة على عدم تقييد مكان AP للضيف فقط ، ولكن متى. إذا كنت أحد الوالدين ، على سبيل المثال ، يريد تقييد الوقت الذي يمكن لطفلك أن يبقى فيه متوقفًا على جهاز الكمبيوتر ، فيمكنك وضع جهاز الكمبيوتر أو الجهاز اللوحي وما إلى ذلك على نقطة الوصول الثانوية ووضع قيود على الوصول إلى الإنترنت لكل -SID بعد ، على سبيل المثال ، 9:00.

    ماذا أحتاج?

    يركز برنامجنا التعليمي اليوم على استخدام جهاز توجيه متوافق مع DD-WRT لتحقيق SSIDs مزدوجة. على هذا النحو سوف تحتاج الأشياء التالية:

    • 1 جهاز توجيه متوافق مع DD-WRT مع مراجعة الأجهزة المناسبة (سنوضح لك كيفية التحقق)
    • 1 نسخة مثبتة من DD-WRT على جهاز التوجيه المذكور

    هذه ليست الطريقة الوحيدة لإعداد SSIDs مزدوجة لشبكتك المنزلية. سنقوم بتشغيل SSIDs الخاصة بنا من موجه لاسلكي Linksys WRT54G في كل مكان. إذا كنت لا تريد أن تتعرض للمشاكل المتعلقة بوميض البرامج الثابتة المخصصة على جهاز التوجيه القديم والقيام بالخطوات الإضافية للتهيئة ، فيمكنك بدلاً من ذلك:

    • شراء جهاز توجيه أحدث يدعم SSIDs مزدوجة مباشرة خارج المربع مثل ASUS RT-N66U.
    • شراء جهاز توجيه لاسلكي ثانٍ وتكوينه كنقطة وصول مستقلة.

    ما لم يكن لديك بالفعل جهاز توجيه يدعم SSIDs مزدوج (في هذه الحالة يمكنك تخطي هذا البرنامج التعليمي وقراءة الدليل الخاص بجهازك) كلا هذين الخيارين أقل من مثالي في أنه يجب عليك إنفاق أموال إضافية ، وفي حالة الخيار الثاني ، قم بإجراء مجموعة من التهيئة الإضافية بما في ذلك إعداد نقطة الوصول الثانوية لعدم التداخل مع و / أو التداخل مع AP الأساسي.

    في ضوء كل ذلك ، كنا أكثر من سعداء باستخدام الأجهزة التي لدينا بالفعل (جهاز التوجيه اللاسلكي من سلسلة Linksys WRT54G) وتجاوز نفقات السيولة النقدية وتغيير شبكة Wi-Fi الإضافية.

    كيف أعرف جهاز التوجيه الخاص بي هو متوافق?

    هناك نوعان من عناصر التوافق الحرجة التي تحتاج إلى التحقق من أجل تحقيق النجاح مع هذا البرنامج التعليمي. الأول ، والأكثر أهمية ، هو التحقق من أن جهاز التوجيه الخاص بك لديه دعم DD-WRT. يمكنك زيارة DD-WRT wiki's Router Database هنا للتحقق.

    بمجرد التأكد من توافق جهاز التوجيه مع DD-WRT ، نحتاج إلى التحقق من رقم المراجعة الخاص بشريحة جهاز التوجيه. إذا كان لديك جهاز توجيه (Linksys) قديم بالفعل ، على سبيل المثال ، قد يكون جهاز توجيه مثالي للخدمة بأي طريقة ، ولكن الشريحة قد لا تدعم SSIDs مزدوجة (مما يجعلها غير متوافقة بشكل أساسي مع البرنامج التعليمي).

    هناك درجتان للتوافق فيما يتعلق برقم مراجعة الموجه. يمكن لبعض أجهزة التوجيه إجراء عدة معرّفات SSID ولكن لا يمكنها تقسيم SSID إلى نقاط وصول فريدة تمامًا (على سبيل المثال ، عنوان MAC فريد لكل SSID). في بعض الحالات ، يمكن أن يتسبب ذلك في حدوث مشكلات في بعض أجهزة Wi-Fi عند الخلط بينها وبين SSID (نظرًا لأن كلاهما له نفس عنوان MAC) الذي يجب استخدامه. للأسف ، لا توجد طريقة للتنبؤ بالأجهزة التي ستعمل على نحو غير صحيح على شبكتك ، لذا لا يمكننا أن نوصي بشدة بتجنب التقنية المذكورة في هذا البرنامج التعليمي إذا وجدت أن لديك جهازًا لا يدعم SSIDs منفصلة.

