Comment activer un point d'accès invité sur votre réseau sans fil
Partager votre Wi-Fi avec vos invités est une chose polie, mais cela ne signifie pas que vous souhaitiez leur donner un accès ouvert à votre réseau local. Continuez votre lecture pour découvrir comment configurer votre routeur pour les deux SSID et créer un point d'accès distinct (et sécurisé) pour vos invités..
Pourquoi je veux faire ça?
Il existe plusieurs raisons très pratiques de vouloir configurer votre réseau domestique de manière à disposer de deux points d’accès..
La raison pour laquelle l'application la plus pratique s'adresse au plus grand nombre de personnes est simplement l'isolation de votre réseau domestique afin que les invités ne puissent pas accéder aux éléments que vous souhaitez garder privés. La configuration par défaut pour presque chaque point d'accès / routeur Wi-Fi domestique consiste à utiliser un seul point d'accès sans fil. Toute personne autorisée à accéder à ce point d'accès a accès au réseau comme si elle était câblée directement dans le point d'accès via Ethernet..
En d'autres termes, si vous donnez à votre ami, voisin, invité de la maison ou quiconque le mot de passe de votre point d’accès Wi-Fi, vous leur avez également donné l’accès à votre imprimante réseau, à tous les partages ouverts sur votre réseau, aux périphériques non sécurisés sur votre réseau, etc. Vous avez peut-être simplement voulu les laisser consulter leur courrier électronique ou jouer à un jeu en ligne, mais vous leur avez donné la liberté de se déplacer où bon leur semble sur votre réseau interne..
Bien que la majorité d’entre nous n’ayons certainement pas de pirates malveillants pour nos amis, cela ne veut pas dire qu’il n’est pas prudent de configurer nos réseaux pour que les clients restent chez eux (du côté de l’accès gratuit à Internet) ne peut pas aller où ils ne vont pas (côté serveur / part personnelle de la clôture).
Une autre raison pratique d'exécuter un AP avec deux SSID est la possibilité, non seulement de limiter l'accès de l'AP invité, mais également le moment. Si vous êtes un parent, par exemple, qui souhaite limiter la fin de son séjour à l'ordinateur, vous pouvez mettre son ordinateur, sa tablette, etc. sur le point d'accès secondaire et définir des restrictions d'accès Internet pour tout le sous-marin. -SSID après, disons, 21h.
De quoi ai-je besoin?
Notre didacticiel porte aujourd'hui sur l'utilisation d'un routeur compatible DD-WRT pour obtenir un double SSID. En tant que tel, vous aurez besoin des éléments suivants:
- 1 routeur compatible DD-WRT avec une révision matérielle appropriée (nous vous montrerons comment vérifier)
- 1 copie installée de DD-WRT sur ledit routeur
Ce n'est pas le seul moyen de configurer un double SSID pour votre réseau domestique. Nous allons utiliser nos SSID à partir du très répandu des routeurs sans fil Linksys WRT54G. Si vous ne souhaitez pas vous soucier de la mise à jour du micrologiciel personnalisé sur votre ancien routeur et des étapes de configuration supplémentaires, vous pouvez plutôt:
- Achetez un nouveau routeur prenant en charge le double SSID, tel que le ASUS RT-N66U..
- Achetez un deuxième routeur sans fil et configurez-le en tant que point d'accès autonome.
À moins que vous ne possédiez déjà un routeur prenant en charge deux SSID (dans ce cas, vous pouvez ignorer ce tutoriel et simplement lire le manuel de votre appareil). Ces deux options sont loin d'être idéales, car vous devez dépenser de l'argent supplémentaire et, dans le cas de la deuxième option, faire un tas de configuration supplémentaire incluant la configuration du point d'accès secondaire pour ne pas interférer avec et / ou se chevaucher avec votre point d'accès principal.
À la lumière de tout cela, nous étions plus qu'heureux d'utiliser le matériel que nous avions déjà (le routeur sans fil Linksys série WRT54G) et d'éviter les dépenses en espèces et les modifications supplémentaires apportées au réseau Wi-Fi..
