openrouter.info
http://openrouter.info/forum/

[howto] Sieć Wi-Fi "gościnna" dla obcych
http://openrouter.info/forum/viewtopic.php?f=22&t=967
Strona 1 z 3

Autor:  obsy [ 26 cze 2011, 13:50 ]
Tytuł:  [howto] Sieć Wi-Fi "gościnna" dla obcych

Zdarza się potrzeba udostępnienia sieci gościom zapewniając sobie nadal prywatność własnej sieci lokalnej i poufność hasłem. Krótko mówiąc - nie chcemy dawać obcym swoich haseł i dostępu do sieci lan.
W openwrt można skonfigurować od dawna tzw. Virtual AP (VAP), czy uzyskać na jednym fizycznym interfejsie radiowym kilka różnych sieci. Do stworzenia sieci dla gości można posłużyć się właśnie taką funkcjonalnością.

Lista rzeczy do zrobienia:
- konfiguracja sieci
- konfiguracja dhcp
- konfiguracja radia
- konfiguracja firewalla

Interfejs sieciowy
Tworzymy nową podsieć, o innej adresacji niż nasza domyślna:
uci set network.guest=interface
uci set network.guest.proto=static
uci set network.guest.ipaddr=10.1.1.1
uci set network.guest.netmask=255.255.255.0


DHCP
Dla ułatwienia, adresy dla gości zrobimy przydzielane z dhcp
uci set dhcp.guest=dhcp
uci set dhcp.guest.start=100
uci set dhcp.guest.limit=150
uci set dhcp.guest.leasetime=2h
uci set dhcp.guest.interface=guest


Interfejs radiowy
Tworzymy VAP dołączając konfigurację do istniejącej konfiguracji Wi-Fi
uci set wireless.guest=wifi-iface
uci set wireless.guest.device=radio0
uci set wireless.guest.mode=ap
uci set wireless.guest.network=guest
uci set wireless.guest.ssid=Hotspot
uci set wireless.guest.encryption=none


Sieć jest otwarta - jeżeli chcemy zrobić jakiekolwiek kodowanie można ustawić np. na wpa2/aes z odpowiednim hasłem.

Firewall
uci add firewall zone
uci set firewall.@zone[-1].name=guest
uci set firewall.@zone[-1].network=guest
uci set firewall.@zone[-1].input=REJECT
uci set firewall.@zone[-1].output=ACCEPT
uci set firewall.@zone[-1].forward=REJECT

uci add firewall forwarding
uci set firewall.@forwarding[-1].src=guest
uci set firewall.@forwarding[-1].dest=wan

uci add firewall rule
uci set firewall.@rule[-1].src=guest
uci set firewall.@rule[-1].proto=udp
uci set firewall.@rule[-1].src_port=67-68
uci set firewall.@rule[-1].dest_port=67-68
uci set firewall.@rule[-1].target=ACCEPT
uci set firewall.@rule[-1].family=ipv4

uci add firewall rule
uci set firewall.@rule[-1].src=guest
uci set firewall.@rule[-1].dest_port=53
uci set firewall.@rule[-1].target=ACCEPT
uci set firewall.@rule[-1].family=ipv4
uci set firewall.@rule[-1].proto=tcpudp


Parę słów wyjaśnienia: polityka domyślna dla ruchu przychodzącego ustawiona jest na REJECT. Oznacza to także odcięcie dostępu do routera (zarówno od gui jak i np. pingów). Dalej trzeba więc otworzyć porty dla przydzielania adresów DHCP z routera oraz odpowiedzi serwera DNS. Dodatkowo zrobiony jest forward pakietów tylko z nowej podsieci dla gości do wanu, czyli internetu.