    يمكنك التحقق من رقم المراجعة عن طريق إجراء بحث Google عن طراز محدد من جهاز التوجيه الخاص بك إلى جانب رقم الإصدار المطبوع على بطاقة المعلومات (عادة ما يوجد على الجانب السفلي من جهاز التوجيه) ولكننا وجدنا أن هذه التقنية غير موثوقة (التسميات يمكن أن يساء التطبيق ، المعلومات المنشورة على الإنترنت فيما يتعلق بالنموذج وتاريخ الصنع يمكن أن تكون غير دقيقة ، إلخ.)

    الطريقة الأكثر موثوقية للتحقق من رقم المراجعة للرقاقة داخل جهاز التوجيه الخاص بك هو في الواقع استطلاع رأي الموجه. للقيام بذلك ، تحتاج إلى تنفيذ الخطوات التالية. فتح عميل telnet (إما برنامج متعدد الأغراض مثل PuTTY أو الأمر الأساسي لـ Windows Telnet) و telnet إلى عنوان IP الخاص بالموجّه (على سبيل المثال 192.168.1.1). قم بتسجيل الدخول إلى الموجه باستخدام تسجيل الدخول وكلمة المرور الخاصة بالمسؤول (كن على دراية أنه بالنسبة لبعض أجهزة التوجيه حتى إذا قمت بكتابة "admin" و "mypassword" لتسجيل الدخول إلى مدخل الإدارة على الويب على جهاز التوجيه ، قد تضطر إلى كتابة "root" "و" mypassword "لتسجيل الدخول عبر Telnet).

    بمجرد تسجيل الدخول إلى جهاز التوجيه ، اكتب الأمر التالي في الموجه:

    عرض nvram |

    سيؤدي هذا إلى إرجاع رقم المراجعة الأساسي للرقاقة (الشي chipات) في جهاز التوجيه الخاص بك بالتنسيق التالي:

    wl0_corerev = 9
    wl_corerev =

    ماذا يعني الناتج أعلاه هو أن جهاز التوجيه لدينا لديه راديو واحد (wl0 ، لا يوجد wl1) وأن المراجعة الأساسية لشريحة الراديو هذه هي 9. كيف تفسر المخرجات؟ رقم المراجعة ، فيما يتعلق بدليلنا ، يعني ما يلي:

    • 0-4 لا يدعم الموجّه SSIDs متعددة (مع معرّفات فريدة أو خلاف ذلك)
    • 5-8 يدعم الموجّه SSIDs متعددة (لكن ليس بمعرّفات فريدة)
    • 9+ يدعم جهاز التوجيه SSIDs متعددة (مع المعرفات الفريدة)

    كما ترون من إخراج الأمر أعلاه ، لقد حالفنا الحظ. رقاقة جهاز التوجيه لدينا هي أدنى مراجعة تدعم عدة SSIDs ذات المعرفات الفريدة.

    بمجرد أن تحدد أن الموجه يمكنه دعم SSIDs متعددة ستحتاج إلى تثبيت DD-WRT. إذا كان جهاز التوجيه الخاص بك مشحونًا بـ DD-WRT أو قمت بتثبيته بالفعل ، فهذا رائع. إذا لم تكن قد قمت بتثبيته بالفعل ، فإننا ننصحك بتنزيل الإصدار المناسب من موقع DD-WRT على الويب ومتابعته مع البرنامج التعليمي الخاص بنا: قم بتشغيل جهاز التوجيه المنزلي الخاص بك إلى جهاز توجيه يعمل بتقنية Super-WRT.

    بالإضافة إلى البرنامج التعليمي الخاص بنا ، لا يمكننا التأكيد على قيمة ويكي DD-WRT واسعة النطاق والمبنية بشكل ممتاز. اقرأ على جهاز التوجيه الخاص بك وأفضل الممارسات لوميض برنامج ثابت جديد عليه هناك.

    تكوين DD-WRT لعديد من SSIDs

    لديك موجه متوافق ، لقد قمت بشفط DD-WRT إليه ، والآن حان الوقت للبدء في إعداد SSID الثاني. تمامًا كما يجب أن تقوم دائمًا بتشغيل برنامج ثابت جديد عبر اتصال سلكي ، نوصي بشدة بالعمل على الإعداد اللاسلكي عبر اتصال سلكي حتى لا تجبر التغييرات الكمبيوتر اللاسلكي على إيقاف الشبكة.