Comment savoir si mon routeur est compatible?
Vous devez vérifier deux éléments de compatibilité critiques pour réussir ce didacticiel. La première, et la plus élémentaire, consiste à vérifier que votre routeur particulier prend en charge DD-WRT. Vous pouvez visiter la base de données de routeurs du wiki DD-WRT ici pour vérifier.
Une fois que vous avez établi que votre routeur est compatible avec DD-WRT, nous devons vérifier le numéro de révision de la puce de votre routeur. Si vous avez un très vieux routeur Linksys, par exemple, il peut s'agir d'un routeur réparable parfaitement, mais la puce peut ne pas prendre en charge le double SSID (ce qui le rend fondamentalement incompatible avec le tutoriel)..
Il existe deux degrés de compatibilité en ce qui concerne le numéro de révision du routeur. Certains routeurs peuvent créer plusieurs SSID, mais ils ne peuvent pas scinder le SSID en points d'accès absolument uniques et distincts (par exemple, une adresse MAC unique pour chaque SSID). Dans certaines situations, cela peut poser problème avec certains périphériques Wi-Fi car ils ne savent pas quel SSID (car ils ont la même adresse MAC) qu’ils doivent utiliser. Malheureusement, il n’existe aucun moyen de prédire quels périphériques se comporteront mal sur votre réseau. Nous ne pouvons donc pas vous recommander d'éviter la technique décrite dans ce tutoriel si vous constatez que votre périphérique ne prend pas en charge les SSID discrets..
Vous pouvez vérifier le numéro de révision en effectuant une recherche Google du modèle spécifique de votre routeur ainsi que du numéro de version imprimé sur l’étiquette d’information (généralement située sous le routeur), mais nous avons constaté que cette technique n’était pas fiable (étiquettes peut être mal appliqué, les informations affichées en ligne concernant le modèle et la date de fabrication peuvent être inexactes, etc.)
Le moyen le plus fiable de vérifier le numéro de révision de la puce à l'intérieur de votre routeur est de l'interroger pour le savoir. Pour ce faire, vous devez suivre les étapes suivantes. Ouvrez un client telnet (programme polyvalent tel que PuTTY ou la commande Windows Telnet de base) et connectez telnet à l'adresse IP de votre routeur (192.168.1.1, par exemple). Connectez-vous au routeur à l'aide de votre identifiant et de votre mot de passe administrateur (sachez que, pour certains routeurs, même si vous saisissez «admin» et «mypassword» pour vous connecter au portail de gestion Web du routeur, vous devrez peut-être saisir «root». ”Et“ mypassword ”pour se connecter via telnet).
Une fois connecté au routeur, tapez la commande suivante à l'invite:
nvram show | grep corerev
Cela renverra le numéro de révision de base de la ou des puce (s) de votre routeur au format suivant:
wl0_corerev = 9
wl_corerev =
La sortie ci-dessus signifie que notre routeur dispose d'une radio (wl0, il n'y a pas de wl1) et que la révision principale de cette puce radio est 9. Comment interprétez-vous la sortie? Le numéro de révision, en relation avec notre guide, signifie:
- 0-4 Le routeur ne prend pas en charge plusieurs SSID (avec des identifiants uniques ou autres).
- 5-8 Le routeur prend en charge plusieurs SSID (mais pas avec des identificateurs uniques)
- 9+ Le routeur prend en charge plusieurs SSID (avec des identifiants uniques)
Comme vous pouvez le voir dans la sortie de commande ci-dessus, nous avons eu de la chance. La puce de notre routeur est la révision la plus basse prenant en charge plusieurs SSID avec des identificateurs uniques..
