Posted: Mon Feb 25, 2013 20:12 Post subject: Общедоступная гостевая Wi-Fi сеть
Всем привет, вижу много похожих тем, хочу решить свою задачу и оформить по итогу в виде шагов.
Итак. Имеется:
- роутер Linksys WRT-54GL v1.1
- прошивка DD-WRT v24-sp2 (10/10/09) std
- линия от провайдера с внешним, условно статическим IP
Уже работает (собственно ничего необычного):
- DHCP 192.168.1.0/24
- раздача инета на Ethernet порты
- Wi-Fi в бридже с Ethenet, WPA2 personal, AES
Хочется: дополнительную открытую Wi-Fi сеть в отдельной подсети без доступа к домашней подсети 192.168.1.0/24, без доступа к роутеру - только выход в интернет (возможно потом ограничимся 80 портом), в идеале ещё и скорость урезать.
Разбиваем задачу на мелкие части и пишем как каждую часть вопротить в жизнь:
1) Создать виртуальный Wireless интерфейс.
GUI: Wireless - Basic Settings
В разделе Virtual Interfaces жмём кнопку Add, SSID меняем по вкусу. Безопасность по умолчанию Disabled, что нас вполне устраивает в этом случае.
Сохранились, применились.
2) Выделить созданную сеть в отделую подсеть
В настройках виртуального интерфейса опцию Network Configuration изменяем на Unbridged и в появившихся полях присваиваем руками интерфейсу IP в новой подсети, например:
192.168.100.1
255.255.255.0
Сохранились, применились.
3) Раздавать IPшники в новой подсети с помощью DHCP
GUI: Setup - Networking
Раздел DHCPD - Multiple DHCP Server жмём кнопку Add, выбираем из выпадающего списка интерфейс wl0.1 (это наш ранее созданный виртуальный беспроводной интерфейс), остальное нас устраивает.
Сохранились, применились.
После этих нехитрых шагов имеем бесполезную сеть к которой можно зацепиться любым Wi-Fi девайсом, автоматически получить IP из подсети 192.168.100.0/24. И всё. Пока остановимся на выпуске в интернет.
Чего может не хватать для выхода в инет:
- правило IPTABLES разрешающее FORWARD между интерфейсами wl0.1 и WAN
- SNAT или MASQUERADE в интернет (судя по радиобаттону Masquerade / NAT в свойствах виртуального интерфейса - уже Enabled)
Подсказывайте, я Linux в качестве шлюза давненько уже настраивал, да и не знаю всех тонкостей DD-WRT.
Что-бы не повторять вопрос еще раз, дам ссылку на мой запрос помощи:
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=168831
Все вроде сделано, как вы подсказываете, но dhcpd почему-то не хочет раздавать адрес на интерфейсе w0.1, клиенты его просто не получают.
Возможно это из-за того, что у меня в сети свой сервер DHCP, а роутер только к нему перенаправляет?
Если да, то как настроить правильно, чтобы для рабочей сети адреса раздавал сервер, а для гостей - роутер?
Думаю не раздаёт роутер адреса в новую сеть потому как DHCP глобально настроен на форвардинг DHCP запросов основному DHCP серверу. Попробуйте открлючить роутер от основной сети и включить DHCP на роутере в режим Сервер - это для эксперимента.
Наткнулся на статью в местной вики http://www.dd-wrt.com/wiki/index.php/Seperate_Lan_and_WLan , мне помогло вывести клиента в интернет через новую сеть.
Отличие от того, что я делал - я просто создал виртуальный интерфейс, присвоил ему адрес и запустил дополнительный DHCP слушающий этот интерфейс, а в статье рекомендуется создать новый бридж, в него поместить новый виртуальный интерфейс, и адрес присваивать уже бриджу, и DHCP что-бы слушал не wl0.1 а весь новый бридж. Сделал - поехало. Почему - не знаю.
BarHan, подумайте, может стоит и Вам сразу сделать как в статье написано, возможно поможет в будущем избежать граблей.
Даже применив ваши советы, ничего не смог добиться, пока не обновил прошивку до самой последней версии dd-wrt которая есть на данный момент и о, чудо! dhcpd наконец-то стал обслуживать и wl0.1.
По приведенной выше статье даже смог раздать интернет с WAN порта.
Но тут у меня резервный канал, лимитированный, не для гостей. Безлимит идет с ADSL-модема, который в сети (LAN), как через него пустить?
На модеме поднял второй IP с этого, раздаваемого dhcpd диапазона, но клиенты его не видят (да и понятно - изоляция-с)...
настроил гостевую сеть все вроде работает (подключается и в основную сеть и в гостевую). но есть непонятный нюанс. в гостевой сети не работает сайт однокласники . может кто подскажет что это может быть. в основной все работает нормально.
сделал все как тут написано