    افتح متصفح الويب الخاص بك على جهاز كمبيوتر متصل بالموجه عبر Ethernet. انتقل إلى عنوان IP للموجه الافتراضي (عادةً 198.168.1.1). في واجهة DD-WRT ، انتقل إلى Wireless -> Basic Settings (كما يظهر في لقطة الشاشة أعلاه). يمكنك أن ترى أن شبكة Wi-Fi AP الموجودة لدينا تحتوي على SSID "HTG_Office".

    في الجزء السفلي من الصفحة ، في قسم "واجهات افتراضية" ، انقر فوق الزر "إضافة". سيتم توسيع قسم "واجهات الظاهرية" الفارغة سابقًا باستخدام هذا الإدخال الذي تمت تعبئته مسبقًا:

    هذه الواجهة الافتراضية مدمجة في شريحة الراديو الحالية (لاحظ wl0.1 في عنوان الإدخال الجديد). حتى الاختزال في SSID أشار إلى ذلك ، فإن "vap" في نهاية SSID الافتراضي يمثل نقطة الوصول الافتراضية. دعونا كسر ما تبقى من الإدخالات تحت واجهة افتراضية جديدة.

    يمكنك إعادة تسمية SSID إلى كل ما تريد. تماشيًا مع قواعد التسمية الحالية (وجعل الحياة سهلة على ضيوفنا) سنقوم بتغيير SSID من الإعداد الافتراضي إلى "HTG_Guest" - تذكر أن شبكة Wi-Fi الرئيسية الخاصة بنا هي "HTG_Office".

    اترك Wireless SSID Broadcast ممكن. لا يقتصر الأمر على أن العديد من أجهزة الكمبيوتر القديمة والأجهزة المزودة بتقنية Wi-Fi لا تلعب جيدًا مع معرفات SSID السرية ، ولكن شبكة الضيف المخفية ليست شبكة ضيف جذابة / مفيدة.

    يعد AP Isolation إعدادًا أمنيًا سنتركه وفقًا لتقديرك لتمكينه أو تعطيله. إذا قمت بتمكين AP العزلة سيتم عزل كل عميل على شبكة Wi-Fi الضيف الخاصة بك تمامًا عن بعضها البعض. من وجهة نظر أمنية هذا شيء عظيم ، لأنه يحتفظ بمستخدم ضار من بدس حول عملاء المستخدمين الآخرين. هذا أكثر من قلق لشبكات الشركات والنقاط الساخنة العامة ، ولكن. من الناحية العملية ، هذا يعني أيضًا أنه إذا كانت ابنة أختك وابن أختك قد انتهت ، وترغبان في لعب لعبة متصلة بشبكة Wi-Fi على وحدات Nintendo DS ، فلن تتمكن وحدات DS الخاصة بها من رؤية بعضها البعض. في معظم تطبيقات المنازل والمكاتب الصغيرة لا يوجد سبب كاف لعزل نقاط الوصول.

    يشير الخيار Unbridged / Bridged في تكوين الشبكة إلى ما إذا كان سيتم توصيل شبكة Wi-Fi AP أم لا بالشبكة الفعلية. كما هو مبين بديهيًا ، يجب تركه مضبوطًا على Bridged. وبدلاً من السماح لبرمجيات التوجيه (router) بالتعامل مع عملية إلغاء الربط (بدلاً من وضعها بشكل خامل) ، فإننا سنقوم بإزالة كل شيء بأنفسنا يدويًا من خلال نتائج أنظف وأكثر استقرارًا.

    بمجرد قيامك بتغيير SSID الخاص بك ومراجعة الإعدادات ، انقر فوق حفظ.

    انتقل بعد ذلك إلى Wireless -> Wireless Security:

    افتراضيًا ، لا يوجد تأمين على AP الثاني. يمكنك تركها مؤقتًا لأغراض الاختبار (لقد تركنا العمل مفتوحًا حتى النهاية) لإنقاذ نفسك من إدخال كلمة المرور على أجهزة الاختبار. ومع ذلك ، فنحن لا ننصح بتركه مفتوحًا بشكل دائم. سواء اخترت تركه مفتوحًا أم لا في هذه المرحلة ، يلزمك النقر على حفظ ثم تطبيق الإعدادات للتغييرات التي أجريناها في القسم السابق وسيسري هذا التغيير. التحلي بالصبر ، قد يستغرق الأمر ما يصل إلى دقيقتين حتى تصبح التغييرات سارية.