Une fois que vous avez déterminé que votre routeur peut prendre en charge plusieurs SSID, vous devez installer DD-WRT. Si votre routeur est livré avec DD-WRT ou si vous l'avez déjà installé, c'est fantastique. Si vous ne l'avez pas déjà installé, nous vous recommandons de télécharger la version appropriée à partir du site Web DD-WRT et de suivre notre tutoriel: Transformez votre routeur domestique en un routeur super-alimenté avec DD-WRT.
En plus de notre tutoriel, nous ne pouvons pas souligner la valeur du wiki DD-WRT étendu et parfaitement entretenu. Consultez votre routeur et les meilleures pratiques pour y insérer un nouveau micrologiciel..
Configuration de DD-WRT pour plusieurs SSID
Vous avez un routeur compatible, vous avez flashé le DD-WRT dessus, il est maintenant temps de commencer à configurer ce second SSID. Tout comme vous devez toujours flasher le nouveau micrologiciel via une connexion filaire, nous vous recommandons vivement de travailler sur votre configuration sans fil via une connexion filaire afin que les modifications ne forcent pas votre ordinateur sans fil à quitter le réseau..
Ouvrez votre navigateur Web sur un ordinateur connecté au routeur via Ethernet. Accédez à l'adresse IP du routeur par défaut (généralement 198.168.1.1). Dans l'interface DD-WRT, accédez à Sans fil -> Paramètres de base (comme indiqué dans la capture d'écran ci-dessus). Vous pouvez voir que notre point d'accès Wi-Fi existant a le SSID «HTG_Office».
Au bas de la page, dans la section «Interfaces virtuelles», cliquez sur le bouton Ajouter. La section «Interfaces virtuelles» précédemment vide sera développée avec cette entrée préremplie:
Cette interface virtuelle est intégrée à votre puce radio existante (notez wl0.1 dans le titre de la nouvelle entrée). Même le raccourci dans le SSID l'indiquait, le «vap» à la fin du SSID par défaut signifie Point d'accès virtuel. Décomposons le reste des entrées dans la nouvelle interface virtuelle.
Vous pouvez renommer le SSID comme vous le souhaitez. Conformément à notre convention de dénomination existante (et afin de simplifier la vie de nos clients), nous allons changer le SSID du nom par défaut en «HTG_Guest» - rappelez-vous que notre principal AP Wi-Fi est «HTG_Office»..
Laissez la diffusion SSID sans fil activée. Non seulement de nombreux ordinateurs plus anciens et des appareils compatibles Wi-Fi ne jouent pas très bien avec les SSID secrets, mais un réseau invité caché n'est pas un réseau invité très invitant / utile.
L'isolation du point d'accès est un paramètre de sécurité que nous laisserons à votre discrétion l'activer ou le désactiver. Si vous activez l'isolement du point d'accès, tous les clients de votre réseau Wi-Fi invité seront totalement isolés les uns des autres. Du point de vue de la sécurité, c’est formidable, car cela empêche un utilisateur malveillant de fouiller les clients des autres utilisateurs. Cela concerne toutefois davantage les réseaux d'entreprise et les points d'accès publics. Concrètement, cela signifie également que si votre nièce et votre neveu sont terminés et qu'ils souhaitent jouer à un jeu lié Wi-Fi sur leurs unités Nintendo DS, leurs unités DS ne pourront pas se voir. Dans la plupart des applications de maison et de bureau, il n’ya aucune raison d’isoler les AP.
L'option Unbridged / Bridged de la configuration du réseau indique si le point d'accès Wi-Fi sera ponté ou non vers le réseau physique. Aussi paradoxal que cela soit, vous devez laisser le paramètre défini sur Ponté. Plutôt que de laisser le firmware du routeur gérer (plutôt maladroitement) le processus de dissociation, nous allons tout décompresser manuellement nous-mêmes avec un résultat plus propre et plus stable.
Une fois que vous avez modifié votre SSID et examiné les paramètres, cliquez sur Enregistrer..