Zostaje tylko wszystko zapisać, zresetować router i powinna być dostępna dodatkowa sieć dla gości.
uci commit
reboot

Autor:  lookaz [ 28 cze 2011, 09:58 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

Hej,
Dobry pomysł. A da radę zrobić taki scenariusz, żeby podstawowy SSID służył do normalnego przeglądania internetu, a przez SSID dodatkowy byłby dostęp do TOR-a? np. na podstawie tego tutka:

http://openrouter.info/index.php?option=com_content&view=article&id=286


Przy dwóch SSID-ach na moim asusie mam interfejsy wl0 oraz wl0.1 i pewnie wystarczyłaby zabawa z iptables i puszczeniem ruchu www do tora. Chyba, że się mylę.

pozdro.

Autor:  obsy [ 28 cze 2011, 10:02 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

Dodajesz nowy VAP i jako sieć wybierasz "tor". Nic więcej w sumie.

Autor:  lookaz [ 28 cze 2011, 10:54 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

senkju :)

Autor:  rpc [ 28 cze 2011, 22:03 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

można zrobić tak że na jednym ssid będziesz miał dostęp do swojej sieci i wydzieloną sieć dla gościa. Ale do tego to już dwa sprzęty sa potrzebne.

Autor:  rilicek [ 25 lut 2012, 21:04 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

Czy sieć gościnna może mieć kodowanie WPA2 a gościnna WEP?
Gdy ustawiam WEP na sieci gościnnej, to wyskakuje mi błąd, że nie można ustawić takiego kodowania.

Autor:  obsy [ 25 lut 2012, 21:12 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

Tak, możesz. Może literówkę robisz :)

Autor:  rilicek [ 25 lut 2012, 21:27 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

Miałem jeszcze komunikat o niezgodności HT40+
Spróbuję skonfigurować jeszcze raz i podam dokładnie co wypluwa.

1. Przy none i uci mam:
root@OpenWrt:/etc/config# uci set wireless.quest.encryption=none
uci: Invalid argument


2. Przy WEP mam:

config 'wifi-iface' 'guest'
        option 'device' 'radio0'
        option 'mode' 'ap'
        option 'network' 'guest'
        option 'ssid' 'Hotspot'
        option 'encryption' 'wep'
        option 'key' '123456'



Could not set WEP encryption.
Interface initialization failed
rmdir[ctrl_interface]: No such file or directory
ifconfig: SIOCSIFADDR: No such device


Czy powinienem dodać jeszcze którąś z tych opcji?
        option 'type' 'mac80211'
        option 'macaddr' 'XXXXXXXXXXXXX'
        option 'hwmode' '11ng'
        list 'ht_capab' 'SHORT-GI-40'
        list 'ht_capab' 'DSSS_CCK-40'
        option 'country' 'PL'
        option 'txpower' '20'
        option 'channel' '5'
        option 'htmode' 'HT40+'
        option 'noscan' '0'
        option 'disabled' '0'

Autor:  obsy [ 25 lut 2012, 21:35 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

1. nie masz sekcji quest masz guest. Literówkę zrobiłeś.
2. dla wep key wskazuje index a key1 właściwy klucz. Dlatego że ustawiłeś wartość numeryczną.

Ustaw
option key 1
option key1 '123456'

Jak byś ustawił string z literami to mogło by to być i key.

Autor:  rilicek [ 25 lut 2012, 21:42 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

obsy pisze:
1. nie masz sekcji quest masz guest. Literówkę zrobiłeś.

Skopiowałem od Ciebie :D
Jak możesz to popraw.

Teraz mam tak:
HT (IEEE 802.11n) with WEP is not allowed, disabling HT capabilities
Using interface wlan0 with hwaddr XXXXXXXXXXXXXX and ssid 'XXX'
Could not set WEP encryption.
Interface initialization failed
rmdir[ctrl_interface]: No such file or directory
ifconfig: SIOCSIFADDR: No such device


config 'wifi-iface' 'guest'
        option 'device' 'radio0'
        option 'mode' 'ap'
        option 'network' 'guest'
        option 'ssid' 'Hotspot'
        option 'encryption' 'wep'
        option 'key' '1'
        option 'key1' '123456'

Autor:  obsy [ 25 lut 2012, 21:45 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

A teraz się buntuje że N'ki chcesz używać przy wepie...