    الآن حان الوقت للتأكيد على أن أجهزة Wi-Fi القريبة يمكنها رؤية كلٍّ من APs الأساسية والثانوية. يعد فتح واجهة Wi-Fi على الهاتف الذكي طريقة رائعة للتحقق بسرعة. في ما يلي العرض من صفحة تهيئة Wi-Fi للهاتف Android:

    لا يمكننا الاتصال بـ AP الثانوي فقط حتى الآن حيث أننا نحتاج إلى إجراء بعض التغييرات الإضافية على الموجه ، ولكن من الجميل دائمًا رؤيتهما في القائمة.

    الخطوة التالية هي بدء عملية فصل SSID على الشبكة عن طريق تعيين نطاق فريد من عناوين IP لأجهزة Wi-Fi الخاصة بالضيف.

    انتقل إلى الإعداد -> الشبكات. تحت قسم "التجسير" ، انقر فوق الزر "إضافة".

    أولاً ، قم بتغيير الفتحة الأولى إلى "br1" ، واترك بقية القيم نفسها. لن تتمكن من رؤية إدخال IP / الشبكة الفرعية المعروض أعلاه حتى الآن. انقر فوق "تطبيق الإعدادات". سيكون الجسر الجديد موجودًا في قسم التجسير مع توفر أقسام IP وشبكة فرعية. عيّن عنوان IP لقيمة واحدة خارج عنوان IP للشبكة العادية (على سبيل المثال ، شبكة الاتصال الأساسية هي 192.168.1.1 ، لذلك اجعل هذه القيمة 192.168.2.1). اضبط قناع الشبكة الفرعية على 255.255.255.0. انقر فوق "تطبيق الإعدادات" في أسفل الصفحة مرة أخرى.

    تعيين شبكة الضيف إلى الجسر

    ملاحظة: بفضل القارئ Joel للإشارة إلى هذا الجزء وإعطائنا التعليمات لإضافتها إلى البرنامج التعليمي.

    ضمن "تعيين إلى جسر" ، انقر على "إضافة". حدد الجسر الجديد الذي قمت بإنشائه من القائمة المنسدلة الأولى وقم بإقرانه بواجهة "wl0.1".

    الآن انقر فوق "حفظ" و "تطبيق الإعدادات".

    بعد تطبيق التغييرات ، انتقل إلى أسفل الصفحة مرة أخرى إلى قسم DHCPD. انقر فوق "إضافة". قم بتبديل الفتحة الأولى إلى "br1". اترك بقية الإعدادات كما هي (كما هو موضح في لقطة الشاشة أدناه).

    انقر فوق "تطبيق الإعدادات" مرة أخرى. بمجرد الانتهاء من جميع المهام في الإعداد -> شبكة الصفحة يجب أن تكون جيدة للذهاب للاتصال وتعيين DHCP.

    ملاحظة: إذا كان Wi-Fi AP الذي تقوم بتكوينه لمعرفات SSID مزدوجة هو دعم على جهاز آخر (على سبيل المثال ، لديك موجّهان Wi-Fi في منزلك أو مكتبك لتوسيع نطاق التغطية وتغطية النطاق الذي تقوم بتعيينه SSID الضيف في # 2 في السلسلة) ستحتاج إلى إعداد DHCP في قسم الخدمات. إذا كان هذا يبدو كإعدادك ، فقد حان الوقت للانتقال إلى قسم الخدمات -> الخدمات.

    في قسم الخدمات ، نحتاج إلى إضافة القليل من التعليمات البرمجية لقسم DNSMasq بحيث يقوم الموجه بتعيين عناوين IP الديناميكية بشكل صحيح للأجهزة المتصلة بشبكة الضيف. قم بالتمرير لأسفل قسم DNSMasq. في مربع "خيارات DNSMasq إضافية" ، قم بلصق التعليمة البرمجية التالية (ناقص التعليقات # يشرح وظيفة كل سطر):

    # تمكين DHCP على br1
    واجهة = BR1
    # قم بتعيين البوابة الافتراضية لعملاء br1
    DHCP-خيار = br1،3،192.168.2.1
    # تعيين نطاق DHCP ووقت التأجير الافتراضي من 24 ساعة للعملاء br1
    DHCP المدى = br1،192.168.2.100،192.168.2.150،255.255.255.0،24h

    انقر فوق "تطبيق الإعدادات" في أسفل الصفحة.