Ensuite, accédez à Wireless -> Wireless Security:
Par défaut, il n'y a pas de sécurité sur le second AP. Vous pouvez le laisser tel quel temporairement à des fins de test (nous avons laissé le nôtre ouvert jusqu'à la fin) pour vous éviter de taper le mot de passe sur vos appareils de test. Cependant, nous ne recommandons pas de le laisser ouvert en permanence. Que vous choisissiez de le laisser ouvert ou pas à ce stade, vous devez cliquer sur Enregistrer, puis sur Appliquer les paramètres pour que les modifications apportées à la fois dans la section précédente et dans celle-ci prennent effet. Soyez patient, cela peut prendre jusqu'à 2 minutes pour que les modifications prennent effet.
Le moment est venu de confirmer que les périphériques Wi-Fi à proximité peuvent voir à la fois les points d'accès primaire et secondaire. L’ouverture de l’interface Wi-Fi sur un smartphone est un excellent moyen de vérifier rapidement. Voici la vue de la page de configuration Wi-Fi de notre téléphone Android:
Nous ne pouvons pas nous connecter au point d'accès secondaire pour l'instant car nous devons apporter quelques modifications supplémentaires au routeur, mais il est toujours agréable de les voir tous les deux dans la liste..
L'étape suivante consiste à commencer le processus de séparation des SSID sur le réseau en attribuant une plage unique d'adresses IP aux périphériques Wi-Fi invités..
Accédez à Configuration -> Mise en réseau. Sous la section «Pontage», cliquez sur le bouton Ajouter..
Commencez par changer le créneau initial en “br1”, laissez les autres valeurs identiques. Vous ne pourrez pas voir l'entrée IP / sous-réseau vue ci-dessus pour l'instant. Cliquez sur «Apply Settings». Le nouveau pont sera dans la section Bridging avec les sections IP et Sous-réseau disponibles. Définissez l'adresse IP sur une valeur différente de celle de votre réseau habituel (par exemple, votre réseau principal est 192.168.1.1, définissez donc cette valeur sur 192.168.2.1). Définissez le masque de sous-réseau sur 255.255.255.0. Cliquez à nouveau sur «Appliquer les paramètres» au bas de la page..
Affecter un réseau invité à Bridge
Remarque: merci au lecteur Joel d'avoir signalé cette partie et de nous avoir donné les instructions à ajouter au didacticiel..
Sous «Attribuer à Bridge», cliquez sur «Ajouter». Sélectionnez le nouveau pont que vous avez créé dans le premier menu déroulant et associez-le à l'interface «wl0.1".
Maintenant, cliquez sur "Enregistrer" et "Appliquer les paramètres".
Une fois les modifications appliquées, faites défiler de nouveau la page jusqu'au bas de la page jusqu'à la section DHCPD. Cliquez sur "Ajouter". Basculez le premier emplacement sur «br1». Laissez les autres paramètres identiques (comme dans la capture d'écran ci-dessous).
Cliquez «Appliquer les paramètres» une fois de plus. Une fois que vous avez terminé toutes les tâches de la page Configuration -> Mise en réseau, vous devriez pouvoir choisir la connectivité et l’affectation DHCP..
Remarque: si le point d'accès Wi-Fi que vous configurez pour un double SSID est superposé sur un autre périphérique (par exemple, vous avez deux routeurs Wi-Fi chez vous ou au bureau pour étendre votre couverture et celui que vous configurez le SSID invité. sur # 2 dans la chaîne), vous devez configurer le protocole DHCP dans la section Services. Si cela ressemble à votre configuration, il est temps de passer à la section Services -> Services..
Dans la section services, nous devons ajouter un peu de code à la section DNSMasq afin que le routeur attribue correctement des adresses IP dynamiques aux périphériques se connectant au réseau invité. Faites défiler la section DNSMasq. Dans la zone "Options DNSMasq supplémentaires", collez le code suivant (moins le nombre de commentaires expliquant la fonctionnalité de chaque ligne):
# Active DHCP sur br1
interface = br1
# Définir la passerelle par défaut pour les clients br1
dhcp-option = br1,3,192.168.2.1
# Définissez la plage DHCP et la durée de bail par défaut de 24 heures pour les clients br1
plage dhcp = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Cliquez sur "Appliquer les paramètres" au bas de la page..