Autor:  rilicek [ 25 lut 2012, 22:18 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

Czy n trzeba też wywalić z głównej sieci?

HT (IEEE 802.11n) with WEP is not allowed, disabling HT capabilities
Using interface wlan0 with hwaddr XXXXXXXXXXX and ssid 'XXX'
Could not set WEP encryption.
Interface initialization failed
rmdir[ctrl_interface]: No such file or directory
ifconfig: SIOCSIFADDR: No such device


config 'wifi-iface' 'guest'
        option 'device' 'radio0'
        option 'hwmode' '11g'
        option 'mode' 'ap'
        option 'network' 'guest'
        option 'ssid' 'Hotspot'
        option 'encryption' 'wep'
        option 'key' '1'
        option 'key1' '123456'


----------------------------------------
Już widzę - namieszałem.
hwmode ustawia się dla sprzętu a nie dla interface.
Czyli jak mam zdefiniowane 11ng i 40HT+ zostaje mi tylko brak szyfrowania lub WPA/WPA2?

Autor:  obsy [ 25 lut 2012, 22:58 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

N w standardzie w ogóle nie definiuje wepa.

Autor:  mskiba [ 21 kwie 2012, 14:33 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

A jest mozliwosc w sieci dla gosci udostepnic drukarke sieciowa?

Mam dwie drukarki
192.168.1.1:9100 printserver (drukarka po usb do routera) i drukarke lan 192.168.1.2 tez na 9100 i chcialbym je udostepnic. Jak mam to zrobic?

Autor:  obsy [ 21 kwie 2012, 15:51 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

Po prostu zezwól na firewallu na ruch pomiędzy siecią gościnną a adresem ip drukarki.

Autor:  mskiba [ 21 kwie 2012, 16:08 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

No własnie nie bardzo wiem jak :)

Autor:  obsy [ 21 kwie 2012, 16:35 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

Jaką masz adresację tej sieci gościnnej?

Lub

uci add firewall forwarding
uci set firewall.@forwarding[-1].src=guest
uci set firewall.@forwarding[-1].dest=lan

Po prostu, ale wtedy mają dostęp do całego lanu.

Autor:  mskiba [ 21 kwie 2012, 17:04 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

Siec moja: 192.168.1.1
Sieć gościnna: 10.10.10.1

Do calego lanu to nie bardzo ;) Tylko konkretne adresy IP.

Autor:  obsy [ 21 kwie 2012, 17:44 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

iptables -I FORWARD -s 10.10.10.0/24 -d 192.168.1.1 --dport 9100 -j ACCEPT

Autor:  mskiba [ 21 kwie 2012, 18:13 ]
Tytuł:  Re: [howto] Sieć Wi-Fi "gościnna" dla obcych

Cytuj:
root@router:/$ iptables -I FORWARD -s 10.10.10.0/24 -d 192.168.1.1 --dport 9100 -j ACCEPT

iptables v1.4.6: unknown option `--dport'
Try `iptables -h' or 'iptables --help' for more information.



A tak z ciekawosci, czy to bedzie dzialac.

Cytuj:
uci add firewall forwarding
uci set firewall.@forwarding[-1].src=10.10.10.0/24
uci set firewall.@forwarding[-1].dest=192.168.1.1
uci set firewall.@forwarding[-1].dest_port=9100
uci set firewall.@forwarding[-1].target=ACCEPT


----- Dodano ----- 21 kwie 2012, o 18:13 -----

W sumie juz wiem ze nie bedzie dzialalo :(

Cytuj:
/etc/init.d/firewall restart
Loading defaults
Loading synflood protection
Adding custom chains
Loading zones
Loading forwardings
iptables v1.4.6: Couldn't load target `zone_192.168.1.2_ACCEPT':File not found

Try `iptables -h' or 'iptables --help' for more information.
Loading redirects
Loading rules
Loading includes
Optimizing conntrack
Loading interfaces


Strona 1 z 3 Strefa czasowa UTC+1godz. [letni]
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/