    سواء كنت تستخدم تقنية واحدة أو اثنتين ، انتظر بضع دقائق للاتصال بـ SSID الضيف الجديد. عندما تتصل بـ SSID الضيف ، تحقق من عنوان IP الخاص بك. يجب أن يكون لديك عنوان IP ضمن النطاق الذي حددناه مع ما سبق. مرة أخرى ، من السهل استخدام هاتفك الذكي للتحقق:

    كل شيء يبدو جيدا. تقوم الـ AP الثانوي بتعيين عناوين IP ديناميكية في نطاق مناسب ، ويمكننا الوصول إلى الإنترنت - فنحن نقدم ملاحظة هنا ، نجاحًا كبيرًا.

    لكن المشكلة الوحيدة هي أن بروتوكول نقطة الوصول الثانوي لا يزال بإمكانه الوصول إلى موارد الشبكة الأساسية. يعني ذلك أن جميع الطابعات المتصلة بالشبكة ومشاركات الشبكة وما زالت مرئية (يمكنك اختبارها الآن ومحاولة العثور على مشاركة عبر الشبكة من شبكتك الأساسية في نقطة الوصول الثانوية).

    اذا أنت تريد الضيوف على AP الثانوي للوصول إلى هذه الأشياء (ويتابعونها مع البرنامج التعليمي حتى تتمكن من القيام بمهام SSID المزدوجة الأخرى مثل تقييد النطاق الترددي للنزيل أو الأوقات المسموح لهم باستخدام الإنترنت) ثم القيام بذلك بشكل فعال مع الدورة التعليمية.

    نتخيل أن معظمكم يرغب في إبقاء ضيوفك في حالة من الدق حول شبكتك وجمعهم بلطف نحو الالتصاق بـ Facebook والبريد الإلكتروني. في هذه الحالة ، نحتاج إلى إنهاء العملية عن طريق إلغاء ربط نقطة الوصول الثانوية من الشبكة الفعلية.

    انتقل إلى الإدارة -> الأوامر. سترى منطقة تحمل اسم "Command Shell". الصق الأوامر التالية ، بدون سطور # comment ، في المنطقة القابلة للتحرير:

    #Removes ضيف الوصول إلى الشبكة المادية
    iptables -I FORWARD -i br1 -o br0 -m state - state NEW -j DROP
    iptables -I FORWARD -i br0 -o br1 -m state - state NEW -j DROP
    # إزالة دخول المستخدم إلى واجهة المستخدم الرسومية / المنافذ config الموجه
    iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset

    انقر على "حفظ جدار الحماية" وأعد تشغيل جهاز التوجيه.

    تقوم قواعد الجدار الناري الإضافية هذه بإيقاف كل شيء بسيط على الجسرين (الشبكة الخاصة والشبكة العامة / الضيف) من التحدث بالإضافة إلى رفض أي اتصال بين العميل على شبكة الضيف ومنافذ telnet أو SSH أو خادم الويب على جهاز التوجيه (وبالتالي تقييدهم من محاولة الوصول إلى ملفات تكوين جهاز التوجيه على الإطلاق).

    كلمة حول استخدام الأمر command وبدء التشغيل وإيقاف التشغيل والبرامج النصية لجدار الحماية. أولاً ، تتم معالجة أوامر IPTABLES بالترتيب. تغيير ترتيب خطوط الأفراد يمكن أن يغير النتيجة بشكل ملحوظ. ثانيًا ، هناك العشرات من العشرات من أجهزة التوجيه المدعومة بواسطة DD-WRT ، واعتمادًا على جهاز التوجيه المحدد الخاص بك والتكوين ، قد تحتاج إلى تعديل أوامر IPTABLES المذكورة أعلاه. يعمل البرنامج النصي لجهاز التوجيه الخاص بنا ، ويستخدم الأوامر الأوسع والأبسط الممكنة لإنجاز المهمة ، لذا يجب أن يعمل مع معظم أجهزة التوجيه. إذا لم يحدث ذلك ، فإننا نحثك بشدة على البحث عن نموذج جهاز التوجيه المحدد الخاص بك في منتديات المناقشة DD-WRT ومعرفة ما إذا كان المستخدمون الآخرون قد واجهوا نفس المشكلات التي لديك.


    في هذه المرحلة ، تكون قد انتهيت من التكوين وجاهزة للاستمتاع بـ SSIDs مزدوجة وجميع المزايا التي تأتي مع تشغيلها. يمكنك بسهولة إعطاء كلمة مرور الضيف (وتغييرها حسب الرغبة) ، وإعداد قواعد جودة الخدمة (QoS) لشبكة الضيف ، وتعديل شبكة الضيف وتقيدها بطرق لا تؤثر على شبكتك الأساسية في أقل تقدير.