Que vous utilisiez la technique un ou deux, attendez quelques minutes pour vous connecter à votre nouveau SSID invité. Lorsque vous vous connectez au SSID invité, vérifiez votre adresse IP. Vous devriez avoir une adresse IP dans la plage que nous avons spécifiée avec ce qui précède. Encore une fois, il est pratique d’utiliser votre smartphone pour vérifier:
Tout a l'air bien. Le point d’accès secondaire attribue des adresses IP dynamiques dans une plage appropriée; nous pouvons accéder à Internet. Nous prenons note ici d’un énorme succès..
Le seul problème, cependant, est que le point d’accès secondaire a toujours accès aux ressources du réseau principal. Cela signifie que toutes les imprimantes en réseau, les partages réseau et autres sont encore visibles (vous pouvez le tester maintenant, essayez de trouver un partage réseau à partir de votre réseau principal sur le point d'accès secondaire)..
Si vous vouloir les invités du point d’accès secondaire doivent avoir accès à ces éléments (et suivent le didacticiel afin que vous puissiez effectuer d’autres tâches à double SSID, telles que la restriction de la bande passante des invités ou les périodes pendant lesquelles ils sont autorisés à utiliser Internet). Didacticiel.
Nous imaginons que la plupart d'entre vous voudraient empêcher vos invités de fouiller dans votre réseau et les inciter à rester collés à Facebook et au courrier électronique. Dans ce cas, nous devons terminer le processus en dissociant le point d'accès secondaire du réseau physique..
Accédez à Administration -> Commandes. Vous verrez une zone intitulée "Command Shell". Collez les commandes suivantes, sans les lignes # de commentaire, dans la zone modifiable:
#Retire l'accès invité au réseau physique
iptables -I FORWARD -i br1 -o br0 -m état --etat NOUVEAU -j DROP
iptables -I FORWARD -i br0 -o br1 -m état --etat NOUVEAU -j DROP
#Retire l'accès invité à l'interface graphique / aux ports de configuration du routeur
iptables -I INPUT -i br1 -p tcp --port telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Cliquez sur «Enregistrer le pare-feu» et redémarrez votre routeur..
Ces règles de pare-feu supplémentaires empêchent tout simplement les deux ponts (le réseau privé et le réseau public / invité) de dialoguer, ainsi que de refuser tout contact entre un client du réseau invité et les ports telnet, SSH ou serveur Web du serveur. routeur (ce qui les empêche de tenter d'accéder aux fichiers de configuration du routeur).
Un mot sur l'utilisation du shell de commande et des scripts de démarrage, d'arrêt et de pare-feu. Tout d'abord, les commandes IPTABLES sont traitées dans l'ordre. Changer l'ordre des lignes des individus peut considérablement changer le résultat. Deuxièmement, il existe des dizaines de routeurs pris en charge par DD-WRT et, en fonction de votre routeur spécifique et de votre configuration, vous devrez peut-être modifier les commandes IPTABLES ci-dessus. Le script a fonctionné pour notre routeur et utilise les commandes les plus larges et les plus simples possibles pour accomplir la tâche. Il devrait donc fonctionner pour la plupart des routeurs. Si ce n'est pas le cas, nous vous invitons vivement à rechercher votre modèle de routeur spécifique dans les forums de discussion DD-WRT et à voir si d'autres utilisateurs ont rencontré le même problème que vous..
À ce stade, vous avez terminé la configuration et êtes prêt à utiliser deux SSID et tous les avantages associés à leur exécution. Vous pouvez facilement donner un mot de passe d'invité (et le changer à volonté), configurer des règles de qualité de service pour le réseau invité, et autrement modifier et restreindre le réseau invité de manière à ne pas affecter votre réseau principal au minimum..